Стресс-тестирование по типовому техническому заданию

Требования госорганов по оценке уровня защищенности для субъектов КИИ и стресс-тестированию для финансовых организаций сводятся к исполнению типового технического задания. Техническое задание включает в себя пентест внешнего периметра и WEB-приложений, моделируя действия внешнего нарушителя. Достаточно стандартная работа имеет ряд нюансов, которые надо учесть, чтобы корректно выполнить законодательные требования.

Стресс-тестирование по типовому техническому заданию - услуги RTM Group
Стресс-тестирование по типовому техническому заданию - от RTM Group
Узнать стоимость?

Эксперты по проведению пентеста и анализа уязвимостей

Эксперт по проведению пентеста и анализа уязвимостей Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по проведению пентеста и анализа уязвимостей Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Появление и задача типового ТЗ

Требование по оценке уровня защищенности направлялись значимым субъектам КИИ по списку рассылки впервые в 2022 году.

Это было связано с участившимися хакерскими атаками на органы госвласти и системнозначимые организации.

Необходимо понимать, что целью проведения данного пентеста (в законодательстве данное понятие отсутствует, поэтому принят термин «оценка защищенности») является не просто оценка, а повышение внимания организаций к возможным хакерским атакам.

Поэтому главной задачей оценки защищенности является не демонстрация возможности взлома, а анализ полного перечня векторов атак.

Состав и особенности типового ТЗ

Особенностью типового ТЗ при этом является сохранение непрерывности деятельности — явно указано, что любое действие, способное нанести вред инфраструктуре или приложению, должно заранее согласовываться.

Опыт проведения работ с 2022 года (ряд организаций добровольно решил проводить оценку защищенности по типовому ТЗ на периодической основе) показал, что для 75% заказчиков работы, состоящие из сканирования и последующего анализа уязвимостей способны выявить существенные бреши в информационной безопасности.

Типовое ТЗ состоит из:

  1. Требований к тестированию внешнего периметра
  2. Требований к тестированию WEB-приложений
  3. Требований к отчетности

Требования к тестированию укрупненно включают в себя следующие пункты:

  • Сбор информации (в том числе из открытых источников)
  • Сканирование сети и приложения
  • Анализ уязвимостей и построение векторов атак
  • Развитие атак, включая эксплуатацию и перебор паролей

Сроки и стоимость выполнения этих пунктов напрямую зависят от объема инфраструктуры (числа внешних IP) и количества и сложности WEB-приложений.

На практике, сроки варьируются от двух недель до нескольких месяцев — это стоит учесть при планировании проведения данных работ.

Стресс-тестирования по требованиям Банка России

На типовое ТЗ также ссылается письмо по списку рассылки, направленное в январе 2024 года финансовым организациям.

Данное письмо имеет две особенности, которые следует учесть:

  1. Под стресс-тестированием уровня защищенности информационной инфраструктуры Банк России не подразумевает атаки типа отказ в обслуживании. Исходя из тенденций работы департамента информационной безопасности, основная цель — оценить работу службы ИБ при попытке проникновения. Данный аспект не очевиден из официального письма и типового ТЗ (а также типового отчета), однако, следует его учесть при планировании и проведении работ. Можно предположить, что требование связано с развитием концепции киберучений, курс на которую ЦБ взял еще в конце 2022 года.
  2. Сроки выполнения требования ЦБ являются достаточно сжатыми, что потребует ресурсного обеспечения, как в плане финансов, так и времени ответственных сотрудников.

Дополнительно к типовому отчету следует отразить:

  • Реакцию средств защиты на действия тестировщиков
  • Хронологию действий персонала по фиксации попыток проникновения и реагирования на них

Почему RTM Group?

  • Большой опыт проведения пентестов по типовому ТЗ;
  • Команда специалистов, специализирующихся на внешнем периметре и WEB-приложениях;
  • Опыт работы с финансовыми организациями, подтвержденный благодарственными письмами с 2019 года;
  • Гибкое ценообразование при заключении договора на периодическое проведение работ.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по проведению пентеста и анализа уязвимостей

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по проведению пентеста и анализа уязвимостей

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Стресс-тестирование по типовому техническому заданию

от 200 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

Без сбоев в работе

Мы работаем без нарушения функционирования информационной инфраструктуры Заказчика

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Нами проведено более 800 аудитов

Сотрудники компании провели более 700 аудитов по различным критериям

Продукты и решения для вас

Нам доверяют

Полезные статьи

FAQ: Часто задаваемые вопросы

Оказываете ли вы услугу проведения стресс-тестирования уровня защищенности информационной инфраструктуры организации?

Да, стресс-тестирование уровня защищенности информационной инфраструктуры организации проводится по требованиям Банка России в рамках исполнения перечня поручений Президента Российской Федерации от 21 декабря 2023 года и является одной из наших типовых услуг в рамках тестирования на проникновение (пентеста).