8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » Стресс-тестирование по типовому техническому заданию

Стресс-тестирование по типовому техническому заданию

Требования госорганов по оценке уровня защищенности для субъектов КИИ и стресс-тестированию для финансовых организаций сводятся к исполнению типового технического задания. Техническое задание включает в себя пентест внешнего периметра и WEB-приложений, моделируя действия внешнего нарушителя. Достаточно стандартная работа имеет ряд нюансов, которые надо учесть, чтобы корректно выполнить законодательные требования.

Стресс-тестирование по типовому техническому заданию - услуги RTM Group
Стресс-тестирование по типовому техническому заданию - от RTM Group
Узнать стоимость?
Перейти

Эксперты по проведению пентеста и анализа уязвимостей

Эксперт по проведению пентеста и анализа уязвимостей Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по проведению пентеста и анализа уязвимостей Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Появление и задача типового ТЗ

Требование по оценке уровня защищенности направлялись значимым субъектам КИИ по списку рассылки впервые в 2022 году.

Это было связано с участившимися хакерскими атаками на органы госвласти и системнозначимые организации.

Необходимо понимать, что целью проведения данного пентеста (в законодательстве данное понятие отсутствует, поэтому принят термин «оценка защищенности») является не просто оценка, а повышение внимания организаций к возможным хакерским атакам.

Поэтому главной задачей оценки защищенности является не демонстрация возможности взлома, а анализ полного перечня векторов атак.

Состав и особенности типового ТЗ

Особенностью типового ТЗ при этом является сохранение непрерывности деятельности — явно указано, что любое действие, способное нанести вред инфраструктуре или приложению, должно заранее согласовываться.

Опыт проведения работ с 2022 года (ряд организаций добровольно решил проводить оценку защищенности по типовому ТЗ на периодической основе) показал, что для 75% заказчиков работы, состоящие из сканирования и последующего анализа уязвимостей способны выявить существенные бреши в информационной безопасности.

Типовое ТЗ состоит из:

  1. Требований к тестированию внешнего периметра
  2. Требований к тестированию WEB-приложений
  3. Требований к отчетности

Требования к тестированию укрупненно включают в себя следующие пункты:

  • Сбор информации (в том числе из открытых источников)
  • Сканирование сети и приложения
  • Анализ уязвимостей и построение векторов атак
  • Развитие атак, включая эксплуатацию и перебор паролей

Сроки и стоимость выполнения этих пунктов напрямую зависят от объема инфраструктуры (числа внешних IP) и количества и сложности WEB-приложений.

На практике, сроки варьируются от двух недель до нескольких месяцев — это стоит учесть при планировании проведения данных работ.

Стресс-тестирования по требованиям Банка России

На типовое ТЗ также ссылается письмо по списку рассылки, направленное в январе 2024 года финансовым организациям.

Данное письмо имеет две особенности, которые следует учесть:

  1. Под стресс-тестированием уровня защищенности информационной инфраструктуры Банк России не подразумевает атаки типа отказ в обслуживании. Исходя из тенденций работы департамента информационной безопасности, основная цель — оценить работу службы ИБ при попытке проникновения. Данный аспект не очевиден из официального письма и типового ТЗ (а также типового отчета), однако, следует его учесть при планировании и проведении работ. Можно предположить, что требование связано с развитием концепции киберучений, курс на которую ЦБ взял еще в конце 2022 года.
  2. Сроки выполнения требования ЦБ являются достаточно сжатыми, что потребует ресурсного обеспечения, как в плане финансов, так и времени ответственных сотрудников.

Дополнительно к типовому отчету следует отразить:

  • Реакцию средств защиты на действия тестировщиков
  • Хронологию действий персонала по фиксации попыток проникновения и реагирования на них

Почему RTM Group?

  • Большой опыт проведения пентестов по типовому ТЗ;
  • Команда специалистов, специализирующихся на внешнем периметре и WEB-приложениях;
  • Опыт работы с финансовыми организациями, подтвержденный благодарственными письмами с 2019 года;
  • Гибкое ценообразование при заключении договора на периодическое проведение работ.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по проведению пентеста и анализа уязвимостей

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:




Оглавление:

Появление и задача типового ТЗ Состав и особенности типового ТЗ Стресс-тестирования по требованиям Банка России Почему мы Заказать стресс-тестирование


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по проведению пентеста и анализа уязвимостей

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Стресс-тестирование по типовому техническому заданию

от 200 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

Без сбоев в работе

Мы работаем без нарушения функционирования информационной инфраструктуры Заказчика

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Нами проведено более 800 аудитов

Сотрудники компании провели более 700 аудитов по различным критериям

Наши кейсы

Пентест для заказчика из банковского сектора

Заказчику потребовалось проведение пентеста для поиска существующих уязвимостей и реализации мер, которые помогли бы их оперативно устранить. Работали по методу «белого ящика».

Услуги для вас

Услуга RED TEAM: Комплексная проверка безопасности информационных систем (пентест)

RED TEAM: Комплексная проверка безопасности информационных систем (пентест)

— Что такое Red Team?
— Сценарии работы
— Этапы проведения оценки
— Результат проведения Red Team
Услуга Пентест — услуги тестирования на проникновение и анализа уязвимостей

Пентест — услуги тестирования на проникновение и анализа уязвимостей

- Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
- Пример технического задания на проведение пентеста по 683-П, 821-П, 757-П
- Почему RTM Group?
- Цена проведения пентеста
Услуга Социальная инженерия в рамках пентеста

Социальная инженерия в рамках пентеста

– Имитация атаки и защиты от социальной инженерии;
– Социальная инженерия: понятие, задачи и потенциальный риск;
– Распространённые методы социальной инженерии;
– Как избежать атак с использованием методов социальной инженерии.

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
Менеджер паролей

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
МФУ и печатная техника

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
Удаленный доступ и управление конфигурациями устройств

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Пентест для организации: задачи, средства, оценка эффективности

Пентест для организации: задачи, средства, оценка эффективности

С тех пор, как пентест «пошел в народ», с каждым годом появляется все больше вариантов его реализации. Нужно ли выделять огромные бюджеты на его выполнение? Есть ли разница в методике тестирования для разных размеров предприятий? Отвечаем на эти и другие вопросы.
Статья Что такое пентест (pentest) и кто такой пентестер?

Что такое пентест (pentest) и кто такой пентестер?

- Что входит в тестирование на проникновение?
- Примеры пентестинга
- Что является результатом пентеста?
- Заключение
Статья Специалисты по обеспечению информационной и программной безопасности систем

Специалисты по обеспечению информационной и программной безопасности систем

Специалисты по информационной безопасности являются основным эшелоном защиты Компании от воздействия вредоносного кода, несанкционированного доступа в информационную инфраструктуру, а также преступных посягательств посредством социальной инженерии и иных методов воздействия на сотрудников Компании.

FAQ: Часто задаваемые вопросы

Оказываете ли вы услугу проведения стресс-тестирования уровня защищенности информационной инфраструктуры организации?

Да, стресс-тестирование уровня защищенности информационной инфраструктуры организации проводится по требованиям Банка России в рамках исполнения перечня поручений Президента Российской Федерации от 21 декабря 2023 года и является одной из наших типовых услуг в рамках тестирования на проникновение (пентеста).