Пентест
Тестирование на проникновение

В соответствии с положениями Банка России № 683-П, 821-П, 757-П

Нужна бесплатная консультация?

С 09:00 до 19:00 по Московскому времени

Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02, доб. 365 или 367

Зачем проводить пентест?

С 01.07.2018 банки должны ежегодно проводить тестирование на проникновение (пентест) и анализ уязвимостей

(тестировать нужно АБС, ДБО, ПС, АРМ КБР-Н, карточный процессинг и т.п.)

Проведение тестирования на проникновение требует Банк России

Согласно Положениям Банка России № 683-П, 821-П, 757-П. Также проведение пентеста требуется по ГОСТ 57580 и ГОСТ по операционной надежности.

Пентест и анализ уязвимостей банк может провести самостоятельно или с привлечением лицензиата ФСТЭК на ТЗКИ

Лицензия ТЗКИ на виды работ, предусмотренные подпунктами «б», «д» или «е» пункта 4 постановления
Правительства РФ от 3 февраля 2012 года N 79

Порядок проведения пентеста

Общий срок проведения пентеста - 2-4 недели

Внешний пентест

Тестирование на проникновение публичных сервисов Банка доступных из сети Интернет

Внутренний пентест

Проводится с рабочего места среднестатистического пользователя сети. Банк предоставляет удаленный доступ с IP-адреса исполнителя к СВТ, размещенным в сети банка с заведенным пользователем с обычными правами

Ручная верификация уязвимостей и оформление отчета

Отчет включает методику тестирования, перечень скомпрометированных ресурсов, свидетельства и рекомендации по устранению недостатков

Отчет по результатам тестирования

Резюме для руководства банка

в котором понятным языком описано, к чему может привести эксплуатация, обнаруженных уязвимостей

Перечень выявленных уязвимостей

с оценкой по методике Common Vulnerability Scoring System (CVSS)

Перечень скомпрометированных IP и учетных записей,

техническое описание способов эксплуатации уязвимостей

Рекомендации по устранению уязвимостей,

перечень программно-аппаратных средств и организационных мер (их варианты)

Методики проведения пентеста

РС БР ИБСС-2.6-2014

NIST SP800-115

PCI Data Security Standard (PCI DSS) 3.0

PTES (Penetration Testing Execution Standard) Technical Guideline

Оформление итогов тестирования

Форма отчета составлена с учетом рекомендаций
Приложения № 3 РС БР ИББС-2.6-2014

Сведения об организации, проводившей тестирование
Сведения о руководителе тестирования и членах рабочей группы
Сведения об тестируемой организации и сотрудниках
Место и срок проведения тестирования
План отчета
Общие сведения о тестировании (наименование и цель, краткое описание объекта тестирования и ограничений, краткие результаты)
Описание проведенных работ (границы объекта тестирования, модель нарушителя и угроз, методики определения критичности уязвимости, используемые инструменты)
Найденные уязвимости, рекомендации по их устранению
Вывод о достижении целей тестирования
Термины и сокращения
Скомпрометированные учетные записи информационных систем
Скомпрометированные учетные записи операционных систем
Список уязвимых хостов
Копия Лицензия ФСТЭК России

Соответствие требованиям
положений банка России № 683-П, 821-П, 757-П, ГОСТ 57580

В область тестирования необходимо включить все критичные системы - ДБО, мобильный банкинг, карточный процессинг, АБС, АРМ КБР-Н.
Банк России рекомендует проводить, как внешнее, так и внутреннее тестирование на проникновение

Наш опыт и компетенции в пентесте

Компания БИФИТ оказывает услуги по пентесту и анализу уязвимостей объектов информационной инфраструктуры

Более чем пятилетний опыт сотрудников, полученный в результате проведения пентестов для внутренних нужд и анализа уязвимостей при разработке системы ДБО

Пентест и анализ уязвимостей объектов информационной инфраструктуры мы проводим самостоятельно, без субподряда

Клиенты