13 марта 2020
Каким должен быть пентест (pentest) для банка?
Проведение тестов на проникновение и анализ уязвимостей ИБ объектов информационной инфраструктуры — требование ЦБ РФ к финансовым кредитным организациям, которое содержится практически во всех актуальных документах, формулирующих требования к информационной безопасности:
№ 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
№ 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (последнее при этом ссылается на ГОСТ 57 580).
Отсутствие стандарта к программам и методикам таких исследований со стороны ЦБ затрудняет для финансовой организации (банка) принятие решения о том, как правильно их проводить.
№ 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
№ 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (последнее при этом ссылается на ГОСТ 57 580).
Отсутствие стандарта к программам и методикам таких исследований со стороны ЦБ затрудняет для финансовой организации (банка) принятие решения о том, как правильно их проводить.
Основные вопросы касаются:
- объектов исследования. Здесь диапазон мнений расходится от достаточности сканирования внешнего периметра до необходимости полного исследования сети финансовой организации, в том числе выявление уязвимостей прикладного ПО;
- глубины исследования. Достаточно ли точечно исследовать ключевые объекты информационной инфраструктуры банка, или нужно смотреть и на их сетевой окружение.
- необходимости фиксирования всех выявленных уязвимостей, или только потенциально эксплуатируемых.
Также популярной была точка зрения, что ЦБ больше интересует сам факт проведения исследований защищенности и наличие отчета, а не его реальное содержание и методика проведения. Практических подтверждений этой точки зрения не было найдено.
При формировании методики исследований мы проанализировали корпус нормативных документов Банка России, получили консультацию специалистов, в том числе сотрудников регуляторов, а также учли собственный опыт проведения анализа защищенности. На наш взгляд, данная методика позволяет полностью покрыть требования контролирующих органов (ЦБ) и обеспечивает решение конкретных прикладных задач информационной безопасности банка.
Ключевые тезисы такого подхода:
- Необходимо исследовать и внешний периметр, и внутренние объекты банка;
- Исследованию подлежат ключевые объекты и их сетевое окружение;
- Исследование должно покрывать типовые (стандартные, очевидные) сценарии сетевого взаимодействия;
- Исследование защищенности в обязательном порядке предполагает попытки эксплуатации выявленных уязвимостей;
В итоговой отчетности указываются все выявленные уязвимости (и эксплуатируемые и неэксплуатируемые) с ранжированием по степени критичности.
Применение такого подхода в проектах 2019 года показало его технологичность и объективную полезность для финансовых организаций.
Результаты исследования защищенности и тестов на проникновение, проводимых нами для банка «Приобье», были запрошены ЦБ для анализа. Это, кстати, опровергает мнение о формальном отношении регулятора к выполнению требований о проведении пен-теста. В данном случае анализировались: полнота, техническое соответствие программ и методик исследования реальным требованиям. По результатам рассмотрения регулятор вынес положительное заключение.
«Проведенные исследования позволили повысить реальный уровень защищенности информационной инфраструктуры банка, а также выполнить требования, установленные законодательством. Используемые Акрибией методы и подходы полностью соответствуют требованиям Банка России, что было подтверждено в ходе проверки.
Можем рекомендовать Группу компаний „Акрибия“ в качестве исполнителя работ по тестированию на проникновение и анализу уязвимостей на основе неоднократного успешного опыта сотрудничества», — прокомментировал нашу работу руководитель службы информационной безопасности АО КБ «Приобье», Алексей Ларионов.
Таким образом, выработанный нами подход прошел проверку Центрального Банка, и мы обоснованно можем рекомендовать его нашим партнерам.
«Проведенные исследования позволили повысить реальный уровень защищенности информационной инфраструктуры банка, а также выполнить требования, установленные законодательством. Используемые Акрибией методы и подходы полностью соответствуют требованиям Банка России, что было подтверждено в ходе проверки.
Можем рекомендовать Группу компаний „Акрибия“ в качестве исполнителя работ по тестированию на проникновение и анализу уязвимостей на основе неоднократного успешного опыта сотрудничества», — прокомментировал нашу работу руководитель службы информационной безопасности АО КБ «Приобье», Алексей Ларионов.
Таким образом, выработанный нами подход прошел проверку Центрального Банка, и мы обоснованно можем рекомендовать его нашим партнерам.