УЦСБ провел проверку защищенности ПО инвестиционного сервиса Банка Синара
16 апреля 2024 г.
Для повышения уровня информационной безопасности сайта и мобильного приложения «Синара Инвестиции», которые реализуют функционал для торговли на бирже, Банк Синара и Уральский центр систем безопасности провели оценку защищенности нового программного обеспечения.
На первом этапе анализа ПО команда УЦСБ провела интервью с разработчиками сервиса и сотрудниками службы информационной безопасности Банка Синара. Это позволило определить точки входа в исследуемое программное обеспечение, провести оценку функций безопасности и процессов разработки. Далее эксперты центра приступили к оценке с целью установить наличие потенциальных уязвимостей — выполнили комплексный анализ защищенности, который включал как исследование исходного кода, так и тестирование на проникновение. Параллельно команда УЦСБ разрабатывала комплект документации на оцениваемое ПО. Завершением работ по проекту стала подготовка экспертного заключения на соответствие ОУД4.
«Одной из особенностей проекта стала микросервисная архитектура ПО. Такой подход к разработке продукта позволяет гибко управлять архитектурой ПО, его функциональностью, совершать локальные обновления. Но для проведения анализа защищенности это приносит дополнительные сложности. Каждый сервис требует отдельного изучения, проверки свидетельств и протоколов. При оценке защищенности были выявлены некоторые нюансы безопасности ПО, влияющие на функционирование сервиса. Разработчики продукта оперативно устранили выявленные недостатки», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
В результате проведенной оценки защищенности на соответствие ОУД4 программное обеспечение «Синара Инвестиции» подтвердило высокий уровень защищенности данных клиентов.
«Благодаря сотрудничеству с УЦСБ мы получили комплексную оценку информационной защищенности нашего продукта и грамотное заключение на его соответствие ОУД4. Работы по проекту велись оперативно, заключение и документацию на ПО мы получили в срок — это позволило нам своевременно обеспечить регуляторные и бизнес-требования, и выпустить новый функциональный и защищенный сервис по инвестициям для клиентов», — отметил Денис Улейко, директор департамента информационной безопасности дирекции обеспечения безопасности Банка Синара.
Источник: Пресс-служба компании УЦСБ
Комментарии закрыты.