Оценка соответствия ПО для крупной страховой компании международным и российским стандартам безопасности

Крупная страховая компания NDA

Перед запуском новой версии онлайн-сервиса и мобильных приложений клиент столкнулся с необходимостью обязательного подтверждения соответствия своего программного обеспечения требованиям регулятора — Банка России. Ключевыми задачами клиента были:

• для прохождения проверки регулятора на соответствие Положениям Банка России необходимо подтвердить уровень доверия безопасности ПО (ОУД4).
• минимизация рисков выявления уязвимостей и штрафных санкций со стороны ЦБ РФ.
• подготовка внутренних систем к внешнему аудиту и сертификации.
• формирование комплекта необходимой документации.
• выработка внутренних процессов для безопасной разработки.

Выбор клиента в нашу пользу был обусловлен наличием уникального опыта работы с крупнейшими финансовыми организациями, экспертами с отраслевыми сертификатами, применением утвержденных методик оценки и актуальных инструментов тестирования, соответствующих мировым практикам (OWASP, MITRE ATT&CK).

Для достижения поставленных целей была оказана услуга по комплексной оценке соответствия программного обеспечения требованиям стандарта ГОСТ Р ИСО/МЭК 15408-3-2013 (Критерии оценки безопасности информационных технологий, часть 3 — Компоненты доверия к безопасности), а также требованиям Положения Банка России №757-П и Методического документа ЦБ РФ «Профиль защиты прикладного ПО НФО и КО».

Работы включали анализ архитектуры, исходного кода, инфраструктуры и тестирование на проникновение. Ключевыми этапами проекта стали:

1. Обследование инфраструктуры и выделение объектов оценки (iOS, Android, backend).
2. Сбор технических данных, включая исходный код, описание архитектуры и предоставление тестовых сред.
3. Проведение статического анализа исходного кода (SAST) и динамического тестирования на проникновение (DAST).
4. Разработка исчерпывающей документации: Технического заключения по требованиям ОУД4, отчета об уязвимостях и финального заключения о соответствии.

В результате совместной работы клиент получил подтвержденное заключение о соответствии своего ПО требованиям ЦБ РФ и международному стандарту. В процессе оценки были выявлены и устранены критические и высокорисковые уязвимости, что значительно повысило уровень безопасности цифровых сервисов.

Была повышена прозрачность архитектуры и внутренних процессов разработки, а также создана надежная база для прохождения будущих сертификаций и внутренних аудитов. В ходе работ были переменены как отечественные стандарты и нормативные документы ГОСТ Р ИСО/МЭК 15408 (1–3), Положение ЦБ РФ №757-П, Профиль защиты ЦБ РФ, так и международные практики в области Appsec/Pentest/VM, OWASP Testing Guide, MITRE ATT&CK Framework, Threat Modeling, Secure SDLC, OWASP ASVS.

Данный проект отражает общий тренд рынка информационной безопасности на ужесточение регуляторных требований в финансовом секторе и рост спроса на независимую сертификацию доверия к программному обеспечению.