| Заказчики: Челябинвестбанк (Челябинский инвестиционный банк) Челябинск; Финансовые услуги, инвестиции и аудит Подрядчики: Инфосистемы Джет Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2021/11 — 2021/12
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
2021: Анализ уязвимостей в системе ДБО Челябинвестбанка
В отношении системы дистанционного банковского обслуживания Челябинвестбанка InvestPay проведён анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами «Инфосистем Джет», о чем ИТ-компания сообщила 31 января 2021 года.
В ходе проекта был проведен статический и динамический анализ исходного кода системы InvestPay для поиска потенциальных уязвимостей нулевого дня (0-day) интернет-банка, а также исследованы архитектурные особенности системы с целью исключения архитектурных и уже известных уязвимостей.
Кроме этого, специалисты компании «Инфосистемы Джет» выполнили тестирование на проникновение (пентест) в отношении InvestPay в условиях эксплуатации, идентичных реальным. Пентест проводился для того, чтобы верифицировать все потенциальные уязвимости, проверив возможность и вероятность их эксплуатации.
После анализа уязвимостей было сделано заключение о стойкости InvestPay к атакам нарушителей в заданной ОУД 4 модели. Это значит, что система банка устойчива к атакам преступных групп, хакеров-физических лиц, недобросовестных работников банка.
По итогам анализа исходного кода и тестирования на проникновение были внесены изменения в исходный код InvestPay, в результате чего удалось повысить общую защищенность системы, а также выполнить требования Банка России в отношении безопасности прикладного платежного программного обеспечения (683-П и ГОСТ Р 51583-2014).
 | «Оценка безопасности прикладного банковского программного обеспечения в соответствии с методологией Общих критериев (ГОСТ Р ИСО/МЭК 15408) — новое (по состоянию на начало 2022 года - прим. TAdviser) направление регулирования в банковской отрасли, — отметил Николай Антипов, руководитель департамента консалтинга центра информационной безопасности компании "Инфосистемы Джет". — Реализация проектов по новым требованиям нормативно-правовых актов всегда сопряжена с определёнными сложностями, связанными с трактовкой тех или иных требований и отсутствием правоприменительной практики. Благодаря совместной работе с коллегами из Челябинвестбанка нам удалось разрешить все возникшие в ходе проекта вопросы и подтвердить соответствие системы ДБО требованиям Банка России. Для "Инфосистемы Джет" проект в Челябинвестбанке — не первый в данном направлении. Однако отличный опыт, полученный на этом проекте, мы уже активно используем в других проектах по оценке соответствия требованиям к прикладному ПО». |  |
