22 января 2025 года Банк России утвердил методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка (2-МР). Они разработаны с целью унификации подхода организаций финансового рынка к обязательствам по проведению тестирования на проникновения и анализа уязвимостей ИБ объектов информационной инфраструктуры (ОИИ).
Напомним, что банки и некредитные финансовые организации должны проводить тестирование на проникновение как минимум один раз в год (требования Положения Банка России от 17.04.2019 № 683-П, от 04.06.2020 № 719-П, от 20.04.2021 № 757-П). Также, согласно ГОСТ Р 57580 «Безопасность финансовых (банковских) операций» необходимо проводить однократное тестирование на этапе «Ввод в эксплуатацию АС» и ежегодное тестирование на этапе «Эксплуатация (сопровождение) АС».
Отметим, что ранее подход к тестированию на проникновение и анализу уязвимостей ИБ ОИИ был детализирован лишь в документе Банка России «РС БР ИББС-2.6-2014», который содержит в себе рекомендации к проведению оценки защищенности автоматизированных банковских систем (АБС) и (или) ее компонентов. В нем зафиксированы содержание основных работ по тестированию на проникновение, вариации подходов к выявлению уязвимостей на различных уровнях, а также примерное содержание отчета о проведенных исследованиях.
2-МР же имеет более широкую применимость. Согласно документу, в границы проведения тестирования и анализа рекомендуется включать ОИИ, «распространяемые клиентам для совершения действий в целях осуществления банковских и (или) иных финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию на технологических участках, используемое для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».
Также в новых методических рекомендациях закрепляются следующие ключевые аспекты:
- цели и задачи проведения работ по тестированию на проникновение и анализу уязвимостей ИБ ОИИ;
- рекомендованные требования к ТЗ на проведение подобных работ;
- перечень ВНД и ОРД финансовой организации, которыми рекомендуется руководствоваться при проведении работ;
- требования к отчету по результатам тестирования на проникновение и анализа уязвимостей ИБ ОИИ (зафиксирован и рекомендуемый срок хранения подобного отчета – 5 лет);
- рекомендации по тестированию на проникновение (методы тестирования, используемые при этом базы данных угроз безопасности информации, учет потенциала нарушителя, использование автоматизированных средств моделирования атак);
- рекомендации по анализу уязвимостей (использование средств анализа защищенности не ниже 4 уровня доверия, оценка критичности уязвимостей согласно Методике ФСТЭК России
(от 28.10.2022 г.), применимость БДУ ФСТЭК России); - рекомендации по самостоятельному проведению тестирования, а также рекомендации по проведению тестирования с привлечением сторонней организации (зафиксированы случаи, в которых рекомендуется самостоятельно проводить работы, и требования к сторонней организации, такие как наличие лицензии на ТЗКИ и подтвержденный опыт проведения соответствующих работ);
- порядок информирования Банка России о результатах проведения тестирования на проникновение и анализа уязвимостей ИБ ОИИ.
До введения в силу данных методических рекомендаций, в организациях финансового рынка отсутствовал формализованный подход к тестированию на проникновение и анализу уязвимостей, но при этом были требования к обязательной периодичности проведения подобных работ. Без четких рекомендаций организации могли действовать на основании собственных практик и методологии, что влекло за собой неэффективность и, порой, неполное понимание возможных угроз. Теперь же, благодаря 2-МР, организации, проводящие соответствующие работы, получают структурированный и систематизированный подход к планированию и реализации этих процессов.
Автор — Влад Крылов, эксперт по информационной безопасности AKTIV.CONSULTING.
Оригинал публикации на сайте CISOCLUB: "Новые требования к пентестам в банках и НФО: разбор методики 2-МР".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.