Перейти к содержанию

Приложение 3. Описание стандартов безопасности

  • OWASP Mobile Top-10. OWASP (Open Web Application Security Project) Mobile Top-10 — это открытый проект обеспечения безопасности веб-приложений. Цель проекта — увеличение осведомленности о безопасности приложений при помощи определения наиболее критичных рисков, угрожающих организациям. На проект Mobile Top-10 ссылается множество стандартов ИБ, инструментов и организаций, включая PCI DSS и множество других. Описание проекта доступно по ссылке: https://owasp.org/www-project-top-ten/.
  • OWASP MASVS (Mobile Application Security Verification Standard) — стандарт безопасности мобильных приложений от OWASP (Open Web Application Security Project). Этот стандарт могут использовать архитекторы и разработчики мобильного программного обеспечения, стремящиеся разрабатывать безопасные мобильные приложения, а также тестировщики и инженеры по ИБ для обеспечения полноты и согласованности результатов тестирования. Существует версия стандарта на русском языке. Информация о стандарте доступна по ссылке: https://owasp.org/www-project-mobile-security-testing-guide/.
  • PCI DSS (Payment Card Industry Data Security Standard) — это стандарт информационной безопасности для организаций, которые работают с кредитными картами из основных систем банковских карт. Соответствие стандарту PCI DSS требуется такими брендами карт, как Visa, Mastercard и  т. п. Этот процесс администрируется Советом по стандартам безопасности индустрии платежных карт. Стандарт был создан для усиления контроля за данными о держателях карт, чтобы снизить вероятность мошенничества с кредитными картами. Сайт организации: https://www.pcisecuritystandards.org.
  • PCI SSF (PCI Software Security Framework) — это набор стандартов и программ для безопасного проектирования, разработки и обслуживания платежного программного обеспечения. Более подробная информация доступна по ссылке.
  • ОУД4 — в соответствии с требованиями Банка России необходимо осуществлять анализ уязвимостей в прикладном программного обеспечения не ниже, чем по оценочному уровню доверия 4 (ОУД 4), определенному в ГОСТ Р ИСО/МЭК 15408-3-2013. Подробный обзор ОУД 4 доступен по ссылке.
  • ГОСТ-57580 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций» — это стандарт, определяющий уровни защиты информации и соответствующие им требования информационной безопасности для финансовых организаций.
  • GDPR (General Data Protection Regulation). Этот европейский стандарт по защите данных применяется во всех государствах-членах Евросоюза (European Union, EU) и в Европейской экономической зоне (European Economic Area, EEA) для гармонизации законов о конфиденциальности данных в Европе. Он также касается передачи личных данных за пределы EU и EEA. Информация о стандарте доступна по ссылке: https://gdpr-info.eu.
  • СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации) — комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства. Продвижением стандарта, а также его регулярным обновлением и улучшением занимается некоммерческое партнерство Ассоциация пользователей стандартов по информационной безопасности «АБИСС» (сайт организации: http://www.abiss.ru).

 

К началу