ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ (часть 2)?

ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ (часть 2)?

Это вторая статья из цикла, посвященного аудиту программного обеспечения финансовых организаций. Ранее мы писали о появившейся у участников финансовой индустрии РФ обязанности такой аудит проводить, рассматривали допустимые варианты аудита и показывали спорные моменты в нормативной базе, используемые некоторыми подрядчиками для снижения своих издержек и предоставления клиентам услуг, не в полной мере соответствующих фактическим требованиям ЦБ.

Важно, что такие подрядчики оставляют своих клиентов в полном неведении, что они сделали что-то не так, приобрели что-то не то. Это создает дополнительные риски, связанные и с предстоящими проверками ЦБ, и с различными аспектами безопасности оцениваемого ПО. Потребитель должен обладать исчерпывающей информацией об оказываемой услуге, чтобы ее можно было соотнести как с выбранной стратегией поведения на рынке, так и со стратегией взаимодействия с регулятором. Возможно, ваш выбор – ультимативная безопасность, непробиваемая защита от всех возможных угроз, и на этом факте построен ваш бренд. Или, быть может, вы стремитесь расходовать ресурсы экономно и целенаправленно ищете способы снизить затраты. Как бы то ни было, взаимодействие с исполнителем должно быть максимально прозрачным, чтобы все решения вы могли принять взвешенно и самостоятельно. Об этом далее.

Выбору контрагента, как правило, предшествует поиск и анализ различных коммерческих предложений. Именно в этом документе потенциальный партнер описывает предлагаемую услугу, показывает получателю возможности и выгоды от ее приобретения. На что конкретно следует обращать внимание в коммерческих предложениях при поиске исполнителя для данного вида работ?

Во-первых, нужно ответить на вопрос, чего именно вы хотите: просто «бумажно» закрыть требования регулятора или на самом деле улучшить безопасность своего продукта. В каждом из этих случаев подходы будут сильно различаться.

Если вас интересует первый вариант ответа, исполнитель должен постараться использовать уже имеющиеся у вас материалы, чтобы исключить дублирование работ, проведенных ранее другими лицензиатами. Такой подход позволит существенно сократить сроки и стоимость услуги.

После проведения предварительных переговоров и определения решаемой проблемы технико-коммерческое предложение в таком случае может включать следующие пункты:

• если в недавнем прошлом вы проводили пентест или какой-либо другой вариант аудита, и его выполнял подрядчик с соответствующей лицензией, то такие результаты могут быть использованы при проведении оценки. Они могут являться веским аргументом для вынесения положительного заключения по соответствующим компонентам ПО (с учетом оговорки, что с момента получения результатов не вносились серьезные изменения в подсистемы защиты ПО);
• если в составе вашего ПО есть компоненты, обладающие собственными действующими сертификатами соответствия, оформленными надлежащим образом и выданными уполномоченным органом, то они могут являться основанием для автоматического вынесения положительного заключения по данному компоненту;
• если у вас имеется действующий тестовый стенд, на котором функционирует оцениваемое ПО, и вы готовы предоставить оценщикам доступ к нему, то это радикально снизит сроки проведения работ. В противном случае исполнитель будет должен подготовить свой собственный стенд, и этот процесс может затянуться из-за множества непредсказуемых проблем;
• задание по безопасности – это самый важный документ, необходимый для проведения оценки. Именно в нем перечислены все функции безопасности, которые должны быть реализованы в вашем ПО. На содержании этого документа исполнитель будет основывать всю свою работу. Задание можно писать не с нуля, для этого можно использовать унифицированный шаблон, который называется профилем защиты. ЦБ РФ постарался подготовить такой шаблон для финансовых организаций, но результат получился спорным: шаблон вышел чрезмерным и избыточным. Однако он имеет рекомендуемый статус, а не обязательный. Это огромный плюс, поскольку вы можете разработать собственное задание по безопасности (или исполнитель может подготовить его для вас), опираясь на рекомендуемый профиль частично или не опираясь на него совсем, при этом не противореча ему. Набор функций безопасности в таком случае может быть обоснованно сокращен и адаптирован, чтобы сделать его коммерчески целесообразным именно для вашего бизнеса. Этот шаг радикально снижает сроки и стоимость оценки.
• еще один важный момент, касающийся задания по безопасности, который целесообразно вынести отдельно, как самостоятельный пункт: сократить объем работ по оценке можно, грамотно сформулировав понятие среды функционирования оцениваемого ПО. Выделив некоторые статичные, редко меняющиеся компоненты ПО и определив их в качестве элементов среды функционирования, можно вполне легально исключить их из рассмотрения в рамках конкретной оценки.

Это самые очевидные способы оптимизации затрат. Чуть более сложные методы связаны с вашим непосредственным персоналом и его уровнем компетенций.

Поскольку анализ документации и поиск необходимой информации – краеугольный камень всей оценки, снижение временных затрат на этом шаге радикально снижает сроки для всей услуги в целом. Если у вас в штате есть специалисты, способные оперативно взаимодействовать с оценщиком, отвечать на возникающие у него вопросы, исполнитель обязан предложить вам такую опцию, поскольку оценку в таких условиях можно провести в кратчайшие сроки. А если у вас еще и свободный технический писатель найдется, то… зачем вам вообще нужен внешний исполнитель? :)

Как видите, среди перечисленных пунктов отсутствует возможность просто исключить из процесса оценки компоненты доверия ОУД4 в целях экономии ресурсов и снижения затрат. Текущая официальная позиция ЦБ РФ не допускает выполнения лишь избранных шагов оценивания из методологии оценки. О чем мы подробно писали в предыдущей статье (+ здесь должна быть ссылка на первую опубликованную статью).

Таким образом, в технико-коммерческом предложении не должно быть написано, что исполнитель сделает для вас «анализ уязвимостей, путем исполнения лишь компонента AVA_VAN и его зависимостей». Это спекуляция, основанная на устаревших формулировках нормативных актов. Попытка переубедить вас в обратном будет означать, что вам пытаются продать некачественный товар.

Хороший контрагент выполнит для вас оценку целиком, включит в нее все требуемые компоненты доверия и пройдет все необходимые шаги. Но если в первую очередь вас интересует экономия, исполнитель постарается сделать каждый шаг как можно менее затратным, непременно предупредив вас об этом, согласовав все нюансы. Вы должны знать обо всех «подводных камнях».

Вернемся к вопросу из начала статьи и двум вариантам ответа на него. Мы рассмотрели варианты оптимизации в случае «бумажной» защиты. Но что, если вы заинтересованы в реальной безопасности?

В этом случае компромиссы недопустимы.

В случае реальной безопасности оценщик должен пройти весь путь, каждый его шаг, не делая никаких скидок и допущений.

В таком случае не следует слепо опираться на результаты предыдущих пентестов и аудитов, поскольку полученные в них итоги весьма недолговечны. Буквально после официального завершения пентеста какой-нибудь из ваших сотрудников может задеплоить на продуктивный контур ошибочную конфигурацию какого-либо компонента, позволяющую получить административные права, используя стандартные учетные данные – и все… Кроме того, есть вопрос, касающийся уверенности в подрядчике, который проводил данные работы. Насколько он был компетентен? Вполне возможно, что в процессе упустили что-то важное. Наконец, нельзя не сказать, что в принципе не бывает двух одинаковых пентестов, и каждый результат зависит от множества непостоянных факторов.

Абсолютно то же можно сказать и о сертифицированном ПО. Система сертификации настолько архаична, бюрократизирована и неповоротлива, что процесс этот для одной конкретной версии продукта может тянуться месяцами, если не годами. И получение сертификата соответствия в такой системе не гарантирует вам никакой безопасности в реальном мире современных информационных технологий.

А что можно сказать о вашем тестовом стенде, действующем на вашей же инфраструктуре? Если оценщик не участвовал самостоятельно в его подготовке, не настраивал и не отлаживал его, какие могут быть гарантии, что это вообще возможно? Отражены ли в вашей эксплуатационной документации все необходимые инструкции? Задокументированы ли все нюансы, которые надо учитывать при настройке продукта с самого нуля? Сохранены ли у вас все необходимые дистрибутивы? Может быть, все эти данные хранятся только в голове одного вашего конкретного сотрудника, поступающего так целенаправленно? В случае чрезвычайной ситуации при необходимости выполнить настройку продукта с нуля сделать это сможет только этот сотрудник. Вы готовы сделать свой бизнес зависимым от этого человека?

Наконец, рекомендуемый профиль ЦБ. Да, он большой и сложный. Да, ему трудно соответствовать. Но в нем нет случайных вещей. Каждый включенный в него аспект связан с реальным инцидентом из реальной жизни. Каждый содержащийся в нем компонент делает ваш продукт безопаснее и непробиваемее. Прежде чем выбрасывать из него что-либо, следует взвесить все за и против, оценить риски.

Что можно сказать в итоге? Какой бы вариант ответа вы для себя ни выбрали, мы со своей стороны готовы предложить вам свои лучшие компетенции для его реализации.

На этом о коммерческих предложениях все. А в следующей статье рассмотрим наиболее распространенные проблемы, с которыми нам приходится сталкиваться в процессе оценки отечественного финансового ПО.