Код под контролем
smartmoney.oneВ текущем году вступают в силу три положения Банка России, которые регламентируют меры по защите ПО, обслуживающего платежные процессы.При этом 683-П и 719-П касаются кредитных учреждений, а 757-П - некредитных (страховых, НПФ и прочих).Как отметил менеджер продукта appScreener центра разработки решений по контролю безопасности ПО "Ростелеком-Солар" Сергей Деев на вебинаре, в новых версиях этих документов существенно расширен как круг участников, так и набор требований, предъявляемых к приложениям.Одним из таких требований является проверка ПО на наличие уязвимостей.Ее можно доверить лицензиатам ФСТЭК, в качестве которых может выступать и внутренняя структура банка или компании, или производить своими силами согласно оценочному уровню доверия (ОУД) 4, как это предусмотрено ГОСТ 15408.Второй путь, как подчеркнул Сергей Деев, намного более предпочтителен, поскольку требования ФСТЭК к своим лицензиатам весьма жесткие, а само получение лицензии является довольно сложным и длительным процессом.Проверка ПО включает анализ архитектуры, документации, тестирование на наличие уязвимостей и функциональное тестирование.