Код под контролем

В текущем году вступают в силу три положения Банка России, которые регламентируют меры по защите ПО, обслуживающего платежные процессы. При этом 683-П и 719-П касаются кредитных учреждений, а 757-П - некредитных (страховых, НПФ и прочих).

Как отметил менеджер продукта appScreener центра разработки решений по контролю безопасности ПО "Ростелеком-Солар" Сергей Деев на вебинаре, в новых версиях этих документов существенно расширен как круг участников, так и набор требований, предъявляемых к приложениям.

Одним из таких требований является проверка ПО на наличие уязвимостей. Ее можно доверить лицензиатам ФСТЭК, в качестве которых может выступать и внутренняя структура банка или компании, или производить своими силами согласно оценочному уровню доверия (ОУД) 4, как это предусмотрено ГОСТ 15408. Второй путь, как подчеркнул Сергей Деев, намного более предпочтителен, поскольку требования ФСТЭК к своим лицензиатам весьма жесткие, а само получение лицензии является довольно сложным и длительным процессом.

Проверка ПО включает анализ архитектуры, документации, тестирование на наличие уязвимостей и функциональное тестирование. При этом тестирование на наличие уязвимостей можно автоматизировать с помощью сканеров кода. Эти приложения или облачные сервисы могут быть как с открытым кодом, так и коммерческими. Последние обладают целым комплексом преимуществ, среди которых более точные алгоритмы, поддержка широкого спектра языков программирования, возможность тестирования не только исходных текстов, но и бинарного кода для разных платформ. Также только коммерческие продукты позволяют встраиваться в инфраструктуру разработки, причем классифицируя выявленные уязвимости по уровню опасности и предлагая способы устранения.