Банковские системы имеют сложную и многофункциональную инфраструктуру, но это не всегда обеспечивает достаточную надёжность от взлома и кражи конфиденциальной информации. Чтобы узнать реальный уровень защищённости информационных активов, проводятся пентесты. Также для предотвращения инцидентов Банк России выпустил специальные требования, которые необходимо соблюдать для обеспечения достаточной безопасности информационных систем.
Обязательность ежегодного проведения пентестов финансовыми организациями регламентирована Положениями Банка России 719-П и 683-П
Выдержка из Положения 683-П
Также согласно Положению 719-П тесты на проникновение должны проводиться сторонними организациями, имеющими соответствующую лицензию.
Выдержка из Положения 719-П
Перспективный мониторинг обладает необходимыми компетенциями и лицензиями и готов оказать ряд услуг по анализу уязвимостей и тестированию на проникновение.
При проведении тестирования на проникновение наши исследователи моделируют различные атаки с позиции внутреннего нарушителя и внешнего злоумышленника, не обладающего легитимным доступом к ресурсу. На основании данных моделей и нормативных документов Банка России выделены следующие объекты тестирования.
С позиции внешнего злоумышленника:
- клиентская часть каналов дистанционного банковского обслуживания;
- мобильные приложения;
- сервисы внешнего периметра.
С позиции внутреннего нарушителя:
- банковские информационные системы;
- автоматизированная банковская система (АБС);
- системы дистанционного банковского обслуживания (ДБО) для юридических и физических лиц;
- автоматизированное рабочее место клиента Банка России (АРМ КБР);
- серверы базы данных и приложений АБС, ДБО ФЛ, ДБО ЮЛ;
- системы приёма платежей;
- сетевое оборудование;
- точки доступа к беспроводной сети.
А также типовые рабочие места сотрудников:
- кассира;
- работника банк;
- администратора информационной безопасности;
- администратора АБС;
- администратора системы приёма платежей;
- администратора ДБО для ЮЛ;
- администратора ДБО для ФЛ.
По результатам исследований представляется отчёт в печатном и электронном виде, содержащий:
- обзор используемой методики исследования;
- описание найденных недостатков;
- свидетельства, подтверждающие как наличие недостатков, так и результаты их исследования;
По каждой уязвимости будет предоставлена следующая информация:
- детали уязвимости;
- анализ её критичности и уровня риска;
- описание возможных атак, эксплуатирующих данную уязвимость;
- конкретные рекомендации по её устранению.
По ходу проведения исследований заказчику незамедлительно предоставляется информация о выявленных уязвимостях критического и высокого уровнях риска.
Рекомендуется проводить периодическую оценку поверхности атак. В этом может помочь наша методика, описанная в статье: анализ поверхности атаки.
Благодаря пентестам от АО «ПМ» вы сможете проверить инфраструктуру вашей организации на уязвимости, выяснить уровень информационной защищённости.
Реализованные проекты
Пентест веб-ресурсов Автоторгбанка
Цель данного исследования — симулировать атаки потенциального нарушителя на веб-ресурсы банка, оценить уровень их защищённости, обнаружить уязвимости, разработать рекомендации по их устранению.
Пентест для СК «Сбербанк Страхование»
Общество с ограниченной ответственностью Страховая компания «Сбербанк страхование» основано в 2014 году. Единственным участником Общества и владельцем 100% долей в его уставном капитале является ПАО Сбербанк.
Пентест с элементами социальной инженерии
Заказчик — компания «ПРАЙМ ГРУП». Наши исследователи провели комплексный пентест информационной системы.
Анализ защищённости периметра «Московской биржи»
Московская биржа — крупнейший российский биржевой холдинг. Московская биржа является организатором торгов акциями, облигациями, производными инструментами, валютой, инструментами денежного рынка, драгоценными металлами и зерном.
Аудит информационной безопасности
Заказчик — Центр мониторинга качества образования Магаданской области. Заказчик получил отчёт с перечнем выявленных уязвимостей и слабостей и прошёл аттестацию на соответствие требованиям законодательства в области защиты персональных данных и ГИС.