Тестирование на проникновение в соответствии с требованиями СТО БР ИББС-1.0-2014

в 8:05, , рубрики: pentestit, Блог компании PentestIT, информационная безопасность, СТО БР ИББС-1.0, Тестирование веб-сервисов, тестирование на проникновение, метки: , ,

image

Сегодня мы поговорим о проведении тестирования на проникновение в соответствии с требованиями СТО БР ИББС-1.0-2014 своими силами.

Распоряжением Банка России от 10.07.2014 N Р-556 http://www.consultant.ru/document/cons_doc_LAW_165504/ «О вводе в действие рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» с 1 сентября 2014 года были введены в действие Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» РС БР ИББС-2.6-2014» http://www.cbr.ru/credit/Gubzi_docs/rs-26-14.pdf (документ хотя и носит рекомендательный характер, но, по сути, служит руководством к действию).

В соответствии с требованиями п.7.3 «Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла» стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» организациям банковской системы Российской Федерации требуется принимать меры к обеспечению информационной безопасности автоматизированных банковских систем (АБС) на всех стадиях их жизненного цикла.

Выделяют следующие стадии жизненного цикла:

  • разработка технического задания;
  • проектирование;
  • создание и тестирование;
  • приемка и ввод в действие;
  • эксплуатация;
  • сопровождение и модернизация;
  • снятие с эксплуатации.

Рассмотрим подробнее те стадии жизненного цикла, в рамках которых рекомендуется проводить тестирование на проникновение.

На стадии приемки и ввода в действие, в частности, в рамках проведения опытной эксплуатации рекомендуется проводить комплексную оценку защищенности, включающую проведение тестирования на проникновение и выявления известных уязвимостей компонентов АБС (п.9.5 РС БР ИББС-2.6-2014). На стадии эксплуатации также необходимо выполнять периодическую оценку защищенности АБС и осуществлять мониторинг сообщений об уязвимостях АБС и реагирование на них (п.10.1 РС БР ИББС-2.6-2014). И, наконец, на стадии модернизации АБС рекомендуется проводить комплексную оценку защищенности в необходимом объеме (п.11.3 РС БР ИББС-2.6-2014).

Бесспорным достоинством РС БР ИББС-2.6-2014 является описание типовых недостатков в реализации функций безопасности автоматизированных систем, а также рекомендаций к проведению оценки защищенности и проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации). Но по понятным причинам документ не содержит пошагового руководства для выполнения указанных мероприятий. Чем в данном случае руководствоваться работникам, отвечающим за обеспечение информационной безопасности в своей организации? Где можно получить необходимые сведения/знания?

Для проведения тестирования на проникновение существуют методики и рекомендации, в которых подробно расписано для чего нужно проводить пентест, как и с помощью чего. Из актуальных можно выделить следующие:

Для отслеживания публикуемых сообщений об уязвимостях программного обеспечения в РС БР ИББС-2.6-2014 можно использовать следующие ресурсы:

Выполнить установку (проверку) безопасных настроек для операционных систем и программного обеспечения помогут инструкции National Checklist Program https://web.nvd.nist.gov/view/ncp/repository и CIS Security Benchmarks http://benchmarks.cisecurity.org.

Результатом вышеперечисленных работ является повышение устойчивости бизнеса за счет снижения рисков информационной безопасности и соответствие не только требованиям признанного отраслевого стандарта, которым является СТО БР ИББС, но и законодательным требованиям, в том числе требованиям Федерального закона «О персональных данных».

Автор: exitusletaris

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js