Сегодня мы поговорим о проведении тестирования на проникновение в соответствии с требованиями СТО БР ИББС-1.0-2014 своими силами.
Распоряжением Банка России от 10.07.2014 N Р-556 http://www.consultant.ru/document/cons_doc_LAW_165504/ «О вводе в действие рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» с 1 сентября 2014 года были введены в действие Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» РС БР ИББС-2.6-2014» http://www.cbr.ru/credit/Gubzi_docs/rs-26-14.pdf (документ хотя и носит рекомендательный характер, но, по сути, служит руководством к действию).
В соответствии с требованиями п.7.3 «Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла» стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» организациям банковской системы Российской Федерации требуется принимать меры к обеспечению информационной безопасности автоматизированных банковских систем (АБС) на всех стадиях их жизненного цикла.
Выделяют следующие стадии жизненного цикла:
- разработка технического задания;
- проектирование;
- создание и тестирование;
- приемка и ввод в действие;
- эксплуатация;
- сопровождение и модернизация;
- снятие с эксплуатации.
Рассмотрим подробнее те стадии жизненного цикла, в рамках которых рекомендуется проводить тестирование на проникновение.
На стадии приемки и ввода в действие, в частности, в рамках проведения опытной эксплуатации рекомендуется проводить комплексную оценку защищенности, включающую проведение тестирования на проникновение и выявления известных уязвимостей компонентов АБС (п.9.5 РС БР ИББС-2.6-2014). На стадии эксплуатации также необходимо выполнять периодическую оценку защищенности АБС и осуществлять мониторинг сообщений об уязвимостях АБС и реагирование на них (п.10.1 РС БР ИББС-2.6-2014). И, наконец, на стадии модернизации АБС рекомендуется проводить комплексную оценку защищенности в необходимом объеме (п.11.3 РС БР ИББС-2.6-2014).
Бесспорным достоинством РС БР ИББС-2.6-2014 является описание типовых недостатков в реализации функций безопасности автоматизированных систем, а также рекомендаций к проведению оценки защищенности и проведению контроля параметров настроек технических защитных мер (выявление ошибок конфигурации). Но по понятным причинам документ не содержит пошагового руководства для выполнения указанных мероприятий. Чем в данном случае руководствоваться работникам, отвечающим за обеспечение информационной безопасности в своей организации? Где можно получить необходимые сведения/знания?
Для проведения тестирования на проникновение существуют методики и рекомендации, в которых подробно расписано для чего нужно проводить пентест, как и с помощью чего. Из актуальных можно выделить следующие:
- Open Source Security Testing Methodology Manual (OSSTMM) http://www.isecom.org/research/osstmm.html
- NIST Special Publication 800-115: Technical Guide to Information Security Testing and Assessment (NIST SP 800-115). http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
- Penetration Testing Execution Standard (PTES) http://www.pentest-standard.org/
- OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project
Для отслеживания публикуемых сообщений об уязвимостях программного обеспечения в РС БР ИББС-2.6-2014 уже есть ссылки на полезные ресурсы. К ним можно добавить:
- список рассылки об уязвимостях в программном обеспечении (багтрак) SecurityFocus http://www.securityfocus.com/archive/1
- багтрак SecLists.Org http://seclists.org/bugtraq/
- база данных уязвимостей CVE http://www.cvedetails.com/
- Open Source Vulnerabilities Data Base (OSVDB) http://osvdb.org/
- банк данных угроз безопасности информации ФСТЭК России http://www.bdu.fstec.ru
- база данных уязвимостей Secunia http://secunia.com/community/advisories/historic/
- база данных уязвимостей Bugs Collector (в том числе неисправленных) https://bugscollector.com/
- база данных XSS-уязвимостей XSSposed.org (в том числе неисправленных) https://www.xssposed.org/
- бюллетени по безопасности Microsoft https://technet.microsoft.com/security/bulletin/
Выполнить установку (проверку) безопасных настроек для операционных систем и программного обеспечения помогут инструкции National Checklist Program https://web.nvd.nist.gov/view/ncp/repository и CIS Security Benchmarks http://benchmarks.cisecurity.org.
Результатом вышеперечисленных работ является повышение устойчивости бизнеса за счет снижения рисков информационной безопасности и соответствие не только требованиям признанного отраслевого стандарта, которым является СТО БР ИББС, но и законодательным требованиям, в том числе требованиям Федерального закона «О персональных данных».