Письмо Банка России от 20 ноября 2023 г. № 56-27/2307 "О рассмотрении изменения порядка проведения оценки по ОУД"
Департамент информационной безопасности Банка России (далее - Департамент) в ответ на обращение Ассоциации Банков России о рассмотрении предложенной кредитными организациями инициативы об изменении порядка проведения оценки соответствия по требованиям к оценочному уровню доверия (далее - ОУД), а также иных предложений, связанных с выполнением анализа уязвимостей прикладного программного обеспечения и информационных систем, сообщает следующее.
Департамент поддерживает инициативу по применению процессов и практик безопасного жизненного цикла процесса разработки программного обеспечения и предлагает придерживаться подхода, изложенного в информационном письме Банка России от 02.02.2022 N ИН-017-56/5 (далее - информационное письмо) в части использования раздела 7.4 методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (далее - Профиль Защиты) для разработки и внедрения безопасных программных продуктов при сохранении гарантированного и достаточного уровня защищенности прикладного программного обеспечения автоматизированных систем и приложений, используемых при осуществлении финансовых (в том числе банковских) операций.
Вместе с тем расширение возможности применения раздела 7.4 Профиля Защиты к объектам критической информационной инфраструктуры Департамент планирует рассмотреть после результатов анализа применения кредитными организациями контролей информационной безопасности в процессах безопасного жизненного цикла разработки программного обеспечения. В этой связи предлагаем кредитным организациям - участникам ассоциации активнее использовать возможность, предусмотренную информационным письмом.
Директор Департамента информационной безопасности |
В.А. Уваров |
Обзор документа
Рассмотрены инициатива об изменении порядка оценки соответствия по требованиям к оценочному уровню доверия, а также иные предложения, связанные с выполнением анализа уязвимостей прикладного программного обеспечения и информационных систем.
Был разработан новый раздел 7.4 методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций". В нем изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения, основанные на современных гибких практиках разработки, тестирования и внедрения ОО с соблюдением требований нормативных актов ЦБ РФ.
Банк России предлагает использовать раздел 7.4 для разработки и внедрения безопасных программных продуктов при сохранении гарантированного и достаточного уровня защищенности прикладного программного обеспечения автоматизированных систем и приложений, используемых при совершении финансовых операций.