Услуга

Тестирование на проникновение (пентест) и анализ уязвимостей по 382-П

Зачем проводить пентест?

1
С 01.07.2018 банки должны ежегодно проводить тестирование на проникновение (пентест) и анализ уязвимостей (АУ)
(тестировать нужно АБС, ДБО, ПС, АРМ КБР, процессинг и т.п.)
2
Первый пентест и АУ банки должны закончить не позднее 31.06.2019 г.
Требование вытекает из п.14.2 382-П, которое было введено указанием ЦБ № 4793-У от 07.05.2018 г.
3
Пентест и АУ банк может провести самостоятельно или с привлечением
сторонней организации, которая имеет лицензию ФСТЭК на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления
Правительства РФ от 3 февраля 2012 года N 79

Наш опыт

Компания БИФИТ оказывает услуги по пентесту и АУ объектов информационной инфраструктуры
Более чем пятилетний опыт сотрудников, полученный в результате проведения пентестов для внутренних нужд и анализа уязвимостей при разработке iBank
Пентест и АУ объектов информационной инфраструктуры мы проводим самостоятельно, без субподряда

Порядок проведения пентест

Общий срок проведения пентеста - 2-4 недели
1
Внешний пентест
Тестирование на проникновение публичных сервисов Банка доступных из сети Интернет
2
Внутренний пентест
Проводится с рабочего места среднестатистического пользователя сети. Банк предоставляет удаленный доступ с IP-адреса исполнителя к СВТ, размещенным в сети банка с заведенным пользователем с обычными правами
3
Ручная верификация уязвимостей и оформление отчета

Результат исследования

1
Резюме для руководства банка
в котором понятным языком описано, к чему может привести эксплуатация, обнаруженных уязвимостей
2
Перечень выявленных уязвимостей
с оценкой по методике Common Vulnerability Scoring System (CVSS)
3
Перечень скомпрометированных IP и учетных записей,
техническое описание способов эксплуатации уязвимостей
4
Рекомендации по устранению уязвимостей,
перечень программно-аппаратных средств и организационных мер (их варианты)

Методики проведения пентест

1
РС БР ИБСС-2.6-2014
2
NIST SP800-115
3
PCI Data Security Standard (PCI DSS) 3.0
4
PTES (Penetration Testing Execution Standard) Technical Guideline

Отчет по пентесту

Форма отчета составлена с учетом рекомендаций
Приложения № 3 РС БР ИББС-2.6-2014
  1. Сведения об аудиторской организации
  2. Сведения о руководителе тестирования
  3. Сведения о членах рабочей группы
  4. Сведения об тестируемой организации
  5. Сотрудники тестируемой организации, сопровождавшие процесс оценки
  6. Срок проведения тестирования
  7. Место проведения тестирования
  8. План отчета
  9. Общие сведения о тестировании (наименование и цель работ, краткое описание объекта тестирования и ограничений, краткие результаты тестирования)
  10. Описание проведенных работ (границы объекта тестирования, модель нарушителя и модель угроз, методики определения критичности уязвимости и тестирования на проникновение, используемые инструменты)
  11. Найденные уязвимости
  12. Рекомендации по устранению найденных недостатков и уязвимостей
  13. Достижение целей тестирования
  14. Перечень терминов и сокращений
  15. Список логинов пользователей АБС, к которым был подобран пароль
  16. Список уязвимых хостов
  17. Список учетных записей ОС, для которых были получены пароли
  18. Копия Лицензия ФСТЭК России ООО "БИФИТ ЭДО"
Соответствие требованиям
пункта 14.2 382-П
Для получения оценки «выполняется полностью» за пункт 14.2 382-П в область оценки необходимо включить ДБО, процессинг, АБС, АРМ КБР.
Наши клиенты

Благодарственное
письмо

От нашего клиента
Наши эксперты
Левин
Алексей Владимирович
Руководитель направления тестирования
на проникновение и анализа уязвимостей
Кривонос
Виталий Павлович
Эксперт направления тестирования
на проникновение и анализа уязвимостей
Поспелов
Артур Александрович
Эксперт направления тестирования
на проникновение и анализа уязвимостей

Наши лицензии

Расчет стоимости пентеста по 382-П
Мы бесплатно сделаем для вас расчет стоимости пентеста:
+7 (495) 965-74-64
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.