Получить консультацию
Оставьте заявку в этой форме и наш специалист свяжется с вами в самое ближайшее время.

Пентест

Требования о проведении тестирования на проникновение (пентест) содержаться в Положениях Банка России № 382-П, 683-П и 684-П

Субъекты тестирования

Финансовые организации ежегодно должны проводить тестирование на проникновение.
Кредитные организации
п.14.2 Положения №382-П и п.3.2 Положения №683-П
Некредитные финансовые организации
п.5.4 Положения №684-П

Что нужно для проведения оценки соответствия по 382-П?

Для проведения оценки соответствия по 382-П аудитору необходимо получить свидетельства выполнения требований:
Банки должны ежегодно проводить пентест начиная с 01.07.2018
В область тестирования входят АБС, ДБО, ПС, АРМ КБР, процессинг и т.п.
1
Первый пентест банки должны провести не позднее 31.06.2019 г.
Требование вытекает из п.14.2 382-П, которое было введено указанием ЦБ № 4793-У от 07.05.2018 г.
2
Пентест организация может провести самостоятельно
или с привлечением сторонней организации, которая имеет лицензию ФСТЭК на ТЗКИ
3
Важно! Пентест организация может провести самостоятельно при наличии компетенции у сотрудников

Сроки и этапы проведения пентеста

Пентест проводится в течение 2-4 недель
1
Внешний пентест
Тестирование на проникновение публичных сервисов Банка доступных из сети Интернет
2
Внутренний пентест
Проводится с рабочего места среднестатистического пользователя сети. Банк предоставляет удаленный доступ с IP-адреса исполнителя к СВТ, размещенным в сети банка с заведенным пользователем с обычными правами
3
Ручная верификация уязвимостей и оформление отчета

Лицензия ФСТЭК

Проводить тестирование на проникновение могут организации, обладающие лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.