Пентест

Требования о проведении тестирования на проникновение (пентест) содержаться в Положениях Банка России № 382-П, 683-П и 684-П

Субъекты тестирования

Финансовые организации ежегодно должны проводить тестирование на проникновение.
  • Кредитные организации
    п.14.2 Положения №382-П и п.3.2 Положения №683-П
  • Некредитные финансовые организации
    п.5.4 Положения №684-П

Что нужно для проведения оценки соответствия по 382-П?

Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований:
  • Банки должны ежегодно проводить пентест начиная с 01.07.2018
    В область тестирования входят АБС, ДБО, ПС, АРМ КБР, процессинг и т.п.
    1
  • Первый пентест банки должны провести не позднее 31.06.2019 г.
    Требование вытекает из п.14.2 382-П, которое было введено указанием ЦБ № 4793-У от 07.05.2018 г.
    2
  • Пентест организация может провести самостоятельно
    или с привлечением сторонней организации, которая имеет лицензию ФСТЭК на ТЗКИ
    3
Важно! Пентест организация может провести самостоятельно при наличии компетенции у сотрудников

Сроки и этапы проведения пентеста

Пентест проводится в течение 2-4 недель
1
Внешний пентест
Тестирование на проникновение публичных сервисов Банка доступных из сети Интернет
2
Внутренний пентест
Проводится с рабочего места среднестатистического пользователя сети. Банк предоставляет удаленный доступ с IP-адреса исполнителя к СВТ, размещенным в сети банка с заведенным пользователем с обычными правами
3
Ручная верификация уязвимостей и оформление отчета

Лицензия ФСТЭК

Проводить тестирование на проникновение могут организации, обладающие лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.