Исследование особенностей проведения тестирования на проникновение как инструмента практического аудита информационной безопасности организации

Список используемых источников

1. Payment Card Industry (PCI) Security Council:[Электронный ресурс].  https://www.tadviser.ru/index.php/Статья:PCI_DSS_-_Payment_Card_Industry_Data_Security_Standard_-_Стандарт_защиты_информации_в_области_платежных_карт (Дата обращения 14.11.2021).

2. Тестирование безопасности или Security and Access Control Testing: [Электронный ресурс].  http://www.protesting.ru/testing/types/security.html (Дата обращения 14.11.2021).

3. Technical Guide to Information Security Testing and Assessment:[Электронный ресурс].  https://csrc.nist.gov/publications/detail/sp/800-115/final (Дата обращения 14.11.2021).

4. OSSTMM 3:[Электронный ресурс].  https://www.isecom.org/OSSTMM.3.pdf (Дата обращения 14.11.2021).

5. Technical Guide to Information Security Testing and Assessment:[Электронный ресурс].  https://hackware.ru/?p=5925 (Дата обращения 14.11.2021).

6. Дэвис Р. Д94 Искусство тестирования на проникновение в сеть / пер. с анг. В. С. Яценкова. – М.: ДМК Пресс, 2021. – 310 с.

7. Что такое тестирование на проникновение?[Электронный ресурс].  https://quality-lab.ru/blog/what_is_penetration_testing/ (Дата обращения 14.11.2021).

8. Что такое тестирование на проникновение?[Электронный ресурс].  https://quality-lab.ru/blog/what_is_penetration_testing/ (Дата обращения 14.11.2021).

9. ПЕНТЕСТ – РЕАЛЬНЫЙ ВЗГЛЯД НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ОРГАНИЗАЦИИ:[Электронный ресурс].  https://www.securitylab.ru/blog/company/ecrs/346186.php (Дата обращения 14.11.2021).

10. Тестирование на проникновение финансовой организации – требования ЦБ и практика проведения :[Электронный ресурс].  https://legal-bifit.ru/pentest_practice (Дата обращения 14.11.2021).

11. Гончар Т.С., Лохов В.И., Орёл Д.В., Минкина Т.В. Анализ видов сетевых атак на информационные ресурсы и методов защиты от них. // Управление бизнес-процессами в условиях формирования цифровой экономики. Сборник научных статей по материалам Всероссийской научно-практической конференции. - 2019. -С. 136-143.

12. Zhuk A.P., Orel D.V., Vanina A., Minkina T.V. Information security threats of wireless ”SMART” utility meteringsystems // В сборнике: CEUR WORKSHOP PROCEEDINGS./Proceedings of the International Workshop on Data Mining and Knowledge Engineering. 2020. С. 143-150.

Для устранения проблем, связанных с нарушениями секретности личных данных владельцев карт, а также для защиты от существующих эксплойтов в стандарт PCI DSS V. 3.2 были включены различные изменения, большинство из которых относятся к поставщикам услуг. В эти изменения были добавлены новые требования к тестированию на проникновение, согласно которым тестирование с сегментацией для поставщиков услуг выполнялось по крайней мере каждые шесть месяцев или после любых значительных изменений в элементах управления/методах сегментации. Кроме того, в этом стандарте содержится несколько требований, обязывающих поставщиков услуг в течение года непрерывно отслеживать и поддерживать критически важные элементы управления безопасностью.

Стандарт выполнения тестирования на проникновение состоит из семи основных разделов. Они охватывают все требования, условия и методы проведения испытаний на проникновение: от разведки и до попыток проведения пентестов; этапы сбора информации и моделирования угроз, когда, чтобы добиться лучших результатов проверки, испытатели работают инкогнито; этапы исследования уязвимостей, эксплуатации и пост-эксплуатации, когда практические знания испытателей в области безопасности соединяются с данными, полученными в ходе проведения тестов на проникновение; и как заключительный этап — отчетность, в которой вся информация предоставляется в виде, понятном клиенту.