Глава 2. Рекомендации по проведению тестирования на проникновение объектов информационной инфраструктуры

2.1. Организациям финансового рынка рекомендуется проводить как внешнее тестирование на проникновение (имитация действий внешнего нарушителя), так и внутреннее тестирование на проникновение (имитация действий внутреннего нарушителя) объектов информационной инфраструктуры.

2.2. Рекомендуется проводить тестирование на проникновение объектов информационной инфраструктуры следующими методами:

методом "черного ящика", при котором исполнитель <9> не владеет информацией об объектах информационной инфраструктуры организации финансового рынка;

--------------------------------

<9> Для целей настоящих Методических рекомендаций Банка России под исполнителем понимается лицо, привлекаемое к проведению тестирования на проникновение.

методом "серого ящика", при котором исполнитель владеет частичной информацией об объектах информационной инфраструктуры организации финансового рынка;

методом "белого ящика", при котором исполнитель владеет полной информацией об объектах информационной инфраструктуры организации финансового рынка.

2.3. Организациям финансового рынка при проведении тестирования на проникновение объектов информационной инфраструктуры рекомендуется использовать базы данных угроз безопасности информации и иные информационные источники для идентификации уязвимостей и формализованного представления результатов (например, БДУ ФСТЭК России <10>, CAPEC <11>, MITRE ATT&CK <12>, OWASP <13>, STIX <14>, WASC <15>, CWE <16>, CVE <17> и иные).

--------------------------------

<10> Банк данных угроз безопасности информации ФСТЭК России по адресу https://bdu.fstec.ru/threat.

<11> Common Attack Pattern Enumerations and Classifications по адресу https://capec.mitre.org.

<12> MITRE ATT&CK по адресу https://attack.mitre.org.

<13> Open Web Application Security Project по адресу https://owasp.org.

<14> Security Threat Information Expression по адресу https://stixproject.github.io.

<15> Web Application Security Consortium по адресу https://www.webappsec.org.

<16> Common Weakness Enumeration по адресу https://cwe.mitre.org.

<17> Common Vulnerabilities and Exposures по адресу https://cve.mitre.org.

2.4. Рекомендуется при проведении тестирования на проникновение объектов информационной инфраструктуры учитывать потенциал нарушителя, указанного в модели угроз информационной безопасности. При этом рекомендуется использовать автоматизированные средства, позволяющие моделировать атаки с учетом идентифицированных уязвимостей, указанных в главе 3 настоящих Методических рекомендаций Банка России.

2.5. В результаты тестирования на проникновение объектов информационной инфраструктуры рекомендуется включать сравнение полученных результатов с ожидаемыми результатами, указанными в ТЗ.

2.6. Рекомендуется фиксировать фактические результаты выполнения тестирования на проникновение объектов информационной инфраструктуры и исследовать причины возникновения любых непредвиденных ситуаций.

2.7. Рекомендуется проводить повторное тестирование на проникновение объектов информационной инфраструктуры после устранения выявленных уязвимостей. Повторное проведение тестирования на проникновение объектов информационной инфраструктуры может не проводиться для тех объектов информационной инфраструктуры, в которых не были выявлены уязвимости.