Журнал "Системы Безопасности" № 5‘2018

S E C U R I T Y A N D I T M A N A G E M E N T n w w w . a l l - o v e r - i p . r u 60 тверждение проведения в последнее (срок ука- зан не был) время в финансовой организации внешнего независимого теста на проникнове- ние. Данный аргумент очень слабый для финансо- вых организаций, не подключенных к SWIFT, однако если вы надумаете это когда-либо сде- лать, наличие заключения по результатам теста на проникновение станет обязательным усло- вием. Причина№2 Вопрос. Ваша финансовая организация выполняет требования по ИБ Центрального Банка РФ? ☐ Да ☐ Нет регулярное проведение тестирования на про- никновение в защищаемый периметр финансо- вой организации становится обязательным для финансовых институтов (и операторов платеж- ных систем в частности) в соответствии с требо- ваниями обновленного 382-П. указанием Банка россии от 7 мая 2018 г. № 4793-у "о внесении изменений в Поло- жение Банка россии от 9 июня 2012 года № 382-П "о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком россии контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" внесены изме- нения в п. 2.5 Положения 382-П. П. 2.5.5.1. финансовым организациям отныне вменено на стадиях создания и эксплуатации объ- ектов информационной инфраструктуры обеспечить ежегодное тестирование на про- никновение и анализ уязвимостей информа- ционной безопасности объектов информа- ционной инфраструктуры. Причина№3 Вопрос. Обрабатывает ли ваша организация внутри своей инфраструктуры данные держателей пластиковых банковских карт в открытом виде? ☐ Да ☐ Нет обработка данных пластиковых банковских карт внутри финансовой организации при выполнении ряда других обязательных сопутствующих условий налагает на финан- совую организацию требования междуна- родных платежных систем о соответствии стандарту безопасности данных индустрии платежных карт (PCI DSS) и регулярного, на ежегодной основе подтверждения этого соответствия. в пп. 11.3.1. и 11.3.2. "PCI DSS. требования и процедуры оценки безопасности", версия 3.2 от апреля 2016 г., однозначно прописа- ны требования международных платежных систем по проведению в подконтрольных организациях внешних и внутренних тестов на проникновение с обязательным контро- лем качества, методики, полноты, сроков и прочих реквизитов согласно международ- ной методологии. Причина№4 Вопрос. Вы работаете в ИБ данной финансовой организации менее трех месяцев? ☐ Да ☐ Нет Изучение и анализ результатов и синергетиче- ского эффекта от проведения тестирования на проникновение часто является единственным реальным (не бумажным) способом убедиться в том, что перешедшая вам по наследству инфраструктура способна еще некоторое время по инерции работать в защищенном/штатном режиме без проблем с информационной безопасностью до того момента, как вы примете решение о продол- жении эксплуатации, трансформации или замене не удовлетворяющих вас как нового руководителя информационной безопасности устаревших компонентов. результаты тестиро- вания на проникновение также могут быть использованы в качестве индикаторов направ- лений для развития подсистемы информа- ционной безопасности в организации на гори- зонте планирования в год. Или же тест на про- никновение может быть проведен в сугубо меркантильных целях, а результаты станут илл- люстрациями или аргументами руководству для выделения дополнительного бюджета на устранение выявленных/оставленных преды- дущей командой уязвимостей/недочетов в инфраструктуре. Причина№5 Вопрос. У вашей организации есть постоянно действующее представительство (сайт) в Интернете? ☐ Да ☐ Нет функционирование собственного сайта бан- ковской организации в Интернете – как крас- ная тряпка для злоумышленников, постоянно ищущих способ обогатиться за счет техниче- ских или организационных уязвимостей про- цесса сопровождения интернет-представитель- ства. в качестве целей для атак злоумышленни- ков выступают не только сотрудники банков, но и клиенты, желающие получить информацию на сайте, поработать в личном кабинете или совершить операцию в удобном пользователь- ском интерфейсе подсистемы класса "Интер- нет-банк". как правило, релизный цикл до выпуска обновленной версии для таких сайтов может составлять от нескольких недель до нескольких месяцев. Минимальные сроки, обозначенные бизнесом для выпуска нового функционала сайта, неминуемо приводят к снижению качества программного кода и повышению рисков ошибок/уязвимостей кода, на котором пишется интернет-представи- тельство. в таких случаях привлечение внешней организации или выполнение тестирования на проникновение интерфейсов сайта является обязательной превентивной процедурой, не позволяющей банку нести на регулярной осно- ве финансовые, репутационные или компла- енс-риски. Подобные подход в финансовой организации может быть применен не только для сайта, но и для любого другого клиенто- ориентированного сервиса с доступом в/из Интернета (дистанционное банковское обслу- живание, портал для 3D-Secure, информацион- ные витрины данных и пр.). Причина№6 Вопрос. Планирует ли ваша организация в ближайшее время слияние/поглощение другой финансовой организации? ☐ Да ☐ Нет Проведение теста на проникновение в инфра- структуру нового для вашей финансовой орга- низации предприятия может стать частью обя- зательного в таких случаях Ит-аудита, позво- ляющего до начала работ по интеграции обо- значить те участки и системы, которые по раз- личным причинам не смогут корректно и без- опасно интегрироваться в инфраструктуру без того, чтобы не снизить общий уровне защиты (стать слабым звеном). Забыв об этом, некото- рые отечественные банки после слияния полу- чили вместе с куском бизнеса огромную дыру в безопасности. октябрь – ноябрь 2018 www.secuteck.ru отраслевой фокус БаНкИ www.securityonline.info