Оценка соответствия программного обеспечения по требованиям к ОУД4

ООО «Амбрелла» предоставляет услуги по оценке соответствия продукции требованиям ГОСТ Р ИСО/МЭК 15408 (предъявляемым к функциям безопасности, а также к уровню доверия такой продукции) проводится компаниями для множества целей, таких как вывод на новые рынки или выполнение требований регуляторов.

Работы по проведению оценки соответствия требованиям регулятора в направлении защиты информации включат:

• Анализ документации и разработка Задания по безопасности;
• Изучение архитектуры и компонентов прикладного ПО;
• Поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ПО;
• Статический/динамический анализ исходного кода различными анализаторами;
• Разрабатывается, согласовывается и уточняется методика проведения пентеста, которая учитывает результаты поиска уязвимостей и анализа исходного кода;
• Разворачивается тестовый стенд, повторяющий среду функционирования;
• Проводится динамический анализ исполняемого приложения и фаззинг серверной части;
• Проводится тестирование на проникновение, включая протоколирование всех проведённых тестов и испытаний;
• Проводятся оценка иных элементов доверия, входящих в область оценки;
• Составляется отчет о проведенном исследовании, в который входит (на примере анализа уязвимостей по ОУД4):
  • перечень исследованных компонентов прокладного ПО и среды функционирования;
  • перечень баз данных уязвимостей, которые были использованы при исследовании;
  • результаты исследования;
  • идентификацию выявленных уязвимостей и их перечень с оценкой степени критичности;
  • рекомендации по устранению выявленных уязвимостей и сведения об их устранении;
  • демонстрацию отсутствия возможности использовать выявленные уязвимости.

Кому нужна оценка по ОУД4?

• Финансовые организации
• Разработчики ПО для финансовых организаций