7 сентября 2010 года
поиск
Информзащита - Нам доверяют защиту информации


Контакты

127018, Россия, Москва, а/я 55

+7 (495) 980-23-45 (многоканальный)

Тест на проникновение по стандарту PCI DSS

Основные проблемы

За последние несколько лет информационные технологии не только значительно расширили возможности бизнеса, но и сделали его более уязвимым. С одной стороны, налаживая электронный обмен данными и документами с клиентами или партнерами через Интернет, компании делают свой бизнес эффективным, но, с другой стороны, ставят его под угрозу. Неуязвимых систем не бывает. И нахождение злоумышленниками уязвимостей в корпоративной сети  может привести не только к прямому финансовому ущербу, но и к потере репутации, утрате конкурентных преимуществ и другим негативным последствиям. Так образом становится необходимым знать насколько защищена корпоративная инфраструктура от действий потенциального  злоумышленника. Эта необходимость отражена  в обязательном  требовании  11.3 стандарта PCI DSS:  «По крайней мере ежегодно, а также после любых значительных модернизаций или модификаций инфраструктуры или приложений (например, обновление версии ОС,  добавление подсети или веб-сервера) должны проводиться внешние и внутренние тесты на  проникновение...»

Решение

Для объективной оценки защищенности компании от внешних и внутренних (т.н. «инсайдеров») злоумышленников мы  предлагаем услугу по проведению комплексного теста на проникновение по стандарту PCI DSS.

Тест на проникновение представляет собой комплекс мероприятий по оценке защищённости КИС  компании путём имитации действий потенциального злоумышленника (как внешнего, так и внутреннего).  Тест  на проникновение отличается от сканирования уязвимостей как минимум тем, что предполагает эксплуатацию найденных брешей безопасности, а не только их поиск.

Комплексный тест на проникновение включает в себя:

  • Технический тест на проникновение – комплекс мероприятий по имитации действий квалифицированного внешнего злоумышленника и инсайдера, включающий в себя сбор информации о сетевой инфраструктуре КИС Заказчика, выделение целевых точек проникновения, поиск уязвимостей на них, разработку и реализацию векторов проникновения.
  • Социотехнический тест на проникновение предназначен для наглядной демонстрации текущего уровня  осведомлённости сотрудников Заказчика в вопросах информационной безопасности. На данном этапе производится сбор и упорядочение публично доступной информации о сотрудниках, подготовка и проведение атак на сотрудников с использованием методов «социальной инженерии» через  различные точки коммуникаций (соц. сети, эл. почта и т.д.) с целью получения удалённого контроля над их рабочими станциями. Как показывает практика проведения комплексных тестов на проникновение, зачастую успешные атаки  на пользователей позволяют обойти достаточно мощную защиту внешнего сетевого периметра КИС компании.
  • Оценка защищённости веб-приложений представляет собой комплекс мер от анализа конфигурации веб-окружения до ручных и автоматизированных проверок веб-приложения. Согласно отчету «2009 Data Breach Investigations Report»  компании Verizon до 79% критичной информации было получено в 2008 году через уязвимости в веб-приложениях.
  • Оценка защищённости беспроводных сетей представляет собой идентификацию точек беспроводного доступа и анализ возможности проникновения через них в КИС компании.

Особенности теста на проникновение по стандарту PCI DSS

  • Целью проведения теста на проникновения по стандарту PCI DSS является получение доступа к данным платежных карт и/или управление системами, где обрабатываются, передаются или хранятся данные платежных карт
  • Областью проведения работ является вся среда данных платежных карт, а именно та часть сети, в которой обрабатываются данные платежных карт или критичные данные авторизации
  • Тест на проникновение по стандарту PCI DSS включает в себя тесты как на сетевом уровне, так и на уровне приложений
  • В процессе проведения теста на проникновение атаки проводятся из сети Интернет и изнутри локальной сети компании
  • Осуществляется эксплуатация как технических уязвимостей (только публичных), так и применяются методы социальной инженерии
  • Не производятся атаки типа «отказ в обслуживании»
  • Заказчик всегда может проконтролировать текущий этап проведения работ. Все потенциально опасные для КИС действия согласуются заранее.
  • В договоре отражаются все утвержденные условия и ход работ, условия конфиденциальности информации, полученной в ходе проведения теста, и ответственность сторон.
  • В итоговом отчёте помимо подробного описания проведённых работ, даются рекомендации по устранению найденных уязвимостей и повышению общему уровню информационной безопасности КИС Заказчика.

Результаты

В результате проведения теста на проникновение компании получат следующие основные выгоды:

  • Объективная оценка защищенности компании от внешнего злоумышленника, действующего через сеть Интернет и от действий квалифицированного инсайдера, имеющего возможность подключения  к локальной сети
  • Обеспечение выполнения требования  11.3 стандарта  PCI DSS
  • Повышение защищенности сети от наиболее вероятных атак путем реализации рекомендаций, которые будут предоставлены после завершения теста на проникновение
  • Объективная оценка публично доступной информации о КИС и сотрудниках компании

Соответствие требованиям регуляторов