Специалисты «Инфосистемы Джет» провели анализ уязвимостей системы интернет-банка в Челябинвестбанке

В отношении системы дистанционного банковского обслуживания Челябинвестбанка InvestPay проведён анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами ИТ-компании «Инфосистемы Джет».

В ходе проекта был проведен статический и динамический анализ исходного кода системы InvestPay для поиска потенциальных уязвимостей нулевого дня (0-day) интернет-банка, а также исследованы архитектурные особенности системы с целью исключения архитектурных и уже известных уязвимостей. 

Кроме этого, специалисты «Инфосистемы Джет» выполнили тестирование на проникновение (пентест) в отношении InvestPay в условиях эксплуатации, идентичных реальным. Пентест проводился для того, чтобы верифицировать все потенциальные уязвимости, проверив возможность и вероятность их эксплуатации.

После анализа уязвимостей было сделано заключение о стойкости InvestPay к атакам нарушителей в заданной ОУД 4 модели. Это значит, что система банка устойчива к атакам преступных групп, хакеров-физических лиц, недобросовестных работников банка.

По итогам анализа исходного кода и тестирования на проникновение были внесены изменения в исходный код InvestPay, в результате чего удалось повысить общую защищенность системы, а также выполнить требования Банка России в отношении безопасности прикладного платежного программного обеспечения (683-П и ГОСТ Р 51583-2014).

 

 

«Оценка безопасности прикладного банковского программного обеспечения в соответствии с методологией Общих критериев (ГОСТ Р ИСО/МЭК 15408) — новое направление регулирования в банковской отрасли, — отмечает Николай Антипов, руководитель департамента консалтинга центра информационной безопасности компании “Инфосистемы Джет”.Реализация проектов по новым требованиям нормативно-правовых актов всегда сопряжена с определёнными сложностями, связанными с трактовкой тех или иных требований и отсутствием правоприменительной практики. Благодаря совместной работе с коллегами из Челябинвестбанка нам удалось разрешить все возникшие в ходе проекта вопросы и подтвердить соответствие системы ДБО требованиям Банка России. Для “Инфосистемы Джет” проект в Челябинвестбанке — не первый в данном направлении. Однако отличный опыт, полученный на этом проекте, мы уже активно используем в других проектах по оценке соответствия требованиям к прикладному ПО».

Тематики: Безопасность

Ключевые слова: Инфосистемы Джет, информационная безопасность