3201
Проведение пентестинга в финансовой сфере. Заметки на полях Методических рекомендаций ЦБ
Давно ждали этот документ. В сегодняшней редакции он формализует требования к тому, что должен включать в себя пентест, но, к сожалению, из-за недостатка технических деталей, не исключает ситуации, когда под видом результата тестирования на проникновение подается результат запуска автоматического сканера.
Ожидаем, что данные рекомендации скоро начнут использоваться для формирования ТЗ на проведение тестирования на проникновение. При этом важно внимательно изучать содержание документа, чтобы избежать непреднамеренного согласия на такие меры, как «угрозы, шантаж работников, воздействие на личные социальные сети и мобильные устройства работников», упомянутые в пункте 1.8 методических рекомендаций.
В текущей версии методических рекомендаций область применимости описана неоднозначно, так как расходится с требованиями Положений ЦБ. Но на данный момент это не так страшно, учитывая то, что требования Положений обязательны и перекрывают рекомендации по области тестирования на проникновение.
Документ все еще не содержит достаточных технических деталей по проведению тестирования на проникновение и анализу уязвимостей. В нем лишь определены методы «черного», «серого» и «белого» ящиков, при этом требования к квалификации тестировщиков практически отсутствуют.
В документе при описании анализа уязвимостей основной упор делается на использование сертифицированного сканера и инструмента для анализа кода, а сама работа, которая представляет собой комплексный процесс, позволяющий ручными или автоматизированными способами выполнить проверку технологических процессов, операционных систем, служб, приложений и устройств организации на наличие уязвимостей, описана только ссылками на базы данных угроз.
Удобно, что теперь официально предусмотрена электронная форма отчета о тестировании в нередактируемом формате с электронной подписью. Также полезно напоминание о необходимости составления и передачи заказчику Плана по откату изменений, произведенных тестировщиками в ходе работ. На практике многие заказчики забывают своевременно закрывать предоставленные в ходе тестирования доступы и возвращать всю конфигурацию в исходное состояние.
Будем надеяться: как и в случае со многими другими документами Банка России, это не последняя его редакция, и в обозримом будущем мы увидим развитие регулирования в сфере пентестов в сторону гармонизации с существующими Положениями Банка России и реального повышения качества продаваемых на рынке услуг. Тестирование на проникновение – сложная техническая услуга – ее регулирование требует внимания не только к организационной составляющей, но и к устройству современных технологий, на которых строится информационная инфраструктура.
