УЦСБ, центр кибербезопасности, сообщил о завершении проекта по аудиту защищённости финансовых сервисов банка «Синара» и официально подтвердил их соответствие нормативам Центрального банка России.
Для организаций финансовой сферы верификация безопасности цифровых решений является одним из ключевых аспектов соблюдения регуляторных требований. В этом случае проверка проводилась в соответствии с оценочным уровнем доверия ОУД4. Данный уровень считается одним из самых строгих и свидетельствует о повышенной киберзащите приложения при сохранении комфорта сервиса для пользователей.
Проводить подобные проверки разрешено исключительно компаниям, обладающим соответствующими лицензиями от ФСТЭК России, и среди них — российский системный интегратор УЦСБ. Успешное завершение оценочных процедур доказывает, что безопасность приложения находится на надлежащем уровне, а возможные угрозы для клиентов и самого банка сведены к минимуму.
Специалисты УЦСБ выполнили всесторонний анализ приложений банка «Синара», Газэнергобанка, Делобанка и инвестбанка «Синара», применяя набор инструментов собственной платформы Apsafe: статический (SAST) и композиционный (SCA) анализ затронул свыше двух миллионов строк кода, а динамический анализ (DAST) и пентест имитировали действия реальных киберпреступников. Этой работе предшествовало изучение архитектуры продукта и беседы с командами банка.
Особый акцент был сделан на проверке по компоненту доверия AVA_VAN.3 (ГОСТ ИСО/МЭК 15408), который требует выявления уязвимостей с определённой степенью детализации. Все результаты автоматических сканеров были вручную верифицированы аналитиками — это позволило избежать ложных срабатываний и дало разработчикам банка возможность сосредоточиться исключительно на реальных проблемах.
Отдельной сложностью для команды УЦСБ стала микросервисная архитектура приложений. Специалисты изучили взаимодействие более 200 микросервисов, каждый из которых имеет собственные сценарии работы и непрерывный поток обновлений от нескольких команд разработчиков.
Кроме того, для удобства заказчика эксперты УЦСБ настроили интерфейс, добавили отслеживание наиболее уязвимых сервисов, возможность объединения нескольких сервисов в одно приложение для мониторинга безопасности на уровне всего продукта и автоматизировали проверку статуса ручного анализа всех коммитов в релизе.
«Крупные участники финансового сектора, в частности банк «Синара», уже не первый год задают стандарты в ИТ-отрасли, внедряя безопасность непосредственно в процесс создания продуктов и успешно проходя оценочные процедуры. Такой подход минимизирует риски для бизнеса и клиентов, а в долгосрочной перспективе экономит ресурсы команды на разработку и развитие новых ИТ-сервисов», — заявил руководитель направления разработки УЦСБ Евгений Тодышев.
После завершения работ банк «Синара» получил положительное заключение, подтверждающее соответствие требованиям регулирующего органа, и организовал постоянный мониторинг безопасности. Методики DevSecOps теперь интегрированы в стандартный цикл обновления приложений для банка «Синара», Газэнергобанка, Делобанка и инвестиционного банка «Синара». Любые изменения в коде автоматически передаются в Apsafe, проходят проверку на наличие уязвимостей и оцениваются на предмет воздействия на другие сервисы, после чего только переносятся в действующую версию продукта.