Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Проведение тестирования на проникновение

Цель: определение возможностей злоумышленника по компрометации инфраструктуры организации. 

Тестирование на проникновение (пентест, pentest).
Способы проведения: white box, gray box, black box
Области тестирования:
  1. Внешний пентест (тестирование внешнего периметра)
  2. Внутренний пентест (тестирование локальной сети)
  3. Тестирование сетей WiFi
  4. Тестирование методами социальной инженерии
  5. Тестирование web приложений
Пентесты проводятся преимущественно внешними подрядчиками, которых рекомендуется менять на регулярной основе для исключения эффекта замыливания.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по проведению тестирования на проникновение (периодичность ежеквартально или ежегодно);
  • В отчете о выполнении задачи приводить краткие результаты тестирования или ссылку на отчет;
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Детективная ? Детективные меры Эти меры применяются для выявления любых вредоносных действий, нарушений и инцидентов. Эти меры не останавливают и не смягчают попытки вторжения, они только иде...
Реализация
Вручную
Периодичность
Ежеквартально
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
Косвенно ЖЦ.9
ЖЦ.9 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
Косвенно ЖЦ.13
ЖЦ.13 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) в промышленной среде
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
Косвенно СЗИ.1
СЗИ.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: 
- обнаружения инцидентов защиты информации; 
- обнаружения недостатков в рамках контроля системы защиты информации
Косвенно СЗИ.3
СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: 
- изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем); 
- изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России
Косвенно СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: 
- области применения процесса системы защиты информации; - основных принципов и приоритетов в реализации процесса системы защиты информации; 
- целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Косвенно Р. 8 п. 2 п.п. 2
 8.2.2. Служба ИБ должна быть наделена следующими минимальными полномочиями:
  • организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации БС РФ;
  • разрабатывать и вносить предложения по изменению политик ИБ организации;
  • организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ;
  • определять требования к мерам обеспечения ИБ организации БС РФ;
  • контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам;
  • осуществлять мониторинг событий, связанных с обеспечением ИБ;
  • участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации БС РФ;
  • участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий; 
  • осуществлять контроль обеспечения ИБ на стадиях ЖЦ АБС, в том числе при тестировании и вводе в эксплуатацию подсистем ИБ АБС организации БС РФ; 
  • участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации БС РФ. 
Косвенно Р. 7 п. 3 п.п. 5
7.3.5. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.
CIS Critical Security Controls v8 (The 18 CIS CSC):
Косвенно 17.7
17.7 Conduct Routine Incident Response Exercises
Plan and conduct routine incident response exercises and scenarios for key personnel involved in the incident response process to prepare for responding to real-world incidents. Exercises need to test communication channels, decision-making, and workflows. Conduct testing on an annual basis, at a minimum.
Косвенно 18.2
18.2 Perform Periodic External Penetration Tests
Perform periodic external penetration tests based on program requirements, no less than annually. External penetration testing must include enterprise and environmental reconnaissance to detect exploitable information. Penetration testing requires specialized skills and experience and must be conducted through a qualified party. The testing may be clear box or opaque box. 
Косвенно 18.5
18.5 Perform Periodic Internal Penetration Tests
Perform periodic internal penetration tests based on program requirements, no less than annually. The testing may be clear box or opaque box. 
Косвенно 18.1
18.1 Establish and Maintain a Penetration Testing Program
Establish and maintain a penetration testing program appropriate to the size, complexity, and maturity of the enterprise. Penetration testing program characteristics include scope, such as network, web application, Application Programming Interface (API), hosted services, and physical premise controls; frequency; limitations, such as acceptable hours, and excluded attack types; point of contact information; remediation, such as how findings will be routed internally; and retrospective requirements. 
NIST Cybersecurity Framework (RU):
Косвенно PR.IP-10
PR.IP-10: Проверены планы реагирования и восстановления
Косвенно DE.CM-7
DE.CM-7: Выполняется мониторинг неавторизованных персонала, подключений, устройств и программного обеспечения 
Косвенно PR.IP-12
PR.IP-12: Разработан и внедрен план управления уязвимостями
Косвенно ID.RA-1
ID.RA-1: Идентифицированы и задокументированы уязвимости активов 
Косвенно RS.AN-5
RS.AN-5: Установлены процессы для получения, анализа и реагирования на уязвимости организации обнаруженные с помощью анализа внутренних и внешних источников (например, внутреннее тестирование, бюллетени по безопасности или исследователи безопасности).
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.14.2.8 A.14.2.8 Тестирование защищенности системы
Средства реализации: В ходе разработки должно выполняться тестирование функциональности, связанной с безопасностью.
Косвенно A.12.6.1 A.12.6.1 Управление техническими уязвимостями
Средства реализации: Должна своевременно получаться информация о технических уязвимостях в используемых информационных системах, должно оцениваться влияние этих уязвимостей на организацию и приниматься соответствующие меры для обработки связанных с этим рисков.
Косвенно A.13.1.1 A.13.1.1 Средства управления сетями
Средства реализации: Сети должны управляться и контролироваться, чтобы защитить информацию в системах и приложениях.
Косвенно A.18.2.3 A.18.2.3 Анализ технического соответствия
Средства реализации: Информационные системы должны регулярно анализироваться на соответствие политикам и стандартам информационной безопасности организации.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 20.6 CSC 20.6 Use Vulnerability Scanning and Penetration Testing Tools in Concert
Use vulnerability scanning and penetration testing tools in concert. The results of vulnerability scanning assessments should be used as a starting point to guide and focus penetration testing efforts.
CSC 19.7 CSC 19.7 Conduct Periodic Incident Scenario Sessions for Personnel
Plan and conduct routine incident, response exercises and scenarios for the workforce involved in the incident response to maintain awareness and comfort in responding to real-world threats. Exercises should test communication channels, decision making, and incident responders technical capabilities using tools and data available to them.
CSC 12.2 CSC 12.2 Scan for Unauthorized Connections Across Trusted Network Boundaries
Perform regular scans from outside each trusted network boundary to detect any unauthorized connections which are accessible across the boundary.
CSC 20.2 CSC 20.2 Conduct Regular External and Internal Penetration Tests
Conduct regular external and internal penetration tests to identify vulnerabilities and attack vectors that can be used to exploit enterprise systems successfully.
CSC 20.1 CSC 20.1 Establish a Penetration Testing Program
Establish a program for penetration tests that includes a full scope of blended attacks, such as wireless, client-based, and web application attacks.
Косвенно CSC 18.2 CSC 18.2 Ensure That Explicit Error Checking is Performed for All In-House Developed Software
For in-house developed software, ensure that explicit error checking is performed and documented for all input, including for size, data type, and acceptable ranges or formats.
Косвенно CSC 3.6 CSC 3.6 Compare Back-to-Back Vulnerability Scans
Regularly compare the results from consecutive vulnerability scans to verify that vulnerabilities have been remediated in a timely manner.
SWIFT Customer Security Controls Framework v2022:
7 - 7.3A Penetration Testing
7.3A Penetration Testing
Косвенно 7 - 7.4A Scenario Risk Assessment
7.4A Scenario Risk Assessment
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.11 АУД.11 Проведение внешних аудитов
Косвенно ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения
NIST Cybersecurity Framework (EN):
Косвенно PR.IP-10 PR.IP-10: Response and recovery plans are tested
Косвенно DE.CM-7 DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed
Косвенно PR.IP-12 PR.IP-12: A vulnerability management plan is developed and implemented
Косвенно ID.RA-1 ID.RA-1: Asset vulnerabilities are identified and documented
Косвенно RS.AN-5 RS.AN-5: Processes are established to receive, analyze and respond to vulnerabilities disclosed to the organization from internal and external sources (e.g. internal testing, security bulletins, or security researchers)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.11 АУД.11 Проведение внешних аудитов
Косвенно ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения

Связанные риски

Ничего не найдено