Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Тест на проникновение в рамках требований стандарта PCI DSS

PDFПечатьE-mail

  • Задачи теста на проникновение
  • Внешний тест на проникновение из сети Интернет
  • Внутренний активный аудит защищенности из корпоративной сети
  • Что вы получаете в результате тестирования на проникновение

Задачи теста на проникновение

Согласно пункту 11.3 требований стандарта PCI DSS, в компании минимум раз в год, а также в случае существенных изменений структуры сети (например, внедрении новых серверов), должен проводиться тест на проникновение. Под тестом на проникновение понимается проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т.н. "внешний тест на проникновение") и внутренние ресурсы, входящие в область аудита PCI DSS (т.е. внутренний активный аудит защищенности). Тест на проникновение позволяет оценить реальный уровень защищенности информационных ресурсов компании как с точки зрения внешнего злоумышленника, так и с позиции злонамеренного сотрудника компании (инсайдера).
В документе "Information Supplement: Requirement 11.3 Penetration Testing", выпущенном PCI SSC для разъяснения требований пункта 11.3 стандарта PCI DSS, отдельно подчеркивается различие между тестом на проникновение и сканированием сети с использованием сканеров уязвимостей. Сканирование не является достаточной мерой и его проведение не может являться выполнением требований пункта 11.3 стандарта.


Внешний тест на проникновение из сети Интернет

В рамках внешнего теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак с учетом человеческого фактора, возможно, разрабатывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему. Инструментальные средства (сканеры) используются лишь на этапе подготовки к проведению теста на проникновение, так как инструментальные средства помогают только в тривиальных случаях, когда уязвимости очевидны. Помимо технологических проверок в процессе внешнего теста на проникновение проводится тестирование возможности проникновения в информационную систему с использованием методик социальной инженерии путем почтовой рассылки на адреса электронной почты пользователей специализированно сформированного сообщения. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку адресов электронной почты сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для информационной системы Заказчика.


Внутренний активный аудит защищенности из корпоративной сети

Согласно используемой методике технологического аудита, в процессе выполнения внутреннего теста на проникновение (активного аудита защищенности) аудиторами выполняется поиск и реализация обнаруженных уязвимостей на каждом сервере, рабочей станции и сетевом оборудовании, входящим в область теста, что позволяет получить реальную картину защищенности информационной системы. Все проводимые технические проверки заранее оговариваются со службами информационной безопасности и информационных технологий. Все проверки изначально разработаны с учетом необходимости обеспечения безопасности и постоянной работоспособности информационной системы Заказчика в процессе проведения работ по аудиту.
При проверках особо критичных ресурсов заранее оговаривается график проведения проверок (вплоть до выполнения определенных проверок в нерабочее время) и постоянный мониторинг критичных ресурсов службой ИТ в процессе проведения проверок для исключения возможности отказа в обслуживании.
Согласно рекомендациям PCI SSC, тестирование может проводиться как с использованием методики "черного ящика" (когда аудитор не обладает никакой информацией о тестируемой сети), так и с использованием методики "белого ящика" (когда аудитору предоставляется схема сети и ряд документов, таких как отчет о предыдущих тестах на проникновение, но не предоставляется никаких логических прав в системе).


Что вы получаете в результате тестирования на проникновение

Отчет, предоставляемый Заказчику по результатам проведения тестирования на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Помимо выполнения требований пункта 11.3 стандарта PCI DSS Заказчик получает комплексную оценку уровня информационной безопасности и разработанные на основе полученных результатов рекомендации по повышению текущего уровня защищенности информационной системы.

Joomla! Template design and develop by JoomVision

Случайная новость

ISO опубликовала новый стандарт по управлению информационными рисками

Международная организация по стандартизации (ISO) подготовила новый документ, в котором описываются механизмы внедрения и применения рискоцентрического подхода к обеспечению информационной безопасности на предприятии. Специалисты убеждены, что этот стандарт будет полезен всем организациям, которые заинтересованы в грамотном управлении IT-рисками.