Опубликованы методические рекомендации Банка России (2-МР)

Опубликованы методические рекомендации Банка России (2-МР)

22 января Банк России опубликовал методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей.

Выпущенные методические рекомендации, в первую очередь, конкретизируют область пентеста – системы дистанционного обслуживания клиентов и связанные с ними. Ранее существовал дискуссионные момент в части определения области тестирования на проникновение.

При этом рекомендуется проводить как внутреннее, так и внешнее тестирование на проникновение.

Объекты инфраструктуры, подлежащие тестированию, рекомендуется описывать согласно 18-МР, с указанием технологических участков. Также указываются объекты, НЕ подлежащие тестированию с обоснованием их исключения из области проведения пентеста.
Банк России рекомендует при проведении пентеста актуализировать:

  • Модель угроз
  • Техзадание
  • Соглашение об ответственности
  • План восстановления

При этом модель угроз составляется по методике ФСТЭК 2021 года.

Рекомендации содержат перечень пунктов, которые должно содержать ТЗ, включая перечень отчетных документов и сроки повторного тестирования.

Тестирование рекомендуется проводить методами черного, серого и белого ящиков. Для анализа уязвимостей (в том числе исходного кода) руководствоваться стандартами, которые ранее применялись в рамках работ по ОУД4.

Тестирование на проникновение можно проводить самостоятельно, либо с привлечением подрядчика.

Самостоятельному проведению посвящен отдельный раздел документа:

  • Пентест не должны проводить сотрудники ИБ (вероятно, во избежание конфликта интересов)
  • Подрядчик, в свою очередь, должен иметь пункт «б» лицензии ТЗКИ и подтвержденный трехлетний опыт проведения работ в финансовых организациях
  • Сотрудники подрядчика не должны находиться за пределами РФ и не должны участвовать в создании/эксплуатации системы защиты информации финансовой организации

В случае выявления в ходе проведения тестирования инцидентов защиты информации, следует сообщать о них в ЦБ и ФСТЭК, с указанием источника выявления инцидента.