Опубликованы методические рекомендации Банка России (2-МР)

22 января Банк России опубликовал методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей.
Выпущенные методические рекомендации, в первую очередь, конкретизируют область пентеста – системы дистанционного обслуживания клиентов и связанные с ними. Ранее существовал дискуссионные момент в части определения области тестирования на проникновение.
При этом рекомендуется проводить как внутреннее, так и внешнее тестирование на проникновение.
Объекты инфраструктуры, подлежащие тестированию, рекомендуется описывать согласно 18-МР, с указанием технологических участков. Также указываются объекты, НЕ подлежащие тестированию с обоснованием их исключения из области проведения пентеста.
Банк России рекомендует при проведении пентеста актуализировать:
- Модель угроз
- Техзадание
- Соглашение об ответственности
- План восстановления
При этом модель угроз составляется по методике ФСТЭК 2021 года.
Рекомендации содержат перечень пунктов, которые должно содержать ТЗ, включая перечень отчетных документов и сроки повторного тестирования.
Тестирование рекомендуется проводить методами черного, серого и белого ящиков. Для анализа уязвимостей (в том числе исходного кода) руководствоваться стандартами, которые ранее применялись в рамках работ по ОУД4.
Тестирование на проникновение можно проводить самостоятельно, либо с привлечением подрядчика.
Самостоятельному проведению посвящен отдельный раздел документа:
- Пентест не должны проводить сотрудники ИБ (вероятно, во избежание конфликта интересов)
- Подрядчик, в свою очередь, должен иметь пункт «б» лицензии ТЗКИ и подтвержденный трехлетний опыт проведения работ в финансовых организациях
- Сотрудники подрядчика не должны находиться за пределами РФ и не должны участвовать в создании/эксплуатации системы защиты информации финансовой организации
В случае выявления в ходе проведения тестирования инцидентов защиты информации, следует сообщать о них в ЦБ и ФСТЭК, с указанием источника выявления инцидента.