УЦСБ подтвердил защиту Банка Синара. Регулятор доволен
Центр кибербезопасности УЦСБ завершил масштабную проверку цифровых сервисов Банка Синара и выдал положительное заключение о соответствии требованиям Центробанка. Проверка прошла по одному из самых высоких стандартов - оценочному уровню доверия ОУД4. Для банка это не просто галочка в регуляторном чек-листе, а подтверждение зрелости всей системы безопасности.
Что проверяли и как
Под анализ попали приложения сразу четырёх структур: Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара. Специалисты УЦСБ задействовали собственную платформу Apsafe - инструментарий охватил статический, композиционный и динамический анализ кода, а также пентест, имитирующий атаки реальных злоумышленников. Итог: более двух миллионов строк кода прошли через сканеры. Причём каждый автоматический сигнал верифицировался вручную - ложные тревоги отсеивали ещё до того, как они попадали к разработчикам.
Отдельная сложность - микросервисная архитектура продуктов. Команде пришлось разобраться во взаимодействии свыше 200 микросервисов, у каждого из которых собственная логика и непрерывный поток обновлений от нескольких команд разработки одновременно. Задача нетривиальная даже для опытных аналитиков.
Что такое ОУД4 и почему это важно
Уровень ОУД4 по ГОСТ ИСО/МЭК 15408 - это не базовая проверка на прочность. Стандарт требует углублённого анализа уязвимостей, включая компонент доверия AVA_VAN.3, который предполагает поиск брешей на заданную глубину проникновения. Проводить такую оценку вправе только организации с лицензией ФСТЭК России. УЦСБ - в их числе.
Для финансового сектора прохождение подобной процедуры всё больше становится нормой, а не исключением. Регулятор последовательно ужесточает требования к защищённости банковских приложений, и те игроки, кто выстраивает безопасность как процесс, а не латает дыры по факту инцидента, оказываются в очевидном выигрыше.
Что банк получил на выходе
Помимо официального заключения, Банк Синара встроил практики DevSecOps в регулярный цикл разработки. Теперь любое изменение кода автоматически уходит в Apsafe, проходит проверку на уязвимости и анализ влияния на смежные сервисы - и лишь после этого попадает в продуктив. Такой подход кардинально снижает стоимость исправления ошибок: найти проблему на этапе коммита куда дешевле, чем разбирать последствия инцидента.
- Проверено более 2 млн строк кода
- Проанализировано свыше 200 микросервисов
- Использованы методы SAST, SCA, DAST и пентест
- Все находки сканеров верифицированы аналитиками вручную
- DevSecOps интегрирован в постоянный цикл обновлений
«Крупные игроки финансового сектора не первый год задают ориентир в ИТ-отрасли, встраивая безопасность в сам процесс создания продуктов», - отметил руководитель направления разработки УЦСБ Евгений Тодышев. По его словам, такой подход в долгосрочной перспективе экономит ресурсы команды и минимизирует риски для клиентов.

