Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Тест на проникновение

ОБЪЕКТИВНЫЙ МЕТОД ОЦЕНКИ ЗАЩИЩЕННОСТИ КОМПАНИИ

Существует тысяча и один способ взломать сеть и добраться до критически важной информации. Любому человеку свойственны ошибки, и он неизменно их совершает на протяжении всей истории своего существования. Вследствие чего современные сложные системы содержат миллионы ошибок, которые рано или поздно обнаруживаются и используются для получения доступа к закрытым данным.
Бизнес требует достижения результата любой ценой, однако часто забывает о безопасности своих информационных активов, в то время как каждый день публикуются десятки новостей о взломах и инцидентах информационной безопасности. Отсутствие управления системой информационной безопасности, неправильная настройка оборудования, отсутствие механизмов управления обновлениями, процессов мониторинга, отслеживания и регистрации инцидентов, все это подвергает конфиденциальные данные компаний значительному риску.

"ВЛАДИМИР ТКАЧЕНКО"

Тест на проникновение (penetration test или сокращенно pentest) - это практический способ показать, насколько защищена компания от посягательств на ее конфиденциальные данные и других угроз для информации. За рубежом также часто встречается термин этический хакинг (ethical hacking).

Данный метод симулирует набор «хакерских» атак, цели которых - проникновение во внутреннюю инфраструктуру сети компании, кража и/или модификация конфиденциальных данных, нарушение работы критических бизнес процессов компании.

Такое мероприятие является необходимым для любых компаний, зависящих от информации и обслуживающих ее систем информационных технологий (ИТ). К примеру, работа банковского учреждения практически полностью зависит от функционирования процессинговых систем, а интернет магазин перестанет совершать продажи в случае блокирования его веб-сайта.

Примеры инцидентов, применимые практически к любой компании и способные повлечь за собой критические последствия для бизнеса вплоть до его закрытия:

  • попадание базы клиентов в руки конкурентов;
  • разглашение конфиденциальных разработок компании;
  • кража злоумышленником базы данных бухгалтерии с контрагентами и финансовыми транзакциями компании;
  • кража данных аутентификации для работы с платежными системами или системами «Клиент-банк» компании;
  • уничтожение резервных копий важных данных компании за продолжительный период ;
  • потеря доступности критических информационных систем в результате DoS или других видов прерывания в обслуживании.

С каждым днем все больше ощущается зависимость от ИТ технологий и информации в любых компаниях независимо от направления их деятельности. Инциденты информационной безопасности, связанные с взломами, часто становятся критическими или даже роковыми для множества компаний ежегодно, а сегодня стали актуальными и для Украины. Подобные инциденты, как правило, умалчиваются, что создает определенную атмосферу беспечности для других компаний. Однако, некоторые случаи все же попадают в СМИ и публикуются на популярных новостных сайтах. Достаточно вспомнить нашумевший инцидент с несанкционированным доступом к системе «клиент-банк» одного из банков и крупного оператора связи в марте 2011 г., когда был нанесен ущерб в размере около 7 млн. грн. Конечно, благодаря оперативности профильных подразделений МВД Украины и банковских работников злоумышленники были найдены, но репутации банка был нанесен существенный ущерб.

Сегодня тестирование на проникновение не достаточно распространенная услуга на украинском рынке информационной безопасности, однако, практика проведения подобных тестов - обычное дело для зарубежных компаний или компаний ориентированных на международные стандарты. Очень немногие украинские компании проводят такие мероприятия ввиду многих причин, среди которых есть определенные заблуждения. Рассмотрим эти заблуждения более детально.




МНЕНИЕ ЭКСПЕРТА
Евгения КОХАН

Начальник отдела по вопросам контроля опера- ционных рисков и информационной безопасности, ИНГ Банк Украина

Тест на проникновение – это своего рода экспресс-метод определения слабых звеньев в системе безопасности компании. Для проверки информационных систем и инфраструктуры – проводят ИТ-тест на проникновение, осведомленности персонала – социальный инжиниринг, физической безопасности – тест проникновения на территорию предприятия. Соответственно, результаты теста дают возможность определить эффективность и достаточность существующих контролей безопасности в компании.

Зачем привлекать внешних специалистов для такой проверки? Во-первых, как и при любом аудите, необходимо получить независимую оценку, что далеко не всегда возможно усилиями только внутренних специалистов компании. Во-вторых, содержать высококвалифицированных и часто узконаправленных специалистов не всегда целесообразно.

При вовлечении внешних специалистов очень важным остается вопрос изначальной подготовки и контроля проекта на каждой стадии – для того чтобы тестирование не привело к реальным инцидентам. Таким образом, например, необходимо обеспечить резервные копии для тестируемых систем, детально обсудить сценарии и оценить потенциальные последствия в случае успешной «атаки», проводить тестирование в нерабочее время для уменьшения риска остановки бизнес процесса.

Не стоит также забывать об основной цели, а именно усовершенствовании системы безопасности компании, которое начинается уже после того, как проект заканчивается. Таким образом, очень важным является анализ результатов и соответствующие реагирование - устранение уязвимостей в процессах, а возможно и изменение самих процессов, разработка новых контролей. Оценка критичности той или иной угрозы для компании поможет расставить приоритеты и устранить слабые звенья, сведя при этом к минимуму вероятность возникновения инцидентов безопасности.

ЗАБЛУЖДЕНИЕ 1: ЦЕНА

Большинство компаний готовы тратить миллионы на приобретение различных ИТ-решений и обслуживание этих «самолетов», которые не работают даже на 30% своих возможностей, но не готовы тратить адекватные деньги за уверенность в сохранности своего бизнеса. В информационной безопасности есть золотое правило, которое гласит, что стоимость защиты информации никогда не должна превышать ее стоимость.

Средняя стартовая цена на pentest в Украине колеблется от 10 000 $ и возрастает в зависимости от объемов и опций теста, о чем пойдет речь чуть ниже. Средняя цена за полноценный комплексный проект может составить около 20 000 $ и даже больше.

Расходы, связанные с тестом на проникновение, включают оплату труда экспертов, поддержку специализированного программного обеспечения (ПО), оборудования и ИТ-услуг (например, покупку анонимных VPN каналов, создание фишингового сайта и т.п.) и накладные расходы. В случае с иностранными аудиторами расходы возрастут в связи с более высокими ценами на услуги и оплату труда, а также необходимостью дополнительно оплатить переезд и проживание в отеле для исполнителей.

Говорить о меньших суммах возможно только в случае уменьшения объема и качества работ, использовании неквалифицированных специалистов – любителей, сомнительного или взломанного ПО. В этом случае заказчик просто впустую тратит свое время и деньги и получает вместо услуги «галочку для руководства».

ЗАБЛУЖДЕНИЕ 2: НЕУМЕНИЕ СПЕЦИАЛИСТОВ ИБ ОТЛИЧИТЬ СКАНИРОВАНИЕ УЯЗВИМОСТЕЙ ОТ ТЕСТА НА ПРОНИКНОВЕНИЕ

В действительности эти понятия представляют собой разные услуги.

Сканирование уязвимостей производится специальными программами-сканерами, которые позволяют в автоматическом режиме проверять сетевой периметр и веб-сайты компании на наличие брешей. Несомненно, такое мероприятие является одним из ключевых этапов теста на проникновение, позволяющим найти значительное количество потенциальных уязвимостей в системе, определить отсутствие патчей или других проблем в защите ИТ-систем.

Следует учесть тот факт, что логика работы данных сканеров не позволяет обнаружить всего, что может обнаружить команда профессиональных экспертов. Значительное количество уязвимостей остается за рамками охвата любого из известных сканеров. Тест на проникновение предполагает системный подход, поиск и анализ информации из различных источников, проведение атак методами социальной инженерии, глубокое сканирование сети и сайтов компании различными методами и инструментами, проверку реакции сотрудников на возникновение инцидентов ИБ, что позволяет более адекватно оценить состояние информационной безопасности, а также необходимых процессов ИБ.

ЗАБЛУЖДЕНИЕ 3: ТЕСТ НА ПРОНИКНОВЕНИЕ ЭТО ДОЛГО И НЕПОНЯТНО, ЧТО ДЕЛАТЬ С РЕЗУЛЬТАТОМ

К сожалению, отсутствие риск менеджмента в большинстве украинских компаний является фактом сегодняшнего дня. В действительности, результаты теста позволяют получить входные данные для анализа рисков ИТ, оптимизировать затраты на информационную безопасность (направлять бюджет именно на проблемные области), корректировать стратегию ИТ с бизнес-стратегией компании с учетом выявленных рисков. Касаемо длительности, в зависимости от объемов теста (количества целевых объектов Заказчика) длительность варьируется в пределах от 3 до 8 недель.

МЕТОДЫ ЭТИЧЕСКОГО ХАКИНГА

Итак, что же все-таки собой представляет и как организован процесс этического хакинга?

В отличие от реальных злоумышленников, команда тестеров соблюдает определенные этические правила при проведении всех работ: любые опасные действия совершаются только по предварительному согласованию с заказчиком, весь процесс сканирования прозрачен и спланирован, работа критических бизнес-процессов не нарушается, а в конце теста заказчик получает объективный отчет о состоянии дел в его системе безопасности в терминах, понятных не только ИТ специалистам, но и бизнесу.

Существование различных методик проведения тестов на проникновение не отменяет творческой составляющей процесса, что требует от команды, исполняющей его, глубоких познаний в сфере ИТ-безопасности и в тоже время - умения мыслить нестандартно, применять методы социальной инженерии, собирать и анализировать информацию. Хорошей иллюстрацией такого подхода в мышлении и методах является кино-трилогия о «N Друзей Оушена».


НАИБОЛЕЕ ИСПОЛЬЗУЕМЫЕ МЕТОДОЛОГИИ
ЭТИЧЕСКОГО ХАКИНГА

  • Information Systems Security Assessment Framework (OISSG).
  • The Open Source Security Methodology Manual (OSSTMM).
  • NIST SP800-115 Technical Guide to Information Security Testing and Assessment.
  • ISACA Switzerland – Testing IT Systems Security With Tiger Teams.
  • The Information Systems Security Assessment Framework (ISSAF).
  • OWASP Testing Methodology.
  • BSI - Study A Penetration Testing Model.
  • Penetration Test Framework (PTF).

Существуют как открытые, так и коммерческие методологии проведения тестов на проникновение, способные при соблюдении всего процесса обеспечить гарантированное качество услуги. Однако, на практике использование только лишь одной методологии не является целесообразным, как правило, они используются модульно с необходимой доработкой. Некоторые методологии уже устарели и не учитывают стремительные темпы развития ИТ, а некоторые охватывают только организационные моменты, не вдаваясь в технические детали, другие же нацелены лишь на определенные технологии и практически ни одна методология не способна учесть особенности украинской сферы ИТ-технологий.

Как правило, все методологии, с небольшими отклонениями предусматривают следующий сценарий проведения теста на проникновение:

  • Планирование теста на проникновение.
  • Сбор информации о целевых системах.
  • Поиск уязвимостей.
  • Проникновение в системы.
  • Написание и предоставление отчета.
  • Очистка систем от последствий теста.

ПЛАНИРОВАНИЕ ТЕСТА НА ПРОНИКНОВЕНИЕ

Тест на проникновение является комплексным проектом и может включать в себя несколько видов работ из которых и формируется цена и сроки. На данном этапе также оговариваются ограничения и роли участников.

1. Следует определить подход к проведению теста: так называемый белый (White box), черный (Black Box) или серый (Grey Box) ящик.

White box Исполнитель имеет доступ к системам и располагает полной информацией о них, фактически такая модель тестирования используется как часть организационно-технического аудита организации ИТ и предполагает анализ процессов и процедур.
Black Box Имитирует группу  хакеров, которые имеют только название компании и практически нулевые сведения о целевой системе.
Grey Box Предполагает имитацию хакеров, располагающих информацией частично (например о диапазоне IP адресов, Web сайтах, физическом месторасположении, идентификаторах беспроводных сетей и т.д), а также возможно, доступом с низким уровнем привилегий в некоторые тестируемые системы.

Данные модели определяют начальные знания о тестируемой системе у исполнителя теста. Стоит упомянуть, что большинство методологий рассматривают подход Black Box, как тестирование квалификации самого исполнителя теста. С нашей точки зрения данный подход просто удлиняет первую фазу теста – сбор сведений о целевых системах. Так что по сути заказчик косвенно платит за оценку квалификации самого аудитора.

2. Также определяется тип и количество тестируемых систем. Наиболее часто определяются следующие параметры для внешнего тестирования:

Тестирование периметра сети Определяется количеством IP адресов.
Тестирование WEB сайтов Определяется количеством URL сайтов.
Тестирование специализированных приложений Например, приложение «Клиент-банк» или любое другое клиентское ПО, взаимодействующее с серверами компании.
Тестирование сотрудников на  устойчивость к методам социальной инженерии Сюда входят попытки вишинга ( обзвон ключевых сотрудников с целью получения паролей), проведение фишинговых атак, использование вирусов для получения доступа к системам, поиск информации в мусоре компании, и другие методы.
Физическое проникновение на территорию компании Может включать взлом замков или проникновение обманом под видом обслуживающего персонала с целью получения информации, карточек и кодов доступа, ключей, ноутбуков, телефонов, паролей, закладки жучков, проникновения в серверную и т.д.
Тестирование беспроводных сетей Определяется количество точек доступа. Также возможна опция установки подставной точки доступа с целью перехвата трафика пользователей.

На данном этапе можно завершить весь проект или продолжить pentest путем анализа внутренней сети (тут возможны только подходы белого или частично серого ящика). В таком случае имитируется атака со стороны инсайдера. Опции тестирования могут включать:

Тестирование внутреннего периметра сети. Полный тест на проникновение или же проведение автоматизированного сканирования уязвимостей внутренних ресурсов компании. Определяется количество IP адресов, веб-сайтов и приложений.

Анализ конфигураций сетевых устройств, приложений и серверов на соответствие стандартам безопасности. Производители, выпускающие оборудование и приложения, определяют собственные рекомендации по безопасности. Анализ проводится с целью выявления отклонений в рекомендациях.

Анализ кода веб-сайтов. Код проверяется на наличие уязвимостей типа SQL injection, command injection, file inclusion, DoS, наличие несанкционированных закладок, недостатков в архитектуре и др.

Анализ кода приложений. Код проверяется на наличие уязвимостей типа Buffer overflow, DoS, на наличие несанкционированных закладок, недостатков в архитектуре и др.

Аудит мобильных устройств. Анализ безопасности использования телефонов, смартфонов, планшетов, также устройств хранения данных, таких как USB, плееров и других мобильных устройств.

3. Также важно определить порядок предоставления отчетности. Квалифицированный аудитор сможет предоставить развернутую информацию о проделанной работе для менеджмента в понятной форме. Из наиболее целесообразных вариантов:

  • один результирующий отчет по окончании тестирования;
  • предоставление отдельного отчета сразу при обнаружении критической уязвимости;
  • промежуточные отчеты раз в 2-3 дня

4. Необходимо также определить следующие организационные моменты:

  • каналы связи для обмена информацией между заказчиком и тестерами. Вполне определенно они должны быть зашифрованы;
  • ответственных лиц со стороны исполнителя и заказчика;
  • порядок действий в случае возникновения инцидентов, связанных с проведением тестирования;
  • ограничения тестирования (например, только в выходные дни, только безопасные проверки для определенных систем и т.д).

Все мероприятия по тестированию проводятся только после подписания договора, а также соглашения о неразглашении с исполнителями. Исполнитель со своей стороны проводит внутреннюю подготовку к тесту: инструктаж персонала, организацию совместной работы, подготовку необходимого оборудования и ПО, каналов связи и прочее.

CБОР ИНФОРМАЦИИ

Первоочередной задачей аудиторов на данном этапе является сбор как можно большего количества информации о тестируемых системах и о сотрудниках компании. Зачастую уже на данном этапе возможно обнаружение критических уязвимостей, таких, как забытые или «бесхозные» сервисы, не требующие авторизации и дающие доступ во внутреннюю сеть, опубликованные конфиденциальные данные, пароли и другая критическая информация.

Поиск информации происходит в доступных источниках вручную, а также при помщи специализированных инструментов. В объем работ, как правило, входит поиск информации в таких источниках:

  • поисковые системы;
  • социальные сети и сайты знакомств;
  • каталоги предприятий;
  • новостные сайты;
  • корпоративные сайты компании заказчика, сайты клиентов и партнеров;
  • сайты поиска работы;
  • базы данных WHOIS;
  • DNS сервера компании;
  • анализ маршрутов и выявление сетевого оборудования;
  • черные списки спаммеров;
  • анализ e-mail писем;
  • звонки в сall-центр компании с целью получить информацию о ключевых сотрудниках компании, о структуре компании и технологиях;
  • анализ метаинформации в документах, размещенных на сайтах компании;
  • непосредственное сканирование сети различными инструментами для обнаружения IP адресов, портов, версий работающих сервисов и операционных систем;
  • «дайвинг» в мусорки компании с целью найти конфиденциальную информацию и другие методы.

Как уже было сказано выше, подход «только сканирование уязвимостей» не учитывает всей информации, собранной на этапе разведки. Вооружившись же полным набором информации можно приступать к сканированию уязвимостей, что в дальнейшем даст более полную картину о возможных недостатках в защите.

ПОИСК УЯЗВИМОСТЕЙ

В зависимости от выбранных систем на данном этапе проводится сканирование уязвимостей различными программами-сканерами. Специализация подобных сканеров может быть ориентирована на тестирование периметра сети, web-сайтов, отдельных приложений и сервисов, таких как базы данных, VPN-устройства, устройства IP-телефонии и прочих.

Важно отметить, что любой инструмент выдает определенное количество ложных срабатываний, таких как обнаружение ложной уязвимости или наоборот пропуск уязвимости, когда она действительно существует. Чтобы увеличить вероятность нахождения необходимо проводить сканирование двумя-тремя сканерами. Также для нахождения уязвимостей проводится анализ версий используемого ПО: часто не обновленное или устаревшее ПО имеет опубликованные уязвимости, не найденные ни одним из сканеров.

ПРОНИКНОВЕНИЕ В СИСТЕМЫ

Найденные потенциальные уязвимости должны быть проверены вручную, чтобы отфильтровать все ложные срабатывания.

Для взлома уязвимых ИТ-систем используется различный специализированный инструментарий, експлойты в публичном доступе на хакерских сайтах. В некоторых случаях потребуется собственная разработка вирусов и екслойтов для проникновения внутрь сети.

Также отметим, что в хакерском подполье существует рынок продажи 0-day експлойтов и уязвимостей. Это те уязвимости, которые еще не были обнаружены и опубликованы производителем ПО. Теоретически возможны варианты покупки подобных експлойтов, но юридически подобную покупку совершить сложно, так как данные продукты продаются за наличные деньги или за безналичные переводы через популярные платежные системы без какой-либо документации, гарантий, лицензий.

Все вектора проникновения, включая социальную инженерию, физическое проникновение, беспроводные сети и другие атакуются на этом этапе и развиваются в дальнейшем до максимально возможного уровня доступа.

 


МНЕНИЕ ЭКСПЕРТА
Сергей ЗАХАРЧУК

Начальник отдела безопасности информационных систем и технологий ПАО «Мироновский хлебопродукт»

Результаты квалифицированно проведенного теста на проникновение продуктивны для нескольких звеньев компании, его заказавшего. Высший менеджмент получает интегрированную оценку защищенности информационной системы и может принять решение об эффективности затрат на ИТ-безопасность и сформировать подходы к дальнейшему финансированию данного направления. Руководство ИТ получает в руки два набора данных для планирования своей деятельности. Первый – документированные отчеты о наиболее существенных уязвимостях периметра. Уверен, если тест будет квалифицированным, то и отчеты будут такими.

Обязательно содержащиеся в итоговом отчете предложения по повышению защищенности периметра послужат существенным дополнением для корректировки плановой деятельности подразделения ИТ-безопасности. Чрезвычайно полезными будут как результаты оценки действий персонала при возникновении событий безопасности, так и сами наблюдения за сотрудниками и полученные в ходе него оценки их профессиональной подготовки.

Отдельно хочется сказать про первый тест. Его высокая продуктивность во много будет заключаться в комплексности использованных пен-тестерами технологий, охватом ими всех возможных векторов атак. Не ставьте задач на глубокое проникновение в корпоративные системы, нарушение целостности и конфиденциальности данных в них. В рамках фиксированного бюджета лучше сосредоточиться на наиболее полном и разностороннем исследовании периметра. И ни в коем случае не исключайте из теста социальную инженерию. Поверьте, ее данные могут оказаться удивительны.

ПОДГОТОВКА ОТЧЕТА ОЧИСТКА СИСТЕМ ОТ ПОСЛЕДСТВИЙ ТЕСТА

После проведения всех необходимых работ по проникновению должен быть предоставлен отчет, который в дальнейшем презентуется руководству компании и специалистам ИТ и ИБ. Некоторые стандарты предъявляют вполне определенные требования к отчету, чем можно руководствоваться при его составлении. Практика ведения бизнеса в Украине показывает, что наиболее оптимальной структурой отчета является его разбитие на 3 уровня: для высшего руководства, для менеджеров ИБ и для технических специалистов.

Отчет должен содержать полное перечисление проведенных работ и их результат, найденные уязвимости с подробным описанием сценариев атак, доказательства взлома систем и рекомендации по устранению уязвимостей в технических системах и ИТ-процессах компании.

После проведения теста возможны остаточные следы теста, так называемые артефакты, которые необходимо устранить. Например, если был получен доступ к какой-либо системе, то необходимо провести смену паролей для всех ее пользователей, в случае использования вирусов их также следует удалить, и т.д.

ЗАКЛЮЧЕНИЕ

Как видно из описанного выше, тест на проникновение – это сложная и объемная услуга, которая может показать текущую картину защищенности информационных систем. Результаты проведения подобного теста часто удивляют руководство компаний-заказчиков. Из практики проведения тестов в Украине можем отметить уязвимости, связанные со слабой организацией в установке обновлений и заплаток (patch management), проникновение внутрь сети через «бесхозные» сервисы, расположенные по соседству с критическими бизнес приложениями, несерьезное отношение к вопросам осведомленности персонала в вопросах информационной безопасности, что позволяет в 99% случаев успешно реализовать атаки методами социальной инженерии.

Новые уязвимости в системах и технологиях обнаруживаются практически ежедневно. Таким образом, защита информации в компании должна стать постоянным процессом, а не разовым мероприятием. Хорошей практикой считается проводить тесты на проникновение как минимум раз в год, а в периоды между ними организовать процесс управления уязвимостями (vulnerability management) путем закупки сканера уязвимостей и периодического самостоятельного сканирования периметра сети. Такой подход обеспечит оптимальную защиту от целенаправленных атак либо со стороны конкурентов или других заинтересованных лиц, имеющих определенные ресурсы (время, деньги, квалифицированных специалистов и технологии), соизмеримых со стоимостью самой информации.

Следует также отметить, что тест на проникновение не дает 100% гарантии защищенности систем: существуют 0-day уязвимости, о существовании которых известно лишь ограниченному кругу лиц. Подобными уязвимостями пользуются хакерские сообщества, наподобие прославившихся Anonymous. На подпольных сайтах за определенную сумму возможно приобрести эксплойты для этих уязвимостей, и в случае достаточных ресурсов у злоумышленника, вопрос взлома становится делом времени.

Чтобы уменьшить вероятность и последствия взлома необходима организация подхода «defense in depth» (глубокоэшелонированной защиты) и высокой доступности, наладка всех необходимых процессов для реакции на попытки взлома и уменьшения последствий атаки. Важными элементами являются организация следующих процессов:

  • установка обновлений в системах и ПО;
  • управления рисками для критических бизнес процессов и систем;
  • управления изменениями;
  • мониторинг и регистрация событий безопасности;
  • реакция на инциденты в случае обнаружения взлома;
  • расследование инцидентов (forensics) с юридически правильным оформлением улик;
  • обучение сотрудников правилам ИБ;
  • управление резервированием и восстановлением информации.

Для организации всех необходимых процессов необходимо избрать один из подходов к обеспечению информационной безопасности, предлагаемый международными, а теперь для определенных отраслей и национальными стандартами.

Надеемся, что данная статья поможет читателям в организации и проведении тестов на проникновение и предотвратит инциденты информационной безопасности на предприятии.

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 27001 СОУ Н НБУ 65.1 СУИБ 1.0:2010 «МЕТОДЫ ЗАЩИТЫ В БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ. СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ТРЕБОВАНИЯ» (ISO / IEC 27001:2005, МОD)

«Мероприятия по безопасности. Информационные системы должны регулярно проверяться на соответствие стандартам внедрения безопасности» (Приложение А. п. 15.2.2 Проверка технического соответствия).

СТАНДАРТ ЗАЩИТЫ ДАННЫХ В ИНДУСТРИИ ПЛАСТИКОВЫХ КАРТ (PCI DSS V. 2.0), ТРЕБОВАНИЕ 11.3

«Выполнять тест на проникновение необходимо по крайней мере 1 раз в год, а также при любых значительных изменениях или обновлениях в приложении или инфраструктуре (например, модернизация операционной системы, добавление дополнительной сети или WEB-сервера)».

РАЗЪЯСНЕНИЯ К П.11.3 СТАНДАРТА PCI DSS

«Стандарт PCI DSS не требует, чтобы тест на проникновение выполнялся квалифицированным аудитором QSA или авторизованным поставщиком услуг сканирования ASV. Тест на проникновение может выполняться либо квалифицированным собственным персоналом, либо квалифицированным персоналом третьей компании. В случае если тест на проникновение проводится собственными силами, выполняющие его сотрудники должны иметь соответствующую квалификацию, а также организационно не подчиняться менеджменту проверяемой инфраструктуры. Например, администраторы систем защиты периметра сети не должны участвовать в тесте этих систем».

Евгений ЕРМОЛАЕВ
Технический директор
ООО «Агентство активного аудита», CISM
e.ermolaev@auditagency.com.ua

Владимир ТКАЧЕНКО
Директор
ООО «Агентство активного аудита»
v.tkachenko@auditagency.com.ua