Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям SWIFT Customer Security Contro... 7 - 7.3A Penetration Testing
Группы требований Все документы
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

SWIFT Customer Security Controls Framework v2022

Framework

7 - 7.3A Penetration Testing

Для проведения оценки соответствия по документу войдите в систему.
7.3A Penetration Testing
Обязательно для architecture type A1 A2 A3 A4 B
Control Definition 

Control Objective: Validate the operational security configuration and identify security gaps by performing penetration testing. 

In-scope components: 
  • General-purpose operator PCs or, when used, jump servers used to access the secure zone 
  • Dedicated operator PCs 
  • Data exchange layer (the entry points to the secure zone or flows established to the secure zone components should be considered) 
  • SWIFT-related components (including interfaces, GUI, SWIFT and customer connectors) 
  • systems or virtual machines hosting SWIFT-related components 
  • network devices protecting the secure zone 
  • Remote (operated by a third party) Virtualisation Platform (also referred to as the hypervisor) hosting SWIFT-related VMs and the related management PCs 
Note: Tests are performed in line with the SWIFT Customer Testing Policy. As such, SWIFT-specific applications and SWIFT-central services such as SWIFTNet InterAct, FileAct, FIN, SWIFTNet Instant or WebAccess are not to be tested. 

Risk Drivers: 
  • Unknown security vulnerabilities or security misconfigurations 
Implementation Guidance 

Control Statement: 
Application, host, and network penetration testing is conducted towards the secure zone and the operator PCs or, when used, the jump server. 

Control Context: 
Penetration testing is based on simulated attacks that use similar technologies to those deployed in real attacks. It is used to determine the pathways that attackers might use, and the depth to which the attackers may be able to access the targeted environment. Conducting these simulations is an effective tool for identifying weaknesses 
in the environment which may require correction, improvement, or additional controls.

Implementation Guidelines: 
The implementation guidelines are common methods to apply the relevant control. The guidelines are a helpful way to begin an assessment, but should never be considered as an "audit checklist" as each user’s implementation may vary. Therefore, in cases where some implementation guidelines elements are not present or partially covered, mitigations as well as particular environment specificities must be considered to properly assess the overall compliance adherence level (as per the suggested guidelines 
or as per the alternatives). 
  • The organisation uses a risk-based approach to determine the preferred scope (for example, the secure zone, or a specific server including potential other services supporting the secure zone), method (for example by sharing or not the internal structure, design or implementation) and attack origin (for example, internal, from within or outside the secure zone, or external attack) for the test. 
  • Penetration testing is performed at least every 2 years, and ideally as well after significant changes to the environment (for example, introduction of new /different servers, new operating systems, underlying technology such as virtualisation or new network device technology, network design change). 
  • Penetration testing is carefully planned and performed to avoid potential availability or integrity impacts.
  • Penetration testing is performed by expert staff independent from the team in charge of the SWIFT infrastructure (internal Red Team or external resources). 
  • Network devices and host penetration testing (for example, rule bases and configurations review) are performed in the service production environment or in a pre-production environment replicating the live environment. 
  • Sufficient safeguards are in place to minimise any operational impact from conducting the penetration test. 
  • The outcome of the penetration testing is documented (with restricted access) and used as an input for the security update process. 
Note: The CSP FAQ (SWIFT Knowledge Base article 5021823) provides additional details on the scoping and the testing scenarios to consider. 

Optional Enhancement: 
Penetration testing is performed on SWIFT-specific applications while adhering to the SWIFT Customer Testing Policy. This SWIFT-specific application penetration testing is performed in the testing environment to avoid potential availability or integrity impacts.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.9
ЖЦ.9 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
ЖЦ.13
ЖЦ.13 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) в промышленной среде
NIST Cybersecurity Framework (RU):
RS.AN-5
RS.AN-5: Установлены процессы для получения, анализа и реагирования на уязвимости организации обнаруженные с помощью анализа внутренних и внешних источников (например, внутреннее тестирование, бюллетени по безопасности или исследователи безопасности).
ID.RA-1
ID.RA-1: Идентифицированы и задокументированы уязвимости активов 
PR.IP-12
PR.IP-12: Разработан и внедрен план управления уязвимостями
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.18.2.3
A.18.2.3 Анализ технического соответствия 
Мера обеспечения информационной безопасности: Информационные системы должны регулярно проверяться на предмет соответствия стандартам и политикам информационной безопасности организации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 3.6 CSC 3.6 Compare Back-to-Back Vulnerability Scans
Regularly compare the results from consecutive vulnerability scans to verify that vulnerabilities have been remediated in a timely manner.
NIST Cybersecurity Framework (EN):
PR.IP-12 PR.IP-12: A vulnerability management plan is developed and implemented
ID.RA-1 ID.RA-1: Asset vulnerabilities are identified and documented
RS.AN-5 RS.AN-5: Processes are established to receive, analyze and respond to vulnerabilities disclosed to the organization from internal and external sources (e.g. internal testing, security bulletins, or security researchers)

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстанавливающая Удерживающая Компенсирующая
Название Дата Влияние
Community
1 26 / 34
Сканирование внешнего сетевого периметра на наличие уязвимостей
Еженедельно Автоматически Техническая Детективная
11.02.2022 		11.02.2022 1 26 / 34
Цель: управление техническими уязвимостями
Регулярное сканирование всех публичных IP адресов компании сканером уязвимостей. Сканирование проводится из Интернета (из вне инфраструктуры).
Варианты реализации
  1. Купить соответствующую услугу у компании, занимающейся информационной безопасностью
  2. Развернуть собственный экземпляр сканера уязвимостей (или его агент) на внешних, облачных серверах
  3. Купить подписку на облачный сканер уязвимостей
  4. Воспользоваться бесплатными инструментами
    Например: Сканер уязвимостей Qualys Community Edition позволяет проводить регулярное полноценное сканирование ограниченного количества публичных IP адресов
Результаты сканирования могут загружаться в SECURITM (модуль VM) и обрабатываться в рамках процесса управления техническими уязвимостями.

Рекомендации к заполнению карточки:
  • Указать название сканера, область и периодичность сканирования.
  • Сканер (актив) привязать к карточке как инструмент
  • Если ведётся реестр публичных адресов - привязать адреса к карточке как инструмент.
  • Если сканирование запускается вручную - создать в карточке шаблон задачи на проведение регулярного сканирования
Community
9 / 32
Проведение тестирования на проникновение
Ежеквартально Вручную Техническая Детективная
02.06.2021 		02.06.2021 9 / 32
Цель: определение возможностей злоумышленника по компрометации инфраструктуры организации. 

Тестирование на проникновение (пентест, pentest).
Способы проведения: white box, gray box, black box
Области тестирования:
  1. Внешний пентест (тестирование внешнего периметра)
  2. Внутренний пентест (тестирование локальной сети)
  3. Тестирование сетей WiFi
  4. Тестирование методами социальной инженерии
  5. Тестирование web приложений
Пентесты проводятся преимущественно внешними подрядчиками, которых рекомендуется менять на регулярной основе для исключения эффекта замыливания.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по проведению тестирования на проникновение (периодичность ежеквартально или ежегодно);
  • В отчете о выполнении задачи приводить краткие результаты тестирования или ссылку на отчет;