Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Поможем выбрать модель подключения к единой биометрической системе без лишних рисков
Подключение к ЕБС под ключ
Объединим технологии мониторинга, анализа и реагирования в единый контур кибербезопасности
Единая экосистема защиты
Внедрение передовых ИИ-решений для автоматизации процессов и повышения эффективности ИБ-команд
ИИ в кибербезопасности
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
Построение СОИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Безопасная разработка в 2026 году
Как 117 приказ ФСТЭК России меняет правила игры и что делать с ИИ
Подробнее
Назад
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
Сетевая безопасность
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Создание централизованной ИБ-системы
на предприятии
Построение СОИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Безопасная разработка в 2026 году
Как 117 приказ ФСТЭК России меняет правила игры и что делать с ИИ
Вперед
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Вебинары
Разбираем актуальные темы и тренды в рамках кибербезопасности и ИТ
Подробнее
Назад
Повышение киберграмотности сотрудников
SA
Предотвращение утечек информации
DLP
Многофакторная аутентификация
MFA
Контроль привилегированного доступа
PAM
Управление инцидентами ИБ
IRP/SOAR
Киберразведка
TI
Вебинары
Разбираем актуальные темы и тренды в рамках кибербезопасности и ИТ
Вперед
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
Apsafe
Пилот CheckU на 30 дней
Готовые методики, автоматизация, аналитика нарушений и план устранения несоответствий
Разбор актуальных тем по информационной безопасности от экспертов УЦСБ
Вебинары
Регулярные ответы на вопросы по инфомационной безопасности
FAQ ИБ
Последние новости и мероприятия Центра кибербезопасности УЦСБ
Новости
Обзор изменений
в законодательстве
за май 2026 года
Разбор законодательства
от аналитиков УЦСБ
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Контакты
О центре
Новости
Сервисы
Решения
Услуги
Контакты
О центре
Новости
Сервисы
Решения
ИИ в кибербезопасности
Внедрение передовых ИИ-решений для автоматизации процессов и повышения эффективности ИБ-команд
Единая экосистема защиты
Объединим технологии мониторинга, анализа и реагирования в единый контур кибербезопасности
Подключение к ЕБС под ключ
Поможем выбрать модель подключения к единой биометрической системе без лишних рисков
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
Услуги
Контакты
О центре
Новости
Сервисы
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Решения
Услуги
Контакты
О центре
Новости
CheckU
Комплексное решение для контроля соответствия требованиям ИБ
УЦСБ SOC
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
Apsafe
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
Сервисы
Решения
Услуги
Контакты
О центре
Сервисы
Вебинары
Разбор актуальных тем по информационной безопасности от экспертов УЦСБ
FAQ ИБ
Регулярные ответы на вопросы по инфомационной безопасности
Новости
Последние новости и мероприятия Центра кибербезопасности УЦСБ
Новости
Решения
Услуги
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Понятно
Главная / О Центре / Новости / Безопасный код в каждом релизе. Как регулярно выпускать защищенное ПО и соблюдать требования закона?













Безопасный код в каждом релизе. Как регулярно выпускать защищенное ПО и соблюдать требования закона?

9 июля 2026

Создать функциональный финансовый продукт для клиентов и одновременно обеспечить высокий уровень его информационной безопасности (ИБ) — две задачи, между которыми часто балансируют банки. Чтобы не отставать от конкурентов, продукт нужно регулярно обновлять, но при этом безопасность должна быть встроена в разработку и не мешать выпускать обновленные версии вовремя.

Ситуацию усложняют требования регуляторов, поскольку сбор данных и подготовка документов для подтверждения соответствия законодательным нормам часто занимают много времени и замедляют развитие продукта.

Решить эти сложности помогает подключение к проекту ИТ-команд со своими инструментами анализа кода и богатым опытом внедрения практик безопасной разработки (DevSecOps) на всех этапах создания ПО. Так поступила команда разработки Банка Синара — для анализа защищенности своих финансовых сервисов и их оценки на соответствие требованиям ЦБ РФ она привлекла экспертов Центра кибербезопасности УЦСБ.

Apsafe как инструмент анализа: основные преимущества

Для анализа защищенности приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара использовали облачную платформу Apsafe — собственный продукт УЦСБ, который позволяет встроить процессы DevSecOps в уже существующую инфраструктуру разработки без ее изменений, а также обеспечить соответствие ПО требованиям закона.

В экосистему Apsafe входят множество автоматизированных инструментов безопасной разработки, но результаты проверок верифицируются аналитиком вручную. Такой подход исключает наличие ложных срабатываний в итоговом анализе кода.

Автоматизация проверок безопасности: интеграция Apsafe без нарушения привычных процессов разработки

Apsafe встроили в уже существующий процесс разработки на базе GitLab, не ломая цикл релизов продукта. Проверка запускается автоматически в стандартном CI/СD-пайплайне Банка Синара и не требует ручных действий разработчиков, поэтому для них это просто еще один этап в привычной цепочке сборки и поставки кода. Разработка ведется в двух ветках: основной, из которой пользователи получают обновления продукта, и в ветке с новыми функциями.

Через Apsafe проходят как новые изменения, так и релизы. Когда разработчики вносят в приложение очередные изменения, то они автоматически попадают в Apsafe, где проверяются на уязвимости и их возможное влияние на другие сервисы Банка Синара. Только после этого обновления переносятся в основную ветку и становятся частью рабочей версии продукта.

Взаимодействие команд: от обнаружения уязвимости до таск-трекера разработчиков

Первичную проверку уязвимостей проводит Appsec-специалист УЦСБ. Он анализирует срабатывания Apsafe, выбирает нужный фрагмент в коде, смотрит, почему сканер указал именно на эту строку, изучает потенциальную уязвимость и возможные точки ее эксплуатации.

Затем специалист оформляет карточку уязвимости: объясняет суть проблемы и прописывает практический сценарий эксплуатации уязвимости. Далее он рекомендует, что нужно сделать, чтобы ее закрыть, и выставляет оценку по метрике CVSS. Она используется для приоритизации в Apsafe — наиболее критичные проблемы поднимаются выше в таск-трекере Заказчика, и разработчики видят их раньше.

Взаимодействие команд строится через систему задач, доступ к которой есть не только у тимлидов, но и у рядовых разработчиков. Они могут задать экспертам УЦСБ вопросы по любой найденной уязвимости или рассказать про уже наложенные средства защиты и другие реализованные решения. Такая совместная работа повышает уровень зрелости ИБ Заказчика.

Оценка безопасности по ОУД4 с использованием Apsafe: два этапа анализа

Наличие уязвимостей в любом продукте, связанном с финансовыми операциями, и его способность противостоять злоумышленнику с базовым потенциалом нападения подтверждаются соответствием требованиям ОУД 4 (оценочный уровень доверия четвертого уровня). Они сформулированы ЦБ РФ в документах 821-П, 851-П, 757-П.

Для проведения таких работ необходимо, чтобы у исполнителя была действующая лицензия ФСТЭК России на деятельность по технической защите информации, предусмотренной подпунктами «б», «д» или «е» пункта 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства РФ №79».

Банк Синара уже второй раз доверил оценку соответствия требованиям ОУД 4 Центру кибербезопасности УЦСБ. Компетенции команды подтверждаются действующей лицензией ФСТЭК России и большим практическим опытом — Центр реализует более 200 проектов по безопасной разработке в год, а экспертиза УЦСБ в ИБ и ИТ насчитывает более 19 лет.

Анализ на соответствие требованиям ОУД4 разделили на два этапа.

Обследование объекта оценки — команда УЦСБ изучила документацию по приложениям и провела интервью с разработчиками и представителями ИБ-службы Заказчика, чтобы понять устройство продукта, реализацию в нем функций безопасности и порядок его развертывания и конфигурирования.
Анализ уязвимостей с помощью Apsafe — на этом этапе использовались несколько инструментов из стека платформы:

  • SAST (Static Application Security Testing) — статический анализ кода, который позволяет находить дефекты в исходном коде продукта в момент его разработки;
  • SCA (Software Composition Analysis) — композиционный анализ состава ПО для обнаружения угроз в подключаемых компонентах и соблюдения политик использования открытого кода;
  • DAST (Dynamic Application Security Testing) — динамический анализ безопасности приложения. Он выявляет уязвимости методом «черного ящика» в работающем ПО, когда тестирование проводится без доступа к исходному коду. Похожим образом действуют злоумышленники.
С помощью SAST и SCA проверили более двух миллионов строк кода. Также Apsafe использовался для сосредоточенного анализа уязвимостей по компоненту доверия AVA_VAN.3*, предусмотренному ГОСТ 15408-3-2013. Помимо этого, был проведен пентест, который моделирует реальные действия хакеров и помогает выявить слабые места в защите продукта.

В результате этих работ эксперты УЦСБ подготовили для Банка Синара промежуточный отчет с перечнем уязвимостей, обязательных к устранению. После их закрытия Заказчик получил положительное заключение на соответствие финансовых сервисов Банка Синара требованиям ОУД4.

*AVA_VAN — семейство требований к анализу уязвимостей в рамках международного стандарта «Общие критерии» (ГОСТ Р ИСО/МЭК 15408). 3 — это уровень глубины анализа. Максимальный уровень — 5.  

Анализ микросервисного ландшафта: какие сложности он может вызвать

Отдельной непростой задачей для команды УЦСБ стала работа с микросервисной архитектурой приложения. Один микросервис сам по себе не создает серьезных трудностей для анализа защищенности. Сложности возникают при анализе взаимодействия этих сервисов между собой, так как у каждого из них большое количество собственных сценариев работы.

Дополнительные вызовы создавал масштаб архитектуры — множество строк кода, которые было необходимо проанализировать, и изменений, регулярно поступавших от нескольких команд разработки Банка Синара. Эти барьеры эксперты УЦСБ преодолели в ходе проекта, проверив более 200 микросервисов приложений.

Адаптация интерфейса под потребности Заказчика: расширенная аналитика и автоматизированная проверка исправленных уязвимостей

Для эффективного и удобного использования платформы Apsafe, команда УЦСБ добавила новые метрики и настроила интерфейс для Заказчика, так чтобы ключевая информация была наглядно представлена.

Добавлено отслеживание количества измененных строк кода — для прозрачного контроля объема работ в рамках договора, показатель вывели в наглядном виде в дефект-трекер. Метрику можно смотреть как за весь период использования Apsafe, так и за определенное время.

Расширена аналитика по уязвимостям — настроили возможность отслеживания наиболее уязвимых сервисов и временной статистики, которая показывает, сколько новых уязвимостей возникает и закрывается, и как меняется баланс этих значений.

Автоматизирована проверка исправления уязвимостей — Apsafe сравнивает список подтвержденных уязвимостей в прошлых версиях кода с текущими отчетами и отслеживает случаи, когда уязвимость была, а затем перестала детектироваться. Такие ситуации автоматически выделяются специальным статусом и передаются на разбор сотруднику, который проверяет, связано ли исчезновение с ошибкой или уязвимость действительно устранена разработчиками.

Реализована новая «плоскость» персональной аналитики — можно объединять несколько сервисов в одно приложение и смотреть показатели уже на его уровне, а не по отдельным сервисам. В этом разрезе учитываются количество наиболее уязвимых сервисов, общий объем найденных и число подтвержденных уязвимостей.

Итог: встроенные практики DevSecOps и подтвержденная безопасность продукта

Благодаря совместной работе команд Центра кибербезопасности УЦСБ и Банка Синара практики DevSecOps были органично встроены в процесс обновления кода — от момента, когда разработчик вносит изменение, до его появления в продукте.

Кроме того, важно отметить регуляторную часть проекта. Во время проверки приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара на соответствие требованиям ОУД4 Apsafe использовали как основной инструмент поиска уязвимостей. В результате этой работы Заказчик получил положительное заключение и успешно прошел проверку ЦБ РФ.

Если компании необходимо регулярно выпускать обновления продукта и при этом обеспечить его безопасность, то Apsafe — оптимальный инструмент для решения этой задачи. Это собственное решение УЦСБ, с которым внедрение DevSecOps занимает не более 10 дней и будет выгоднее, чем найм одного AppSec-инженера и покупка инструментов анализа защищенности*.

*При подключении базового пакета. При подключении от двух приложений применяется прогрессивная модель скидок.


Узнать больше про Apsafe и заказать пилот

Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных