Журнал "Системы Безопасности" № 5‘2018

w w w . a l l - o v e r - i p . r u n S E C U R I T Y A N D I T M A N A G E M E N T 59 Н екоторое время назад я стал свидете- лем дискуссии, в которой специалисты по информационной безопасности (ИБ) вместе с Ит-администраторами долго и, как в итоге оказалось, не зря пытались согласо- вать и донести до руководителей своей организации полезность практики проведе- ния внутренних (в режиме Red Team) и внешних тестов на проникновение. Присут- ствующее на совещании первое лицо прак- тически не участвовало в беседе сторон, занималось, как водится, освоением нового телефона и не уделяло особого внимания поднятой технической проблематике, но в один прекрасный момент задало ключевой для дальнейшего хода обсуждения вопрос: "а зачем оно мне надо?" вопрос простой и сложный одновременно. технари наперебой стали рассказывать о мето- диках, глубине, эффективности и разновидно- стях тестов на проникновение, об их сложно- сти и нелинейности в реализации, о примерах выявленных у других уязвимостей и типовых ошибках администраторов применительно к технологиям и протоколам, затронули синер- гию... руководитель, немного послушав, повторил свой вопрос: "Зачем нам нужно про- водить пе-не-тре-шен (?!) тест? объясните мне! вы что, плохо защищаете систему или регулярно допускаете ошибки?" Налицо явная манипуляция. После этой фразы коллеги с тру- дом, но вырулили траекторию дискуссии. как? Боюсь, что цитирование примененных ими аргументов в моей интерпретации не вызовет таких же живых эмоций у читателя. Да это и неважно. важно, на мой взгляд, другое. руко- водитель, испытывая объективные сложности с восприятием узкой технической терминоло- гии, вынужден был прибегнуть к прямой манипуляции, чтобы заставить своих подчи- ненных использовать более простые и понят- ные аргументы. Этой действие сразу же выровняло информационное поле сторон, синхронизировало ассоциативные ряды и подвигло одного из технарей выступить для руководителя переводчиком с современного слэнгового ИБэшно-айтишного языка на кухонный русский. Для кого статья и как читать оставим за рамками статьи определение тер- мина тестирования на проникновение, имею- щуюся скудную переведенную на русский язык документацию и нормативную базу со стан- дартами проведения, классификацию этих самых тестов, методическую и инструменталь- ную основы такой работы, а также примеры выявленных в ходе тестирования уязвимостей, которые так любят описывать представители компаний – игроков рынка "белых шляп". Без сомнения, это может быть интересно тем, кто ничего не слышал про тестирование на про- никновение до прочтения этой статьи. Надеюсь, что таких читателей немного. реко- мендую ознакомиться с публикациями в жур- нале "Информационная безопасность" изда- тельского дома "Гротек" за прошлые годы. И продолжим для тех читателей, кто в теме Penetration Tests и кто так же, как и герои опи- санного мною чуть выше кейса, столкнулся с задачей формального обоснования (полити- ческого, экономического, технического, юри- дического – природа не так важна) необходи- мости проведения тестирования инфраструк- туры и процессов в организации на проникно- вение. Предлагаю сразу воспринимать все написанное далее как справочную информа- цию, запастись карандашом и временем для осознания и с первого пункта отмечать для себя те вопросы, ответы на которые характер- ны для текущей ситуации конкретно в вашей финансовой организации. Далее я представлю вашему вниманию несколько аргументов и формулировок за про- ведение тестов на проникновение, которые могут стать основой для выработки твердой позиции специалистами по информационной безопасности в финансовой организации. Приложенные к точным формулировкам раз- вернутые описания отдельных кейсов из моей практики и практики коллег по отрасли позво- лят читателю сравнить описанный опыт с собственным. Причина№1 Вопрос. Ваша финансовая организация подключена к платежной системе SWIFT? ☐ Да ☐ Нет тестирование внешнего контура инфраструкту- ры финансовой организации на проникнове- ние является обязательным требованием по соответствию на любом уровне участника, при- соединенного к инфраструктуре платежной системы SWIFT согласно методологии SWIFT KYC. в 2017 г. международная платежная система SWIFT, столкнувшись с кейсами по взлому при- соединенных участников, разработала и после- довательно внедрила в формате набора обяза- тельных требований методологию по обеспече- нию необходимого и достаточного уровня защиты информации в разрезе четырех катего- рий участников. Первым этапом работ по при- ведению инфраструктуры финансовой органи- заций в соответствие требованиям по безопас- ности SWIFT стала самооценка, реализованная путем опроса ответственных лиц организации на сайте www.swift.com. в процессе самооценки одним из маркеров, выбранных SWIFT для измерения уровня защищенности, стало под- www.secuteck.ru октябрь – ноябрь 2018 отраслевой фокус БаНкИ Алексей Плешков Независимый эксперт по информационной безопасности, редактор рубрики "Управление идентификацией" 10 аргументов ЗА проведение в финансовой организации тестирования на проникновение. Опыт бывалых Зачем финансовой организации готовить и проводить тестирование на проникнове- ние? Ответ на это вопрос будет более понятен после прочтения настоящего обзора www.securityonline.info