Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей

Для кого этот документ?

Для кредитных организаций, некредитных финансовых организаций, субъектов национальной платежной системы, бюро кредитных историй, то есть для всех организаций, поднадзорных ЦБ по вопросам информационной безопасности, для которых в Положениях установлены требования по регулярному прохождению тестирования на проникновение.

Для чего данный документ был разработан?

Для создания единого подхода к проведению тестирования на проникновение и анализа уязвимостей информационной безопасности в соответствии с требованиями Положений 683-П, 757-П, 821-П и 808-П.

Что рекомендуется включить в область тестирования?

В область тестирования рекомендуется включать объекты информационной инфраструктуры, предоставляемые клиентам для осуществления банковских и финансовых операций, а также программное обеспечение, обрабатывающее защищаемую информацию на технологических участках, используемое для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети Интернет.

Примеры:

1. ДБО физических и юридических лиц.
2. Личные кабинеты клиентов некредитных финансовых организаций.
3. Клиентские мобильные приложения.
4. Автоматизированные системы, участвующие во взаимодействии с ДБО физических и юридических лиц, в том числе интеграционные системы и API.
5. Серверы приложений.
6. Серверы систем управления базами данных.

Такое определение области тестирования расходится с требованиями самих Положений ЦБ, в соответствии с которыми в область тестирования включаются все объекты информационной инфраструктуры, эксплуатация и использование которых обеспечиваются для осуществления финансовых операций.

Мы убеждены, что полное тестирование на проникновение должно включать в себя всю область применимости, не ограничиваясь автоматизированными системами и инфраструктурой, используемой для приема электронных сообщений к исполнению, но и все внутренние компоненты, такие как АБС и его сервер и база данных, офисная сеть и контроллер домена.

Подготовка к проведению тестирования

Перед проведением тестирования рекомендуется разработать или актуализировать следующие документы:

1. ТЗ на проведение пентеста.
2. Соглашение об ответственности сторон.
3. Модель угроз ИБ.
4. Планы восстановления операционной надежности в случае возникновения нештатных ситуаций в ходе проведения тестирования на проникновение.

Методические рекомендации содержат указания по составу документального обеспечения процесса тестирования на проникновения, в том числе перечень соглашений между проверяемой организацией и исполнителем, а также содержание ТЗ.

Какими документами руководствоваться при проведении тестирования?

Организациям финансового рынка при проведении пентеста рекомендуется руководствоваться положениями национального стандарта Российской Федерации ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» (далее – ГОСТ Р 58143-2018).

Кредитным организациям и некредитным финансовым организациям при проведении пентеста рекомендуется руководствоваться подпунктом 7.2.6 пункта 7.2 «Оценка уязвимостей (AVA)» методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций», опубликованного на официальном сайте Банка России в сети «Интернет».

Рекомендации по оформлению отчета

Отчет оформляется в электронном виде в нередактируемом формате с усиленной квалифицированной ЭП руководителя организации, выполнившей тестирование. На бумажном носителе отчет должен иметь сквозную нумерацию, быть прошит и скреплен печатью с заверительной надписью руководителя организации, осуществляющей тестирование.

Рекомендуемый срок хранения отчета — не менее 5 лет.

Общие рекомендации по проведению тестирования на проникновение объектов информационной инфраструктуры

1. Рекомендуется проводить как внешнее, так и внутреннее тестирование на проникновение.
2. Рекомендуется проводить тестирование методами «черного», «серого» и «белого» ящиков.
3. При проведении тестирования рекомендуется использовать базы данных угроз безопасности и иные источники для идентификации уязвимостей и формализованного представления результатов.
4. Рекомендуется проводить повторное тестирование на проникновение после устранения выявленных уязвимостей. При этом повторное тестирование может проводиться только для тех объектов, в которых были выявлены уязвимости.

Общие рекомендации по проведению анализа уязвимостей информационной безопасности объектов информационной инфраструктуры

1. Рекомендуется проводить выявление уязвимостей информационной безопасности объектов информационной инфраструктуры, связанных с ошибками кода в программном обеспечении, а также программном обеспечении средств защиты информации и технических средств.
2. Выявление уязвимостей информационной безопасности на объектах информационной инфраструктуры и в коде программного обеспечения рекомендуется проводить с использованием средств анализа защищенности и средств анализа исходного кода, прошедших процедуру сертификации не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России от 2 июня 2020 года № 76.
3. Рекомендуется оценивать уровень критичности уязвимостей, руководствуясь методическим документом «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств». Также можно использовать БДУ ФСТЭК России и иные базы данных, такие как CAPEC, MITRE ATT&CK, OWASP, STIX, WASC, CWE, CVE.

Можно ли проводить тестирование самостоятельно?

Да, можно, но только в случаях изменения архитектуры или конфигурации объектов информационной инфраструктуры, которые не затрагивают функционирование объектов КИИ или функциональность, связанную с обеспечением информационной безопасности, а также для контроля устранения недостатков, выявленных при тестировании с привлечением сторонней организации.

Рекомендации по самостоятельному проведению тестирования на проникновение и анализа уязвимостей информационной безопасности

1. Для проведения тестирования необходимо создать отдельное подразделение или выделить сотрудников, которые будут проводить тестирование на проникновение и анализ уязвимостей.
2. Рекомендуется назначить на эту роль не менее двух специалистов с опытом работы не менее 3 лет, а также обеспечивать их регулярное повышение квалификации.
3. Сотрудники, связанные с разработкой, администрированием и обеспечением безопасности тестируемых систем, не должны участвовать в тестировании во избежание конфликта интересов.

Рекомендации по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры с привлечением сторонней организации

1. Рекомендуется привлекать сторонние организации для тестирования на проникновение и анализа уязвимостей информационной безопасности на договорной основе при условии наличия у них лицензии на техническую защиту конфиденциальной информации и опыта работы более 3 лет, подтвержденного завершенными договорами в финансовом секторе.
2. Рекомендуется обеспечивать, чтобы все специалисты и автоматизированные средства, используемые для тестирования, находились на территории Российской Федерации.
3. К выполнению тестирования не рекомендуется допускать специалистов, которые принимали участие в формировании требований, проектировании, внедрении или оценке системы защиты тестируемых объектов во избежание конфликта интересов.

Информирование Банка России о результатах проведения тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры

Организациям финансового рынка необходимо регистрировать инциденты ИБ при тестировании на проникновение, информировать ЦБ РФ о выявленных инцидентах с указанием причин и принятых мер, следовать стандарту СТО БР БФБО-1.5-2023 для взаимодействия с ЦБ РФ. При информировании Банка России необходимо указывать связь инцидентов с проведением тестирования.

Рекомендуемая форма отчета

В методических рекомендациях также приведена рекомендуемая форма отчета - перечень разделов и краткое описание их содержимого:

1. Общие положения - описание объекта оценки и проводимых работ, периода тестирования, используемых учетных записей и потенциала нарушителя, а также определение негативных последствий и недопустимых событий, которые могут быть реализованы в случае эксплуатации выявленных уязвимостей.
2. Методология - описание этапов тестирования тестирования и обобщенных результатов по тестированию на проникновение.
3. Уязвимости - перечень и описание уязвимостей, используемого инструментария, информация об уязвимом объекте информационной инфраструктуры.
4. Эксплуатация - описание вектора атаки, дата и время реализации вектора атаки, описание негативных последствий и недопустимых событий, которые могут произойти при успешной реализации вектора атаки.
5. Рекомендации - описание уязвимостей с указанием критичности, а также рекомендаций по их устранению.

Заключение

1. Давно ждали этот документ. В сегодняшней редакции он формализует требования к тому, что должен включать в себя пентест, но, к сожалению, из-за недостатка технических деталей, не исключает ситуации, когда под видом результата тестирования на проникновение подается результат запуска автоматического сканера.
2. Ожидаем, что данные рекомендации скоро начнут использоваться для формирования ТЗ на проведение тестирования на проникновение. При этом важно внимательно изучать содержание документа, чтобы избежать непреднамеренного согласия на такие меры, как "угрозы, шантаж работников, воздействие на личные социальные сети и мобильные устройства работников", упомянутые в пункте 1.8 методических рекомендаций.
3. В текущей версии методических рекомендаций область применимости описана неоднозначно, так как расходится с требованиями Положений ЦБ. Но на данный момент это не так страшно, учитывая то, что требования Положений обязательны и перекрывают рекомендации по области тестирования на проникновение.
4. Документ все еще не содержит достаточных технических деталей по проведению тестирования на проникновение и анализу уязвимостей. В нем лишь определены методы "черного", "серого" и "белого" ящиков, при этом требования к квалификации тестировщиков практически отсутствуют.
5. В документе при описании анализа уязвимостей основной упор делается на использование сертифицированного сканера и инструмента для анализа кода, а сама работа, которая представляет собой комплексный процесс, позволяющий ручными или автоматизированными способами выполнить проверку технологических процессов, операционных систем, служб, приложений и устройств организации на наличие уязвимостей, описана только ссылками на базы данных угроз.
6. Удобно, что теперь официально предусмотрена электронная форма отчёта о тестировании в нередактируемом формате с электронной подписью.
7. Также, полезно напоминание о необходимости составления и передачи заказчику Плана по откату изменений, произведённых тестировщиками в ходе работ. На практике многие заказчики забывают своевременно закрывать предоставленные в ходе тестирования доступы и возвращать всю конфигурацию в исходное состояние.

Будем надеяться, что как и в случае со многими другими документами Банка России, это не последняя его редакция, и в обозримом будущем мы увидим развитие регулирования в сфере пентестов в сторону гармонизации с существующими Положениями Банка России и реального повышения качества продаваемых на рынке услуг. Тестирование на проникновение - сложная техническая услуга - её регулирование требует внимания не только к организационной составляющей, но и к устройству современных технологий, на которых строится информационная инфраструктура.