СДЕЛАТЬ ЗАКАЗ

Заказать экспертизу Получить письмо для суда

Пентест по 382-П, 683-П и 684-П Банка России

Где встречаются требования проводить пентест?

  • Согласно п. 2.5.5.1 Положения № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение (далее - пентест) и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры. Данное требование было введено указанием Банка России 4793-У. Фактически Банком России введено требование проведения пентеста на ежегодной основе.
  • Согласно п. 3.2 Положения № 683-П Центральный банк требует также обеспечить ежегодный пентест и анализ уязвимостей.
  • Согласно п.5.4 Положения № 684-П некредитные финансовые организации должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Требование распространяется на подавляющее большинство финансовых организаций, в первую очередь на банки.

Поскольку методика проведения пентестов регулятором не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:

  1. Пентест может привести к отказам в обслуживании, в случае, если обнаружена и использована существенная уязвимость. Разумеется, наступление негативных последствий зависит от квалификации исполнителя, однако, зачастую, это неизбежно. В связи с этим лучше напрямую оговорить в задании на пентест требования не эксплуатировать обнаруженные уязвимости.
  2. Пентест – достаточно объемное понятие. Он может включать в себя внешнее исследование (по методу черного ящика), открытый анализ существующей инфраструктуры (по методу белого ящика), смешанные методы (серый ящик), социальную инженерию и иные разделы. В связи с этим необходимо определиться с объемом тестирования. Это напрямую повлияет на полноту обнаруженных уязвимостей, но, в тоже время, отразится на сроках и стоимости.
  3. В качестве исполнителя работ может привлекаться только организация – лицензиат ФСТЭК России (лицензия на техническую защиту конфиденциальной информации).
  4. Требование проводить пентест по 382-П является нормативным и критерий достаточности не установлен, поэтому заказчику работ необходимо определиться с объемом проводимых работ. Для чего нужен пентест? Только ли для формального соответствия требованиям 382-П, 683-П, 684-П? Или для повышения безопасности банка, некредитной финансовой организации и оценки особо критичных объектов информационной инфраструктуры?

Более подробно следует остановиться на втором из приведенных выше пунктов. Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.

Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.

При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.

Следует различать проведение внутреннего и внешнего пентестов. Принципиальная разница между ними заключается в том, откуда производится тестирование. Для формального соответствия требованиям ЦБ по защите информации (действующим на момент написания статьи), достаточно тестирования и поиска уязвимостей во внешнем контуре. Для обеспечения более полного аудита состояния информационной безопасности - данная услуга может быть дополнена внутренним пентестом (рекомендуется экспертами RTM Group).

Для дальнейшего понимания разобьем пентест на три этапа:

  1. Сбор информации.
  2. Поиск уязвимостей.
  3. Эксплуатация уязвимостей.

Эксплуатация уязвимостей может спровоцировать отказ в обслуживании, поэтому требует дополнительного согласования и отдельной проработки.

Методики поиска уязвимостей существенно различаются по инструментарию и алгоритмам, и зависят от особенностей инфраструктуры. Сведения о шагах поиска приводятся в отчете о пентесте.

Существенное различие между внешним и внутренним пентестами заключается в сборе предварительных сведений. В рамках пентестов, проводимых согласно требованиям ЦБ, сведения предоставляются Заказчиком.

Пример технического задания на проведение пентеста по 382-П

п.п. Раздел Содержание раздела для внутреннего пентеста Содержание раздела для внешнего пентеста
1 Время тестирования 15 рабочих дней 5 рабочих дней
2 Время составления отчета 5 рабочих дней 5 рабочих дней
3 Формат тестирования
  • Поиск уязвимостей;
  • Анализ защищенности сервисов
  • Поиск уязвимостей;
  • Анализ защищенности сервисов
4 Объем тестирования
  • Рабочие станции – 10-20 шт.
  • Серверы – 5-10 шт.
  • WEB-сервисы – не тестируются
Общедостпуные ресурсы Заказчика - до 10 шт
5 Эксплуатация уязвимостей Не проводится Не проводится
6 Исходные данные для тестирования
  • VPN-доступ в сеть Заказчка
  • RDP-доступ к рабочей станции с правами непривелигированного пользователя домена
  • Права локального администратора на рабочей станции (по запросу)
IP и/или URL-адреса ресурсов Заказчка
7 Состав отчета
  1. Применяемые средства
  2. Методика тестирования
  3. Обнаруженные недостатки защищенности
  4. Перечень учетных записей, к которым удалось скомпрометировать пароли
  5. Перечень рекомендаций по повышению защищенности
8 Дополнительные условия Рядовые сотрудники отдела IT не должны обладать информацией, для которых предоставляется удаленный доступ к рабочей станции и VPN-соединение Необходимо обеспечить доступность (работоспособность) тестируемых ресурсов на все время проведения пентеста.
9 Стоимость от 200 000 рублей от 150 000 рублей
 

С учетом изложенных выше нюансов, RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов на проникновние – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия. Вы можете заказать тестирование во внешнему или внутреннему контурам отдельно, либо комплексное тестирование по стоимости от 300 000 рублей.

Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты
Лицензии RTM Group  

Цена проведения пентеста

Наименование экспертизы Стоимость
 

Тестирование на проникновение (пентест) и анализ уязвимостей

 
от 150 000 рублей

Заказать пентест

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25 Время работы: пн-пт 10:00 — 17:00 (мск) email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму - от 1 до 7 часов. Заявки принимаются круглосуточно.