54—63 Безопасность бизнесприложений: как избежать «недекларированных возможностей» Рустэм Хайретдинов CEO компании Appercut Security ум интернетбанкинга, сис тем дистанционного банковского обслуживания и первые экспери менты в мобильном банкинге приве ли к тому, что сейчас собственным банковским приложением распола гает большинство российских бан ков. <...> Ктото разрабатывает системы интернетобслуживания клиентов самостоятельно, ктото нанимает контрактных разработчиков, ктото заказывает разработку в специали зированных компаниях. <...> Б Среди требований к таким прило жениям прежде всего определяются бизнестребования, т. е. требования к основному функционалу. <...> Программа должна делать то, для чего предназ начена: позволять клиентам осуще ствлять доступ к данным и менять их в пределах бизнесправил. <...> Клиенты должны иметь возможность видеть состояние своего счета и проводить операции со своими средствами, опе рационисты — видеть клиентские счета и проводить с ними операции, аналитики — видеть сводные отчеты, администраторы — управлять досту пом к данным клиентов, операционис тов и аналитиков и т. д. и т. п. <...> Требования к безопасности данных и процессов чаще всего ограничива ются разграничением доступа поль зователей системы к данным и спо собом их авторизации в системе. <...> До недавнего времени считалось, что этого достаточно, чтобы обеспечить защиту данных в приложении. <...> С появ лением же интернетприложений, ин терфейсы которых «смотрят» в Сеть и теоретически доступ к ним могут по лучить все пользователи Интернета, стандарты защищенности приложе ний пришлось пересматривать. <...> Модели угроз для банковских при ложений прежде всего строятся во круг хакеров, атакующих приложения через известные уязвимости. <...> Для борьбы с такими угрозами применя ются сканеры уязвимостей. <...> Если это уязвимости браузеров или СУБД, то за их исправление от вечают производители, чаще <...>