Оценка соответствия по ОУД4

ОЦЕНКА  СООТВЕТСТВИЯ ПО ОУД 4 ОБЯЗАТЕЛЬНА ДЛЯ СЛЕДУЮЩИХ ОРГАНИЗАЦИЙ:

1.Кредитные организации
 Предусмотрено Положением Банка России 683-П

2.Некредитные финансовые организации
Предусмотрено Положением Банка России 757-П

3.Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры
Предусмотрено Положением Банка России 719-П

РАБОТЫ ПО ОЦЕНКЕ СООТВЕТСТВИЯ ВКЛЮЧАЮТ В СЕБЯ :

1. АНАЛИЗ ДОКУМЕНТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ:

• Задание по безопасности
• Функциональная спецификация
• Руководства
• Прочая документация
• Тестовая документация
• Проектная документация

2. ПЛАНИРОВАНИЕ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ:

• Идентификация потенциальных уязвимостей
• Описание возможностей и мотивации нарушителя

3. РАЗРАБОТКА ТЕСТОВ ПРОНИКНОВЕНИЯ:

• Разработка тестов проникновения, используя идентифицированные шаблоны атак
• Разработку тестов проникновения с использованием метода гипотез (предположений) о недостатках
• Документирование тестов проникновения

4. ПРОВЕДЕНИЕ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ:

• Выполнение тестов проникновения
• Анализ результатов тестов
• Уточнение тестов с учетом полученных результатов
• Документирование результатов тестирования проникновения

5. РАЗРАБОТКА ОТЧЁТНОСТИ ПО РЕЗУЛЬТАТАМ ТЕСТИРОВАНИЯ:

• Условия проведения тестирования проникновения
• Детализацию результатов тестирования проникновения по отношению к каждой потенциальной уязвимости
• Обобщенные результаты тестирования проникновения

6. АНАЛИЗ ПРОЦЕССА РАЗРАБОТКИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ЧАСТИ:

• Управления версиями
• Предварительного тестирования
• Организации процесса разработки

Результат работ — отчёт содержащий:

• описание объекта оценки;
• описание условий проведения исследования объектов оценки;
• состав исследований, проводимых в отношении объекта оценки;
• вывод о соответствии объекта оценки уровню контроля и, соответственно, оценочному уровню доверия.
• перечень исследованных компонентов объекта оценки и среды функционирования;
• перечень баз данных уязвимостей, которые были использованы при анализе;
• результаты анализа;
• идентификацию выявленных уязвимостей и их перечень с оценкой степени критичности;
• рекомендации по устранению выявленных уязвимостей и сведения об их устранении;
• демонстрацию отсутствия возможности использовать выявленные уязвимости.

По результатам оценки соответствия формируется технический отчет, в том числе включающий результаты оценки, выводы и рекомендации.