Письмо Банка России от 20 ноября 2023 г. № 56-27/2307 "О рассмотрении изменения порядка проведения оценки по ОУД"

Департамент информационной безопасности Банка России (далее - Департамент) в ответ на обращение Ассоциации Банков России о рассмотрении предложенной кредитными организациями инициативы об изменении порядка проведения оценки соответствия по требованиям к оценочному уровню доверия (далее - ОУД), а также иных предложений, связанных с выполнением анализа уязвимостей прикладного программного обеспечения и информационных систем, сообщает следующее.

Департамент поддерживает инициативу по применению процессов и практик безопасного жизненного цикла процесса разработки программного обеспечения и предлагает придерживаться подхода, изложенного в информационном письме Банка России от 02.02.2022 N ИН-017-56/5 (далее - информационное письмо) в части использования раздела 7.4 методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (далее - Профиль Защиты) для разработки и внедрения безопасных программных продуктов при сохранении гарантированного и достаточного уровня защищенности прикладного программного обеспечения автоматизированных систем и приложений, используемых при осуществлении финансовых (в том числе банковских) операций.

Вместе с тем расширение возможности применения раздела 7.4 Профиля Защиты к объектам критической информационной инфраструктуры Департамент планирует рассмотреть после результатов анализа применения кредитными организациями контролей информационной безопасности в процессах безопасного жизненного цикла разработки программного обеспечения. В этой связи предлагаем кредитным организациям - участникам ассоциации активнее использовать возможность, предусмотренную информационным письмом.