Баннер
  • Безопасность

  • Тесты и Аудит

  • ПО

  • PCI DSS

  • ISO27001

  • Планирование безопасности

    Наш подход к планированию и разработке стратегии безопасности ERP основан на оценке рисков, которым подвергается бизнес и принимает во внимание: Корпоративные требования...
    Читать дальше...
  • Корпоративная Безопасность

  • CODEFEND

    Технология CODEFEND позволяет проводить автоматизированную проверку исходного кода приложений с привязкой к используемой технологии и с возможностью написания кастомизируемых...
    Читать дальше...
  • Тест на проникновение

  • Анализ кода

  • Ping Identity

    Решение для идентификации и SSO c низкой стоимостью владения. Это инновационное решение может поставляться как облачный сервис (on-Demand) и как решение для интеграции в...
    Читать дальше...
  • Сервис Panaya для SAP ERP

  • Retalix

  • Требования PCI DSS

  • ISO 27001

    Информация зачастую является ключевым активом компании, а ее защита - приоритетной задачей. Получение сертификации по стандарту ISO 27001 позволит сохранить и защитить...
    Читать дальше...
Developed by JoomVision.com

Тест на проникновение в рамках требований стандарта PCI DSS

PDFПечатьE-mail

  • Задачи теста на проникновение
  • Внешний тест на проникновение из сети Интернет
  • Внутренний активный аудит защищенности из корпоративной сети
  • Что вы получаете в результате тестирования на проникновение

Задачи теста на проникновение

Согласно пункту 11.3 требований стандарта PCI DSS, в компании минимум раз в год, а также в случае существенных изменений структуры сети (например, внедрении новых серверов), должен проводиться тест на проникновение. Под тестом на проникновение понимается проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т.н. "внешний тест на проникновение") и внутренние ресурсы, входящие в область аудита PCI DSS (т.е. внутренний активный аудит защищенности). Тест на проникновение позволяет оценить реальный уровень защищенности информационных ресурсов компании как с точки зрения внешнего злоумышленника, так и с позиции злонамеренного сотрудника компании (инсайдера).
В документе "Information Supplement: Requirement 11.3 Penetration Testing", выпущенном PCI SSC для разъяснения требований пункта 11.3 стандарта PCI DSS, отдельно подчеркивается различие между тестом на проникновение и сканированием сети с использованием сканеров уязвимостей. Сканирование не является достаточной мерой и его проведение не может являться выполнением требований пункта 11.3 стандарта.


Внешний тест на проникновение из сети Интернет

В рамках внешнего теста на проникновение аудиторы проводят полный анализ всех деталей исследуемого объекта, выбирают подходящие сценарии атак с учетом человеческого фактора, возможно, разрабатывают уникальное для каждого конкретного случая программное обеспечение для попытки проникновения в информационную систему. Инструментальные средства (сканеры) используются лишь на этапе подготовки к проведению теста на проникновение, так как инструментальные средства помогают только в тривиальных случаях, когда уязвимости очевидны. Помимо технологических проверок в процессе внешнего теста на проникновение проводится тестирование возможности проникновения в информационную систему с использованием методик социальной инженерии путем почтовой рассылки на адреса электронной почты пользователей специализированно сформированного сообщения. Рассылка осуществляется по заранее согласованному с Заказчиком фиксированному списку адресов электронной почты сотрудников и в заранее оговоренное время. Функциональные возможности программы строго ограничены алгоритмом, безопасным для информационной системы Заказчика.


Внутренний активный аудит защищенности из корпоративной сети

Согласно используемой методике технологического аудита, в процессе выполнения внутреннего теста на проникновение (активного аудита защищенности) аудиторами выполняется поиск и реализация обнаруженных уязвимостей на каждом сервере, рабочей станции и сетевом оборудовании, входящим в область теста, что позволяет получить реальную картину защищенности информационной системы. Все проводимые технические проверки заранее оговариваются со службами информационной безопасности и информационных технологий. Все проверки изначально разработаны с учетом необходимости обеспечения безопасности и постоянной работоспособности информационной системы Заказчика в процессе проведения работ по аудиту.
При проверках особо критичных ресурсов заранее оговаривается график проведения проверок (вплоть до выполнения определенных проверок в нерабочее время) и постоянный мониторинг критичных ресурсов службой ИТ в процессе проведения проверок для исключения возможности отказа в обслуживании.
Согласно рекомендациям PCI SSC, тестирование может проводиться как с использованием методики "черного ящика" (когда аудитор не обладает никакой информацией о тестируемой сети), так и с использованием методики "белого ящика" (когда аудитору предоставляется схема сети и ряд документов, таких как отчет о предыдущих тестах на проникновение, но не предоставляется никаких логических прав в системе).


Что вы получаете в результате тестирования на проникновение

Отчет, предоставляемый Заказчику по результатам проведения тестирования на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы и способы их реализации. Помимо выполнения требований пункта 11.3 стандарта PCI DSS Заказчик получает комплексную оценку уровня информационной безопасности и разработанные на основе полученных результатов рекомендации по повышению текущего уровня защищенности информационной системы.

Joomla! Template design and develop by JoomVision

Случайная новость

В 63% организаций отсутствует архитектура системы безопасности
http://cnews.ru/

По данным отчета «Глобальное исследование информационной безопасности, 2012 год», опубликованного компанией «Эрнст энд Янг», для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности. Всего в исследовании приняли участие более чем 1850 руководителей информационно-технологических подразделений и подразделений по обеспечению информационной безопасности, а также других руководящих работников … полный текст

Источник: CNews