СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Статьи
Компания «Актив»
29.01.2025
#Dev#ИБ#Инфра

Новые требования к пентестам в банках и НФО: разбор методики 2-МР

Новые требования к пентестам в банках и НФО: разбор методики 2-МР

источник: dall-e

22 января 2025 года Банк России утвердил методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка (2-МР). Они разработаны с целью унификации подхода организаций финансового рынка к обязательствам по проведению тестирования на проникновения и анализа уязвимостей ИБ объектов информационной инфраструктуры (ОИИ).

Напомним, что банки и некредитные финансовые организации должны проводить тестирование на проникновение как минимум один раз в год (требования Положения Банка России от 17.04.2019 № 683-П, от 04.06.2020 № 719-П, от 20.04.2021 № 757-П). Также, согласно ГОСТ Р 57580 «Безопасность финансовых (банковских) операций» необходимо проводить однократное тестирование на этапе «Ввод в эксплуатацию АС» и ежегодное тестирование на этапе «Эксплуатация (сопровождение) АС».

Отметим, что ранее подход к тестированию на проникновение и анализу уязвимостей ИБ ОИИ был детализирован лишь в документе Банка России «РС БР ИББС-2.6-2014», который содержит в себе рекомендации к проведению оценки защищенности автоматизированных банковских систем (АБС) и (или) ее компонентов. В нем зафиксированы содержание основных работ по тестированию на проникновение, вариации подходов к выявлению уязвимостей на различных уровнях, а также примерное содержание отчета о проведенных исследованиях.

2-МР же имеет более широкую применимость. Согласно документу, в границы проведения тестирования и анализа рекомендуется включать ОИИ, «распространяемые клиентам для совершения действий в целях осуществления банковских и (или) иных финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию на технологических участках, используемое для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».

Также в новых методических рекомендациях закрепляются следующие ключевые аспекты:

  • цели и задачи проведения работ по тестированию на проникновение и анализу уязвимостей ИБ ОИИ;
  • рекомендованные требования к ТЗ на проведение подобных работ;
  • перечень ВНД и ОРД финансовой организации, которыми рекомендуется руководствоваться при проведении работ;
  • требования к отчету по результатам тестирования на проникновение и анализа уязвимостей ИБ ОИИ (зафиксирован и рекомендуемый срок хранения подобного отчета – 5 лет);
  • рекомендации по тестированию на проникновение (методы тестирования, используемые при этом базы данных угроз безопасности информации, учет потенциала нарушителя, использование автоматизированных средств моделирования атак);
  • рекомендации по анализу уязвимостей (использование средств анализа защищенности не ниже 4 уровня доверия, оценка критичности уязвимостей согласно Методике ФСТЭК России
    (от 28.10.2022 г.), применимость БДУ ФСТЭК России);
  • рекомендации по самостоятельному проведению тестирования, а также рекомендации по проведению тестирования с привлечением сторонней организации (зафиксированы случаи, в которых рекомендуется самостоятельно проводить работы, и требования к сторонней организации, такие как наличие лицензии на ТЗКИ и подтвержденный опыт проведения соответствующих работ);
  • порядок информирования Банка России о результатах проведения тестирования на проникновение и анализа уязвимостей ИБ ОИИ.

До введения в силу данных методических рекомендаций, в организациях финансового рынка отсутствовал формализованный подход к тестированию на проникновение и анализу уязвимостей, но при этом были требования к обязательной периодичности проведения подобных работ. Без четких рекомендаций организации могли действовать на основании собственных практик и методологии, что влекло за собой неэффективность и, порой, неполное понимание возможных угроз. Теперь же, благодаря 2-МР, организации, проводящие соответствующие работы, получают структурированный и систематизированный подход к планированию и реализации этих процессов.

Автор — Влад Крылов, эксперт по информационной безопасности AKTIV.CONSULTING.

Компания «Актив»
Автор: Компания «Актив»
Компания «Актив» — крупнейший российский производитель и разработчик программно-аппаратных средств защиты информации. Компания предлагает продукты и решения под брендом Рутокен для аутентификации, электронной подписи и обеспечения безопасности киберфизических систем, решения для лицензирования, защиты и управления продажами программных продуктов под брендом Guardant, оказывает услуги по консалтингу и аудиту в области информационной безопасности в рамках направления AKTIV.CONSULTING. На сегодняшний день подавляющее большинство российских государственных организаций и частных компаний используют решения и продукты Компании.
Комментарии: