УЦСБ завершил проект по оценке защищенности приложений финансовых сервисов Банка Синара
Для компаний финансового сектора подтверждение защищенности цифровых продуктов — один из важных элементов выполнения регуляторных требований. В данном случае оценка проводилась по оценочному уровню доверия ОУД4. Этот уровень считается одним из наиболее высоких и подтверждает усиленную киберзащиту приложения при сохранении удобства сервиса для пользователей.
Проверку вправе проводить только организации, имеющие соответствующие лицензии, выданные ФСТЭК России, в их числе — российский системный интегратор УЦСБ. Успешное прохождение оценочной процедуры подтверждает, что безопасность приложения находится на должном уровне, а риски для клиентов и самого банка минимизированы.
Эксперты УЦСБ провели комплексный анализ приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара с использованием стека инструментов собственной платформы Apsafe: статический (SAST) и композиционный (SCA) анализ охватил более двух миллионов строк кода, а динамический анализ (DAST) и пентест смоделировали действия реальных злоумышленников. Работе предшествовало изучение архитектуры продукта и интервью с командами банка.
Особое внимание было уделено проверке по компоненту доверия AVA_VAN.3 (ГОСТ ИСО/МЭК 15408), который требует анализа уязвимостей на определенную глубину. Все результаты автоматических сканеров верифицировались аналитиками вручную — это исключило ложные срабатывания и позволило разработчикам банка сосредоточиться только на реальных проблемах.
Отдельным вызовом для команды УЦСБ стала микросервисная архитектура приложений. Специалисты проанализировали взаимодействие более 200 микросервисов, у каждого из которых собственные сценарии работы и постоянный поток обновлений от нескольких команд разработки.
Кроме того, для удобства Заказчика эксперты УЦСБ настроили интерфейс и добавили отслеживание наиболее уязвимых сервисов, возможность объединять несколько сервисов в одно приложение для мониторинга безопасности на уровне всего продукта и автоматизировали проверку статуса ручного анализа всех коммитов в релизе.
«Крупные игроки финансового сектора, в частности Банк Синара, не первый год задают ориентир в ИТ-отрасли, встраивая безопасность в сам процесс создания продуктов и успешно проходя оценочные процедуры. Такой подход снижает риски для бизнеса и клиентов, и в долгосрочной перспективе экономит ресурсы команды на создание и развитие новых ИТ-сервисов», — отмечает руководитель направления разработки УЦСБ Евгений Тодышев.
В результате работ Банк Синара получил положительное заключение о соответствии требованиям регулятора и выстроил непрерывный процесс контроля безопасности. Теперь практики DevSecOps стали частью регулярного цикла обновления приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара. Изменения кода автоматически попадают в Apsafe, проверяются на уязвимости и их влияние на другие сервисы, и только после этого переносятся в рабочую версию продукта.


