Pentest (пентест) и анализ уязвимостей | Пример ТЗ | Cтоимость - RTM Group
8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
Контакты Поиск
RTM Group » Услуги » Информационная безопасность » Тест на проникновение (пентест) и анализ уязвимостей

Тест на проникновение (пентест) и анализ уязвимостей

Мы предлагаем:

  • Внешний пентест;
  • Внутренний пентест;
  • Социальная инженерия;
  • RED TEAM.

Вы получаете:

Различные подходы при тестировании позволяют не только формально удовлетворять требованиям положения, но и быть уверенными в защищенности Вашей информационной инфраструктуры.

Почему мы:

  • Более 50 положительных отзывов на наши пентесты.
  • Собственные методики, основанные на мировых стандартах, таких как ГОСТ/ISO, NIST и общепринятых классификаторах, таких как OWASP TOP10.

Важно:

Тестирование на проникновение требуется как 683-П, 719-П, 757-П, так и ГОСТ 57580, и если Вы хотите повысить уровень информационной безопасности своего предприятия.

Тест на проникновение (пентест) и анализ уязвимостей - изображение услуги
Нужен пентест?
Заказать услугу

Эксперты по проведению пентеста и анализа уязвимостей

Эксперт по проведению пентеста и анализа уязвимостей Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по проведению пентеста и анализа уязвимостей Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Где встречаются требования проводить пентест?

Тестирование на проникновение (пентест, penetration test) – это моделирование действия злоумышленника, направленное на обнаружение уязвимостей информационной безопасности, и как следствие, повышение уровня защищенности.

Пентест необходим для проверки уровня информационной безопасности инфраструктуры организации, а так же требуется банкам и некредитным финансовым организациям (согласно положениям Банка России 683-П, 719-П, 757-П). Также пентест требуется для обеспечения безопасности значимых объектов КИИ.

Компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия.

Проведение пентеста требуется согласно положениям Банка России 683-П, 719-П и 757-П

В РФ проведение пентеста требуется согласно положениям Банка России 683-П, 719-П и 757-П. Причем последнее затрагивает не только банки, но и некредитные финансовые организации.

  1. Согласно п. 3.2 Положения № 683-П Центральный банк требует также обеспечить ежегодный пентест и анализ уязвимостей.
  2. Согласно п. 1.1 Положению № 719-П требуется ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры с учетом особенностей, предусмотренных пунктами 3.8 и 3.9 настоящего Положения.
  3. Согласно п.1.4.5 Положения № 757-П некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации должны осуществлять ежегодное тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
  4. Согласно п.12.6 (п.п. “д”) Приказа ФСТЭК России от 25.12.2017 г. № 239 для значимых объектов критической информационной инфраструктуры необходимо тестирование на проникновение в условиях, соответствующих возможностям нарушителей, определенных в модели угроз безопасности информации.

Важно!

В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 “О лицензировании деятельности по технической защите конфиденциальной информации” тестирование на проникновение является лицензируемым видом деятельности и проводить пентест имеют право только организации имеющие лицензию ФСТЭК на ТЗКИ.

Каким бывает пентест: варианты тестирования

Тестирование на проникновение может быть внешним и внутренним. В качестве одного из элементов внешнего пентеста выделяется социальная инженерия.
Типы пентеста

Внешний пентест

Внешний пентест моделирует действия нарушителя, и предполагает действия хакера снаружи. Данный вариант пентеста состоит из следующих этапов:

  1. Сбор информации. Пентестера интересуют, как правило, адреса внешнего периметра Заказчика – web-сайты, серверы. При этом анализируется как общедоступная информация, информация переданная Заказчиком, так и, в ряде случаев, конфиденциальная информация, полученная от третьих лиц. Часть сведений или вся необходимая информация может быть передана по договору Исполнителю непосредственно Заказчиком.
  2. Поиск уязвимостей. На данном этапе применяются различные сканеры, которые, в общем случае, могут дополнять друг-друга. Из наиболее известных – Nessus, XSpider, OpenVAS, Maxpatrol.
  3. Эксплуатация уязвимостей. На данном этапе от пентестеров требуется творческий подход – ведь этичному хакеру нельзя допустить ущерб инфраструктуре Заказчика, поэтому данный этап в ряде случаев пропускается. Эксплуатация уязвимостей происходит только с согласия Заказчика при условии не допустить нарушение функционирования систем.

Отдельным направлением внешнего пентеста является социальная инженерия. Наиболее массово используемым ее видом инструментом является рассылка зараженных электронных писем. По результатам рассылки анализируется не только работа антивирусных средств и инструментов мониторинга трафика, но и главный фактор – ответственность сотрудников при реагировании на получение подобных писем. Сам факт открытия письма уже может быть предметом внутреннего разбирательства или основанием для обучения сотрудников базовым требованиям ИБ.

Внутренний пентест

Внутренний пентест проводится в целях проверки инфраструктуры заказчика на наличие уязвимостей изнутри. При этом пентестер получает доступ внутрь с правами рядового пользователя (либо вообще без прав), но с физическим доступом к сети или рабочему месту. При этом тестирование может производиться как удаленно, посредством VPN-подключения, либо с присутствием пентестера на территории Заказчика.

Поскольку внутренние нарушители составляют основную массу в числе инцидентов ИБ, именно внутренний пентест представляет особый интерес. При этом нет необходимости искать точки входа – ведь моделируется ситуация, когда хакер уже проник внутрь. Поэтому его действия состоят из следующих этапов:

  1. Поиск доступной информации (зачастую рядовому пользователю доступна конфиденциальная информация, находящаяся на сетевом ресурсе, просто ярлык от ресурса явно не выведен на рабочий стол)
  2. Повышение прав доступа за счет эксплуатации известных уязвимостей
  3. Повторный поиск информации с повышенными правами – в зависимости от согласованного с заказчиком ТЗ.

Методика проведения пентеста

Поскольку методика проведения пентестов регуляторами не определена, опишем основные нюансы, которые следует учесть при выполнении данного требования:
Методика проведения пентеста

  1. Пентест (pentest) может привести к отказам в обслуживании, в случае, если обнаружена и использована существенная уязвимость. Разумеется, наступление негативных последствий зависит от квалификации исполнителя, однако, зачастую, это неизбежно. В связи с этим лучше напрямую оговорить в техническом задании на пентест или применяемой методике пентеста требование не эксплуатировать обнаруженные уязвимости.
  2. Тестирование на проникновение – достаточно широкое понятие. Оно может включать в себя внешнее исследование (по методу черного ящика), открытый анализ существующей инфраструктуры (по методу белого ящика), смешанные методы (серый ящик), социальную инженерию и иные разделы. В связи с этим необходимо определиться с объемом тестирования. Это напрямую повлияет на полноту обнаруженных уязвимостей, но, в то же время, отразится на сроках и стоимости.
  3. В качестве исполнителя работ может привлекаться организация – лицензиат ФСТЭК России (имеющая лицензию на техническую защиту конфиденциальной информации).
  4. Требование проводить пентест является нормативным и критерий достаточности не установлен, поэтому заказчику работ необходимо определиться с объемом проводимых работ.

Очевидно, что наиболее полным тестированием будет смешанное – открытый анализ и пентест по черному ящику. При этом следует оговорить независимость экспертов, реализующих данные подходы.

Однако, как было отмечено выше, подобное исследование может быть чрезвычайно дорогостоящим и длительным. Поэтому тестирование можно проводить не на всей инфраструктуре, а на выборке – например, утвердив перечень серверов, сервисов, рабочих станций или информационных систем, используемых банком.

При выборе направления для тестирования (внешнее или внутреннее) по черному ящику – следует помнить, что подавляющее большинство нарушений доступа к информации – следствие внутренних нарушителей.

Методики поиска уязвимостей существенно различаются по инструментарию и алгоритмам, и зависят от особенностей инфраструктуры. Сведения о шагах поиска приводятся в отчете о пентесте.

Существенное различие между внешним и внутренним пентестами заключается в сборе предварительных сведений. В рамках пентестов, проводимых согласно требованиям ЦБ, сведения предоставляются Заказчиком.

    Нужна консультация?
    Задать вопрос

    Какие результаты пентеста можно получить?

    В результате действий пентестера, выявляются недостатки информационной безопасности, которые могут заключаться в следующем:

    1. Некорректное разграничение прав доступа
    2. Слабые пароли
    3. Неактуальные версии программного обеспечения
    4. Плохая сегментация вычислительной сети
    5. И пр.

    Пример технического задания на проведение пентеста по требованиям ЦБ РФ


    п.п.    		 Раздел Содержание раздела для внутреннего пентеста
    		 Содержание раздела для внешнего пентеста
    1 Время тестирования 15 рабочих дней 5 рабочих дней
    2 Время составления отчета 5 рабочих дней 5 рабочих дней
    3 Формат тестирования
    • Поиск уязвимостей;
    • Анализ защищенности сервисов
    • Поиск уязвимостей;
    • Анализ защищенности сервисов
    4 Объем тестирования
    • Рабочие станции – 10-20 шт.
    • Серверы – 5-10 шт.
    • WEB-сервисы – не тестируются
    		 Общедоступные ресурсы Заказчика – до 10 шт.
    5 Эксплуатация уязвимостей Не проводится Не проводится
    6 Исходные данные для тестирования
    • VPN-доступ в сеть Заказчика
    • RDP-доступ к рабочей станции с правами непривилегированного пользователя домена
    • Права локального администратора на рабочей станции (по запросу)
    		 IP и/или URL-адреса ресурсов Заказчика
    7 Состав отчета
    1. Применяемые средства
    2. Методика тестирования
    3. Обнаруженные недостатки защищенности
    4. Перечень учетных записей, к которым удалось скомпрометировать пароли
    5. Перечень рекомендаций по повышению защищенности
    8 Дополнительные условия Рядовые сотрудники отдела IT не должны обладать информацией, для которых предоставляется удаленный доступ к рабочей станции и VPN-соединение Необходимо обеспечить доступность (работоспособность) тестируемых ресурсов на все время проведения пентеста.
    9
    		 Стоимость от 300 000 рублей от 200 000 рублей

     

    С учетом изложенных выше нюансов, компания RTM Group предлагает наиболее сбалансированный и экономный подход к проведению пентестов – позволяющий не только выполнить требования Банка России, но и повысить уровень информационной безопасности предприятия. Вы можете заказать тестирование во внешнему или внутреннему контурам отдельно, либо комплексное тестирование по стоимости от 300 000 рублей.

    Мы обладаем лицензиями:

    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по проведению пентеста и анализа уязвимостей

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:




    Оглавление:

    Где встречаются требования проводить пентест? Внешний пентест Внутренний пентест Методика проведения пентеста Результаты пентеста Пример технического задания на проведение пентеста по 382-П, 683-П, 719-П, 757-П Заказать пентест Стоимость пентеста


    Видео по проведению пентеста и анализа уязвимостей

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по проведению пентеста и анализа уязвимостей

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Пентест внешних ресурсов (до 10 IP-адресов)

    Срок – от 2 недель

    Опросный лист (анкета)

    от 200 000 руб.

    Пентест внутренних ресурсов (удаленно)

    Срок – от 4 недель

    от 300 000 руб.

    Пентест внутренних ресурсов (очно)

    Срок – от 4 недель

    от 600 000 руб.

    Пентест банкомата

    Анализ защищенности банкоматов (АТМ)
    Срок – от 4 недель

    от 1 000 000 руб.

    RED TEAM (Редтиминг)

    Опросный лист (анкета)

    от 1 500 000 руб.

    Социальная инженерия (email)

    Срок – от 2 недель

    от 200 000 руб.

    Расширенная социальная инженерия (email + телефон)

    Срок – от 2 недель

    от 400 000 руб.

    Полная социальная инженерия (email + телефон + очно)

    Срок – от 6 недель

    от 700 000 руб.

    Пентест приложения (ПО заказчика)

    Срок – от 4 недель

    от 300 000 руб.

    Пентест сайта

    Срок – от 5 рабочих дней

    Опросный лист (анкета)

    от 200 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.

    Для Вашего удобства и экономии времени предлагаем Вам заполнить Опросный лист (анкету) и направить на почту . На основании заполненного опросного листа, мы оперативно сформируем коммерческое предложение и отправим Вам ответным письмом.

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    Без сбоев в работе

    Мы работаем без нарушения функционирования информационной инфраструктуры Заказчика

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    2700+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

    В штате нашей компании

    Наши отзывы по проведению пентеста и анализа уязвимостей

    Благодарность от АКБ «ПРОМИНВЕСТБАНК» (ПАО)

    20.08.2019

    АКБ «ПРОМИНВЕСТБАНК» (ПАО) выражает благодарность сотрудникам ООО «РТМ ТЕХНОЛОГИИ» за добросовестную работу, а также профессиональное и своевременное решение поставленных задач. Тестирование на проникновение выполнено в максимально сжатые сроки, без каких-либо негативных последствий для инфраструктуры Банка. По результатам тестирования не только получен отчет, соответствующий нормативным требованиям, но и подтверждена надежность системы информационной безопасности ресурсов Банка. По результатам конструктивного взаимодействия, рекомендуем к сотрудничеству экспертов ООО «РТМ ТЕХНОЛОГИИ». С уважением, Председатель Правления Мельничук А.Б.
    Благодарность от АО «МТИ Банк»

    02.08.2019

    АО «МТИ Банк» рекомендует ООО РТМ Технологии как исполнителя проектов по информационной безопасности ввиду ответственности, пунктуальности и профессионализма. Пентест выполнен в строгом соответствии с техническим заданием, в сжатые сроки и без какого-либо вреда для процессов Банка. Отчетные и закрывающие документы предоставлены в полном объеме без необходимости исправления и доработки. С уважением, Председатель Правления Ниязов А.Н.
    Благодарность от КБ «Байкалкредобанк» (ПАО)

    28.10.2019

    Настоящим подтверждаем, что компания ООО «РТМ ТЕХНОЛОГИИ» выполнила в КБ «Байкалкредобанк» (ПАО) проект по проведению аудита информационной безопасности. В рамках аудита был проведен тест на проникновение, а также оценка уровня защищенности Интернет-портала Банка. Банк получил исчерпывающую информацию о состоянии защищенности своих информационных активов в результате аудита информационной безопасности с моделированием внешних атак потенциальных злоумышленников, а также анализа уязвимостей в клиентских приложениях, сетях Wi-Fi и серверном ПО. Сотрудники ООО «РТМ ТЕХНОЛОГИИ» зарекомендовали себя как квалифицированные специалисты, хорошо осведомленные о современных информационных технологиях. Мы характеризуем результаты проделанной работы как положительные и хотим отметить высокую квалификацию специалистов компании, профессиональный подход к делу, оперативность в исполнении рабочих задач и строгое следование условиям заключенного договора. Начальник ОА и ИС КБ «Байкалкредобанк» (ПАО) Г.И. Зарубин
    Благодарность от «НАЦИНВЕСТПРОМБАНК» (АО)

    11.12.2019

    «Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов
    Благодарность от ООО «Банк 131»

    13.03.2020

    От себя лично и от лица Банка ООО «Банк 131» хочу выразить благодарность специалистам ООО «РТМ ТЕХНОЛОГИИ» за их профессионализм и комплексный подход к проведению аудита № 382-П. Совместно с аудитом экспертами «РТМ ТЕХНОЛОГИИ» был проведен пентест, который дал объективную оценку о состоянии информационной безопасности Банка. Банк ООО «Банк 131» желает ООО «РТМ ТЕХНОЛОГИИ» профессиональных успехов и рекомендует к сотрудничеству. Руководитель СИБ ООО «Банк 131» Филиппов Д.Г.
    Благодарность от АО Банк «Развитие-Столица»

    21.04.2020

    Компания ООО «РТМ ТЕХНОЛОГИИ» оказала услуги по аудиту информационной безопасности для АО Банк «Развитие-Столица» согласно требованиям Положения Банка России №382-П. Благодаря экспертам ООО «РТМ ТЕХНОЛОГИИ» все работы были выполнены качественно и в срок. Тестирование на проникновение, прошедшее в рамках аудита, выполнено без сбоев в работе Банка и показало надежность инфраструктуры Банка. По результатам проведенных работ АО Банк «Развитие-Столица» выражает признательность компании ООО «РТМ ТЕХНОЛОГИИ» за проделанную работу и желает ей дальнейшего развития и процветания. Будем рады дальнейшему взаимовыгодному сотрудничеству. Начальник отдела технических средств и информационной безопасности Федотов Е.И.
    Отзыв о RTM Group от Самойлова

    01.03.2022

    "Обращались в данную компанию за аудитом и пентестом. Очень отзывчивые и квалифицированные исполнители, работу выполнили быстро и качественно. Спасибо большое, будем обращаться еще!"
    Отзыв о RTM Group от Николая П.

    04.04.2022

    На днях обращались за пентестом. Все было проведено качественно и профессионально, благодарим!
    Отзыв о RTM Group от Вадима М.

    24.04.2022

    Обращались за пентестом, остались довольны, спасибо.
    Благодарность от ПАО "Химпром"

    11.08.2022

    Благодарность ПАО «Химпром» выражает благодарность ООО «РТМ ТЕХНОЛОГИИ» за проведение тестирования на проникновение и анализа уязвимостей информационной безопасности веб-приложений и объектов информационной инфраструктуры. Запрос был в соответствии с Указом Президента Российской Федерации от 01.05.2022 No 250 “О дополнительных мерах по обеспечению информационной безопасности Российской Федерации”. Эксперты провели работы оперативно и в сжатые сроки. Отдельно хочется отметить высокий профессионализм сотрудников: Фёдора Мартынова, Фёдора Музалевского, Валерия Кунавина и Дениса Шведко. По результатам сотрудничества мы выражаем признательность ООО «РТМ ТЕХНОЛОГИИ» за проделанную работу, а также желаем компании процветания и успехов в реализации новых проектов. Начальник ОИТ А.А. Ярославцев

    Наши кейсы

    Подготовка объяснений по уголовному делу

    Заказчик обратился за помощью в подготовке объяснения в рамках уголовного дела, возбужденного по ч. 1 ст. 274.1 УК РФ. Объяснили, по каким причинам сотрудник не может быть привлечён к уголовной ответственности.

    Пентест для заказчика из банковского сектора

    Заказчику потребовалось проведение пентеста для поиска существующих уязвимостей и реализации мер, которые помогли бы их оперативно устранить. Работали по методу “белого ящика”.

    Услуги для вас

    Услуга RED TEAM: Комплексная проверка безопасности информационных систем (пентест)

    RED TEAM: Комплексная проверка безопасности информационных систем (пентест)

    — Что такое Red Team?
    — Сценарии работы
    — Этапы проведения оценки
    — Результат проведения Red Team
    Услуга Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013

    Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013

    — Кому необходимо проводить оценку соответствия
    — Различия между оценкой соответствия и анализом уязвимостей
    — Что делать тем, кто уже провёл анализ уязвимостей
    — Профиль защиты
    — Кто может проводить оценку соответствия
    — Стоимость работ по оценке соответствия программного обеспечения
    — Заказать работы по оценке соответствия программного обеспечения
    Услуга ГОСТ Р 57580: Аудит (оценка соответствия)

    ГОСТ Р 57580: Аудит (оценка соответствия)

    - Кто имеет право проводить оценку соответствия по ГОСТ 57580?
    - Исходные данные для оценки соответствия. Область применения, область оценки, выборка
    - Как проходит аудит (оценка соответствия)?
    - Как оформляется отчет по результатам оценки?
    - Оценка по Приказу №930 Минкомсвязи (Биометрия)
    - Цена оценки соответствия по ГОСТ Р 57580.2
    Услуга Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    Услуга 683‑П: Приведение в соответствие и оценка для банка

    683‑П: Приведение в соответствие и оценка для банка

    - Суть 683-П
    - Какая информация должна защищаться?
    - На кого распространяются требования 683-П?
    - Важные требования 683-П для банков
    - Оценка по ГОСТ 57580.2 для банков
    - Когда 683-П вступает в силу?
    - Дополнительные услуги по 683-П
    Услуга 757‑П: Приведение в соответствие и оценка для НФО

    757‑П: Приведение в соответствие и оценка для НФО

    - Суть 757-П
    - Какая информация должна защищаться?
    - На кого распространяются требования 757-П?
    - Какие НФО должны соответствовать ГОСТ Р 57580.1-2017?
    - Оценка по ГОСТ 57580.2 для некредитных финансовых организаций
    - Когда 757-П вступает в силу?
    Услуга Анализ защищенности программного обеспечения

    Анализ защищенности программного обеспечения

    — Как правильно анализ кода, аудит ПО или тестирование?
    — Аудит методом «белого ящика»
    — Анализ методом «серого ящика»
    — Анализ методом «черного ящика»
    — Что входит в аудит?
    — Где заказать аудит кода?
    Услуга Экспертиза разработанного программного обеспечения (ПО)

    Экспертиза разработанного программного обеспечения (ПО)

    — Техническая экспертиза программного кода
    — Экспертиза программного продукта
    — Варианты вопросов, которые могут быть поставлены перед экспертом по программно-компьютерной экспертизе
    — В чем отличие комплексной экспертизы от комиссионной?

    Услуга Аудит информационной безопасности

    Аудит информационной безопасности

    — Цели аудита информационной безопасности
    — Процесс аудита информационной безопасности
    — Стандарты и виды аудита информационной безопасности
    — Варианты аудитов информационной безопасности
    — Планы и программы аудита информационной безопасности
    — Этапы аудита информационной безопасности
    — Отчет по аудиту информационной безопасности
    — Где заказать аудит информационной безопасности
    Услуга 802-П (747-П): Приведение в соответствие и оценка соответствия

    802-П (747-П): Приведение в соответствие и оценка соответствия

    — На кого распространяются требования
    — Какая информация должна защищаться
    — Важные требования
    — Оценка по ГОСТ 57580.2 для банков
    — Когда 747-П вступает в силу?
    — Когда 802-П вступает в силу?
    — Дополнительные услуги

    НАМ ДОВЕРЯЮТ

    Полезные статьи

    Статья Что такое пентест (pentest)?

    Что такое пентест (pentest)?

    - Что входит в тестирование на проникновение?
    - Примеры пентестинга
    - Что является результатом пентеста?
    - Заключение
    Статья Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

    Что подготовить к проверке Банка России по защите информации (информационной безопасности) в 2020 году?

    — Что проверяет ЦБ
    — Чек-лист для самопроверки
    — Вопрос-ответ эксперта
    Статья Различия 382-п и 719-п

    Различия 382-п и 719-п

    Положение Банка России 719-П приходит на смену 382-П. Положение 719-П является усовершенствованной версией 382-П.

    Статья Положение банка России № 757-П

    Положение банка России № 757-П

    Положение 757-П вышло на замену 684-П и устанавливает новые обязательные для Некредитных Финансовых Организаций требования по защите информации.
    Статья Информационные опасности и угрозы

    Информационные опасности и угрозы

    О том, что такое информационные опасности, откуда они берутся и как с ними бороться. Раскрываем основные моменты.
    Статья Комментарии к Положению Банка России №770-П от 18.08.2021 года “О требованиях к системе внутреннего контроля, системе управления рисками и обеспечению непрерывности деятельности бюро кредитных историй”

    Комментарии к Положению Банка России №770-П от 18.08.2021 года “О требованиях к системе внутреннего контроля, системе управления рисками и обеспечению непрерывности деятельности бюро кредитных историй”

    Расскажем для кого оно предназначено, основные требования положения. Краткое резюме.
    Статья 757-П: что нового для некредитных финансовых организаций?

    757-П: что нового для некредитных финансовых организаций?

    Прошел почти год с момента, как Положение 684-П было заменено на Положение 757-П. Новый документ гораздо объемнее предыдущего. Однако, до сих пор неясно, какие ключевые отличия имеются в 757-П по сравнению с 684-П. Наш небольшой материал призван расставить все по местам. Надеемся, что он внесет ясность для тех некредитных финансовых организаций (НФО), которым необходимо выполнять требования документа.
    Статья Обзор ГОСТ Р 57580.4-2022

    Обзор ГОСТ Р 57580.4-2022

    Разбираем содержание и основные особенности ГОСТ Р 57580.4-2022 вместе с экспертами RTM Group. Всё самое важное в новой статье.
    Статья Подробный обзор ГОСТ Р 57580.3-2022

    Подробный обзор ГОСТ Р 57580.3-2022

    Предстоящий Стандарт ГОСТ Р 57580.3-2022 – обзор содержания и основных положений от экспертов компании RTM Group.
    Статья Обзор проекта Положения на смену 719-П

    Обзор проекта Положения на смену 719-П

    Эксперты RTM Group дали свои разъяснения о том, что будет в новом Положении ЦБ РФ, которое придет на смену 719-П.

    FAQ: Часто задаваемые вопросы

    Мы проводили пентест корпоративной сети, по результатам пентестинга был получен доступ к AD. Должны ли мы заказывать пентест заново, чтобы продемонстрировать отсутствие уязвимостей?

    По окончании работ по пентесту предоставляется отчет. В отчете содержится список уязвимостей, а также описание эксплуатации выявленных уязвимостей и рекомендации по их устранению. В случае соблюдения предоставленных рекомендаций, повторный пентест проводить не требуется. Повторно его можно провести для того, чтобы убедиться в устранении уязвимостей и быть уверенным, что Ваша система полностью защищена.

    Здравствуйте! Если при проведении пентеста выяснилось, что наши системы уязвимы, должны ли мы устранить все уязвимости до сдачи отчета сторонними пентестерами?

    Пентест проводится для выявления уязвимости систем. При условии, что система, к которой проводился пентест, является уязвимой, рекомендуется в кратчайшие сроки устранить выявленные недостатки, иначе при проведении повторного пентеста количество угроз может возрасти, а риск оказаться жертвой злоумышленника останется значительным.

    Помимо данной практической рекомендации требований к проведению работ по результатам пентестов нет.

    Здравствуйте!
    Существует ли какая-то утвержденная методика ЦБ на проведение пентеста в банке?

    Здравствуйте!

    Банком России утверждены рекомендательные требования к проведению тестирования на проникновение систем (пентест) содержащиеся в Положениях Банка России 382-П и 683-П.

    Согласно 382-П: «2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: (в ред. Указания ЦБ РФ от 07.05.2018 N 4793-У).»

    Согласно 683-П: «3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.»

    Также существуют международные стандарты пентеста, которые имеют рекомендательный характер.

    Методологии тестирования защищенности:
    Open Source Security Testing Methodology Manual (OSSTMM);
    Information Systems Security Assessment Framework (ISSAF);
    NIST 800-42 Guideline on Network Security Testing;
    OWASP Testing Guide;
    Wireless Penetration Testing Framework.

    По результатам пентеста составляется отчет, который включает в себя помимо прочего список выявленных уязвимостей и рекомендации по их устранению.

    При выполнении рекомендаций осуществляется повышение устойчивости системы за счет снижения рисков информационной безопасности и соответствие требованиям Законам Российской Федерации (пример: «Закон о персональных данных»), а также требованиям по информационной безопасности Банка России (382-П).

    Здравствуйте!

    Что в обязательном порядке должно быть в ТЗ на тестирование на проникновение, а что можно исключить?

    Здравствуйте!

    В техническом задании указываются цель и суть работ, области проверки, сроки и время проведения пентеста, этапы проведения пентеста и требования к составу отчета. Это основные пункты технического задания для проведения тестирования на проникновение.

    Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?

    Пентест включает в себя анализ уязвимостей инфраструктуры – серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.

    Исследование ПО на уязвимости по уровню ОУД4 – это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.

    Банком приобретается новое мобильное приложение, когда надо проводить пентест?

    Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

    Здравствуйте!

    Я использую Debian 9 чтобы на нём стоял мой сервер minecraft. И недавно, он подвергся взлому, да-да именно дедик. Они зашли на него каким то путем обхода, минуя авторизацию, так же я заметил махинации что к дедику началось около 20-и конектов и брут к sftp, хотя он у меня даже не запущен. Все логи на дедике стерты, это всё что я мог узнать.

    Я хочу чтобы вы сказали, как хакеры могли обойти систему авторизации SSH?

    Способов обхода авторизации SSH существует несколько.
    Самый актуальный — это перехват параметров подключения администратора ресурса.

    В Вашем случае, это, вероятнее всего, Вы.
    Злоумышленник (хакер) может просто подселить троян к Вам на компьютер, и перехватить вводимые Вами логин и пароль, а также украсть сертификат.

    При отсутствии сертификата наиболее распространенный способ взлома – перебор (брут) пароля. При невысокой сложности пароля и отсутствии защиты от перебора – результат для злоумышленника лишь вопрос времени.

    Это два основных способа преодолеть защиту подключения SSH.

    Здравствуйте. Я студент, учусь на специалиста по информационной безопасности, пишу курсовую на тему: “Особенности внедрения подсистем предотвращения утечек КИ в систему комплексной безоп на пп.”

    Как основную систему предотвращения утечек рассматриваю систему DLP и был бы очень благодарен, если Вы поможете с основными (общими) этапами проведения пентеста.

    Добрый день.

    DLP, как класс систем, является даже не основным, а, скорее, единственным. Просто многие продукты, позиционируемые иначе, содержат функционал DLP (например, тот же KES с возможностью блокировки флешек).

    На Вашем месте я бы сделал упор не на пентест, а на возможности интеграции DLP с другими системами безопасности — в первую очередь SIEM и AD – так как комплексная система содержится в названии работы.

    Отвечая на Ваш вопрос можно выделить (не всегда этапы таковы, но в среднем похоже):

    • инвентаризация области тестирования — сбор сведений об узлах сети, информационных системах, сетевом трафике, учетных данных и прочее — зачастую конфиденциальная информация находится уже на этом этапе в открытом доступе;
    • поиск уязвимостей — по общедоступным базам либо закрытым базам тестировщиков;
    • проверка прочности аутентификации (брутфорс);
    • попытка повышения прав доступа;
    • доступ к конфиденциальной информации.

    Подскажите, как влияет объем закладываемых в пентест узлов исследуемой инфраструктуры на качество пентеста. Пример, у компании есть центральный аппарат и филиалы. Все они в единой сети и домене. Если выбрать 2-а филиала на тестирование и не тестировать центральный аппарат, какие риски возникнут в этой ситуации

    Тестирование части сети не имеет смысла, так как уязвимости, которые могут присутствовать в сегментах, не подверженных тестированию, могут привести к компрометации всей сети. Источниками угроз также может быть некорректная настройка сетевого оборудования между центром и филиалами.
    Поэтому если все узлы находятся в единой сети и домене, то и тестироваться они должны как единая сеть и домен.

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.