СДЕЛАТЬ ЗАКАЗ

Заказать экспертизу Получить письмо для суда

Пентест по 382-П

Согласно п. 2.5.5.1 Положения № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение (далее - пентест) и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Данное требование было введено указанием Банка России 4793-У. Фактически Банком России введено требование проведения пентеста на ежегодной основе.

Требование распространяется на подавляющее большинство финансовых организаций, в первую очередь на банки.

Поскольку методика проведения пентестов регулятором не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:

  1. Пентест может привести к отказам в обслуживании, в случае, если обнаружена и использована существенная уязвимость. Разумеется, наступление негативных последствий зависит от квалификации исполнителя, однако, зачастую, это неизбежно. В связи с этим лучше напрямую оговорить в задании на пентест требования не эксплуатировать обнаруженные уязвимости.
  2. Пентест – достаточно объемное понятие. Он может включать в себя внешнее исследование (по методу черного ящика), открытый анализ существующей инфраструктуры (по методу белого ящика), смешанные методы (серый ящик), социальную инженерию и иные разделы. В связи с этим необходимо определиться с объемом тестирования. Это напрямую повлияет на полноту обнаруженных уязвимостей, но, в тоже время, отразится на сроках и стоимости.
  3. В качестве исполнителя работ может привлекаться только организация – лицензиат ФСТЭК России (лицензия на техническую защиту конфиденциальной информации).
  4. Требование проводить пентест по 382-П является нормативным и критерий достаточности не установлен, поэтому заказчику работ необходимо определиться с объемом проводимых работ. Для чего нужен пентест? Только ли для формального соответствия требованиям 382-П? Или для повышения безопасности банка и оценки особо критичных объектов информационной инфраструктуры?

Более подробно следует остановиться на втором из приведенных выше пунктов. Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.

Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.

При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.

Пример технического задания на проведение пентеста по 382-П

№ п.п. Раздел Содержание раздела
1 Время тестирования 10 рабочих дней
2 Время составления отчета 10 рабочих дней
3 Формат тестирования
  • Поиск уязвимостей;
  • Проверка сложности паролей;
  • Анализ защищенности сервисов
4 Объем тестирования
  • Рабочие станции – 10-20 шт.
  • Серверы – 5-10 шт.
  • WEB-сервисы – не тестируются
5 Эксплуатация уязвимостей Не проводится
6 Исходные данные для тестирования
  • VPN-доступ в сеть
  • RDP-доступ к рабочей станции с правами пользователя домена
  • Права локального администратора на рабочей станции (по запросу)
7 Состав отчета
  1. Применяемые средства
  2. Методика тестирования
  3. Обнаруженные недостатки защищенности
  4. Перечень учетных записей, к которым удалось скомпрометировать пароли
8 Дополнительные условия Рядовые сотрудники отдела IT не должны обладать информацией, для которых предоставляется удаленный доступ к рабочей станции и VPN-соединение
 

С учетом изложенных выше нюансов, RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия.

Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты
Лицензии RTM Group  

Цена проведения пентеста

Наименование экспертизы Стоимость
 

Тестирование на проникновение (пентест)

 
от 250 000 рублей

Заказать пентест

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25 Время работы: пн-пт 10:00 — 17:00 (мск) email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму - от 1 до 7 часов. Заявки принимаются круглосуточно.