2.3.1. Использование и основные функциональные возможности безопасности ОО
Настоящий ПЗ определяет требования безопасности к ОО. На ОО обрабатывается защищаемая информация на участках, используемых для передачи и приема первичных документов (содержащихся в электронных сообщениях) к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").
ОО представляет собой прикладное программное обеспечение, предоставляемое поставщиком или разработчиком, которое используется для предоставления клиентам финансовых организаций сервисов и доступа клиентам к услугам дистанционного обслуживания.
ОО размещается на технологических участках передачи и приема первичных документов (содержащихся в электронных сообщениях) к исполнению финансовой организацией с использованием сети "Интернет".
При этом ОО:
- устанавливается в изолированном сегменте сети, сопряженном с сетью "Интернет", на инфраструктуре финансовой организации, входит в состав автоматизированной системы финансовой организации и взаимодействует с обеспечивающими компонентами автоматизированных систем (фронт-офисное СПО);
- устанавливается на отдельном устройстве или компоненте инфраструктуры клиента финансовой организации, сопряженном с сетью "Интернет", в качестве прикладного программного обеспечения - приложения (клиентское ППО).
Функциональные требования безопасности (ФТБ), включенные в настоящий ПЗ, обеспечивают исключение возникновения типовых недостатков при реализации требований к прикладному программному обеспечению автоматизированных систем и приложений финансовых организаций, создающих условия для возникновения недопустимых рисков при эксплуатации автоматизированных систем финансовой организации.
Состав ФТБ, включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности ОО:
- защиту пользовательских данных (ограничение доступа к аппаратным ресурсам платформы, хранилищам защищаемой информации, сетевым коммуникациям);
- управление безопасностью (использование механизмов конфигурации, определение параметров конфигурации по умолчанию, назначение функций управления);
- защиту персональной идентификационной информации;
- защиту функций безопасности ОО (ограничение использования поддерживаемых сервисов, противодействие использованию уязвимостей безопасности, обеспечение целостности при установке и обновлении, ограничение использования сторонних библиотек);
- использование доверенного пути/канала передачи данных.
Функциональные требования безопасности для ОО выражены на основе компонентов требований из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" и специальных (расширенных) компонентов.
Требования доверия к безопасности ОО включают оценочный уровень доверия 4 (ОУД4) согласно ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", усиленный дополнительными компонентами из ГОСТ Р ИСО/МЭК 15408-3-2013, а также расширенный компонентами, определенными в явном виде. Компоненты требований доверия учитывают положения Рекомендаций в области стандартизации Банка России РС БР ИББС-2.6-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем".