Издания и мероприятия для банковских специалистов:
 
Методический журнал
Bнутренний контроль в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2009 г.
 
 

Пен-тест: взгляд изнутри банка. Как самим прочувствовать слабые места

Размещено на сайте 09.03.2023
Как грамотно подойти к тестированию на проникновение и провести его с максимальным результатом без существенных негативных эффектов? Какие цели поставить перед исполнителем, что включить в зону тестирования и что входит в официальную и неофициальную «уборку» после пен-теста? Отвечаем на эти и другие вопросы, основываясь на опыте рядового классического регионального банка.
 
Евгений КАРПОВ, АО КБ «Хлынов», начальник отдела информационной безопасности
 
 
Приводятся извлечения из статьи. Полную версию материала читайте в журнале. Подписаться
 
 
Наиболее грамотный подход строится от типичного поведения внешнего нарушителя. Потенциальные цели нарушителя по убыванию приоритета: (1) несанкционированный перевод денежных средств клиентов или самого банка; (2) хищение значительных объемов клиентских данных; (3) шантаж прерыванием внутренних процессов.
Самое ценное, что пен-тест может дать организации и ее службе ИБ, — это опыт взаимодействия в условиях, максимально приближенных к «боевым», опыт работы в «боевых» условиях, опыт принятия решений и поиска компромиссов «за секунды».
Объекты внутри вашей инфраструктуры дадут вам понимание способности обнаружить вторжение за внешним периметром и общего реального качества работы служб ИТ и ИБ: своевременные обновления, защищенные стандарты работы, обнаружение аномалий и т.д.
Крайне желательно оповестить подрядчиков, чья инфраструктура может быть задета в ходе тестирования, о проведении теста на проникновение с запросом об отсутствии возражений с их стороны.
На этапе подготовки к пен-тесту неплохо «навести порядок» в информационной инфраструктуре, проверить/сменить пароли и доступы к информационным системам, убрать лишнее, про­верить ведение протоколов.
 
 
 
 
Другие проекты ИД «Регламент»