Информационная безопасность банков
+7 (495) 545 54 08

Пентест (Тестирование на проникновение)

Кому необходим пентест?

Любой организации необходимо быть уверенной в том, что её информационная безопасность в данный момент находится на необходимом уровне, а пентест — это один из наиболее эффективных видов аудита информационной безопасности.

Процедура проведения теста на проникновение, а также проведение сбора данных на предмет защищённости информационной безопасности объектов информационной инфраструктуры содержится в требованиях, предъявляемых ЦБ РФ к финансовым организациям, данная процедура содержится во многих актуальных документах, регламентирующих требования к информационной безопасности.

В Российской Федерации проведение пентеста требуется согласно положениям Банка России 382-П, 683-П и 684-П.

Нормы ГОСТ Р 57580.1-2017, включающие требования к проведению пентестов на проникновение, помимо кредитных должны соблюдать следующие некредитные финансовые организации:

  • специализированные депозитарии инвестиционных фондов, ПИФ и негосударственных ПФ;
  • клиринговые организации;
  • организаторы торговли;
  • страховые организации;
  • негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
  • негосударственные ПФ;
  • репозитарии;
  • брокеры;
  • дилеры;
  • депозитарии;
  • регистраторы;
  • управляющие.

Пентест проводится для того, чтобы выявить существующие в данный момент уязвимые места в элементах ИТ инфраструктуры организации.

Анализируя защищенность мы прежде всего даем ответы на важные вопросы:

  1. Какой в данный момент уровень защищенности?
  2. Что надо предпринять для повышения уровня безопасности?

Какие существуют виды пентестов?

Существует несколько видов тестов на проникновения. Данные тесты проводятся для сети организации извне (внешний пентест), а также для внутренних ресурсов (внутренний пентест).

Тестирование на проникновение подразделяется на категории:

  • Внешний пентест;

Может проводиться без учетных или с учетными данными клиента

  • Внутренний пентест;

Может проводиться без учетных или с учетными данными пользователя.

Определяющие тезисы этого подхода:

  • Необходимо произвести исследование и внешнего контура, и внутренней инфраструктуры;
  • Тестированию подлежат основные объекты и их периферия;
  • Необходимо затрагивать типовые сценарии сетевого взаимодействия;
  • Данное исследование защищенности предполагает попытки эксплуатации обнаруженных уязвимостей.

Внешний пентест

Внешний пентест моделирует действия нарушителя, совершающего незаконное проникновение в сеть из внешней среды. Этот вариант тестирования делится на следующие этапы:

  • Сбор необходимой информации.
  • Поиск всевозможных уязвимостей.
  • Эксплуатация уязвимостей.

Внутренний пентест

Внутренний пентест производится для выявления в инфраструктуре заказчика наличие угроз изнутри на стороне заказчика.

Случаи внутренних нарушений, как правило, являются основной массой в числе инцидентов информационной безопасности, поэтому внутренний пентест вызывает особый интерес. Данное испытание подразделяют на:

  • Определение доступной информации.
  • Повышение прав доступа.
  • Сбор информации с повышенными правами.

Результаты проведённого исследования и тестов на проникновение

Какие сведения пентеста получим в результате?

В результате действий обнаруживаются уязвимости ИБ, они могут заключаться в следующем:

  • Ненадлежащее разграничение прав доступа.
  • Неверная сегментация сети.
  • Устаревшие версии программного обеспечения.
  • Слабые пароли.
  • И пр.

Наша организация имеет цель

В процессе выполнения проектов — не вмешиваться в бизнес-процессы организации заказчика и его информационной инфраструктуры, обеспечивать соответствие требованиям регуляторов.

Наши преимущества

  • Без сбоев в работе. Без сбоев функционирования информационной структуры.
  • 100% удовлетворяем потребности заказчиков.
  • Персональный подход при выполнении заказа.
  • Соответствие законодательству Российской Федерации.
  • Являемся партнерами ведущих производителей оборудования программного обеспечения в области ИБ.
  • Обладаем необходимыми лицензиями ФСТЭК и ФСБ на осуществление деятельности.

Компания Data Protection Systems оказывает услуги по пентесту и анализу уязвимостей объектов информационной инфраструктуры. Побеспокойтесь о защите конфиденциальных данных и, что не менее важно, средствах своих клиентов уже сейчас. Закажите тестирование на проникновение своей компании!

Рекомендательное письмо
ООО "Системы защиты данных"
ул. Годовикова, д. 9, стр. 3 129085 Москва
+7 495 545-54-08 info@dpsys.ru