ПЕНТЕСТЫ — ОУД4
Анализ уязвимостей по ОУД4
Проведём анализ прикладного программного обеспечения на соответствие требованиям к оценочному уровню доверия 4 (ОУД4) — для систем, требующих сертификации Банка России и ФСТЭК.
01 — КОГДА НУЖНА УСЛУГА
- Положения Банка России (382-П, 716-П) требуют анализа ПО по ОУД4.
- Прикладная система обрабатывает критичные банковские операции.
- Государственная информационная система требует сертификации.
- Внутренний регламент разработки требует регулярного анализа защищённости.
02 — ЧТО ВХОДИТ
- Анализ исходного кода прикладного ПО.
- Динамический анализ работающего приложения.
- Проверка соответствия требованиям профиля защиты.
- Тестирование на проникновение в составе анализа.
- Подготовка отчётности по форме ФСТЭК.
03 — ЭТАПЫ И СРОКИ
| Этап | Длительность | Что получаете |
|---|---|---|
| Подготовка | 1–2 нед | NDA, передача исходного кода и стенда, согласование границ. |
| Статический анализ | 3–6 нед | Промежуточный отчёт по находкам в коде. |
| Динамический анализ | 2–4 нед | Результаты тестирования работающей системы. |
| Отчёт | 2 нед | Итоговый отчёт по требованиям профиля защиты. |
04 — СТОИМОСТЬ
Стоимость зависит от размера кодовой базы, количества интеграций и сложности профиля защиты. Финальная цена фиксируется после оценки исходного кода.
05 — ВОПРОСЫ
Оценочный уровень доверия 4 — это уровень требований к анализу защищённости ПО по ГОСТ Р ИСО/МЭК 15408. Применяется для систем, на которые распространяются требования Банка России и ФСТЭК (банковские приложения, ГИС, КИИ).