Пентест
Тестирование на проникновение

В соответствии с положениями Банка России № 683-П, 821-П, 757-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02, доб. 365 или 367

Зачем проводить пентест?

1
С 01.07.2018 банки должны ежегодно проводить тестирование на проникновение (пентест) и анализ уязвимостей
(тестировать нужно АБС, ДБО, ПС, АРМ КБР-Н, карточный процессинг и т.п.)
2
Проведение тестирования на проникновение требует Банк России
Согласно Положениям Банка России № 683-П, 821-П, 757-П. Также проведение пентеста требуется по ГОСТ 57580 и ГОСТ по операционной надежности.
3
Пентест и анализ уязвимостей банк может провести самостоятельно или с привлечением лицензиата ФСТЭК на ТЗКИ
Лицензия ТЗКИ на виды работ, предусмотренные подпунктами «б», «д» или «е» пункта 4 постановления
Правительства РФ от 3 февраля 2012 года N 79

Порядок проведения пентеста

Общий срок проведения пентеста - 2-4 недели
1
Внешний пентест
Тестирование на проникновение публичных сервисов Банка доступных из сети Интернет
2
Внутренний пентест
Проводится с рабочего места среднестатистического пользователя сети. Банк предоставляет удаленный доступ с IP-адреса исполнителя к СВТ, размещенным в сети банка с заведенным пользователем с обычными правами
3
Ручная верификация уязвимостей и оформление отчета
Отчет включает методику тестирования, перечень скомпрометированных ресурсов, свидетельства и рекомендации по устранению недостатков

Отчет по результатам тестирования

1
Резюме для руководства банка
в котором понятным языком описано, к чему может привести эксплуатация, обнаруженных уязвимостей
2
Перечень выявленных уязвимостей
с оценкой по методике Common Vulnerability Scoring System (CVSS)
3
Перечень скомпрометированных IP и учетных записей,
техническое описание способов эксплуатации уязвимостей
4
Рекомендации по устранению уязвимостей,
перечень программно-аппаратных средств и организационных мер (их варианты)

Методики проведения пентеста

1
РС БР ИБСС-2.6-2014
2
NIST SP800-115
3
PCI Data Security Standard (PCI DSS) 3.0
4
PTES (Penetration Testing Execution Standard) Technical Guideline

Оформление итогов тестирования

Форма отчета составлена с учетом рекомендаций
Приложения № 3 РС БР ИББС-2.6-2014
  1. Сведения об организации, проводившей тестирование
  2. Сведения о руководителе тестирования и членах рабочей группы
  3. Сведения об тестируемой организации и сотрудниках
  4. Место и срок проведения тестирования
  5. План отчета
  6. Общие сведения о тестировании (наименование и цель, краткое описание объекта тестирования и ограничений, краткие результаты)
  7. Описание проведенных работ (границы объекта тестирования, модель нарушителя и угроз, методики определения критичности уязвимости, используемые инструменты)
  8. Найденные уязвимости, рекомендации по их устранению
  9. Вывод о достижении целей тестирования
  10. Термины и сокращения
  11. Скомпрометированные учетные записи информационных систем
  12. Скомпрометированные учетные записи операционных систем
  13. Список уязвимых хостов
  14. Копия Лицензия ФСТЭК России
Соответствие требованиям
положений банка России № 683-П, 821-П, 757-П, ГОСТ 57580
В область тестирования необходимо включить все критичные системы - ДБО, мобильный банкинг, карточный процессинг, АБС, АРМ КБР-Н.
Банк России рекомендует проводить, как внешнее, так и внутреннее тестирование на проникновение

Наш опыт и компетенции в пентесте

Компания БИФИТ оказывает услуги по пентесту и анализу уязвимостей объектов информационной инфраструктуры
Более чем пятилетний опыт сотрудников, полученный в результате проведения пентестов для внутренних нужд и анализа уязвимостей при разработке системы ДБО
Пентест и анализ уязвимостей объектов информационной инфраструктуры мы проводим самостоятельно, без субподряда
Клиенты
логотип Акибанк
логотип Евроазиатский Инвестиционный Банк
логотип Балаково-Банк
логотип Великие Луки Банк
логотип Банк Кремлевский
логотип Банк Ресурс-Траст
логотип НДБ
логотип Ижкомбанк Датабанк
логотип Братский АНКБ

Рекомендательные письма по пентесту

Наши эксперты
  • Левин
    Алексей Владимирович
    Руководитель направления тестирования
    на проникновение и анализа уязвимостей
  • Кривонос
    Виталий Павлович
    Эксперт направления тестирования
    на проникновение и анализа уязвимостей
  • Илья Данилович
    Эксперт по защите информации

Лицензии ФСБ и ФСТЭК

Закажите тестирование на проникновение
Мы бесплатно сделаем для вас расчет стоимости пентеста:
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.