STO BR IBBS-1.0-2014の要件に準拠した侵入テスト

本日は、STO BR IBBS-1.0-2014の要件に応じた独自の侵入テストの実施についてお話します。



2014年7月10日付けのロシア銀行条例No. P-556 http://www.consultant.ru/document/cons_doc_LAW_165504/ 「ロシア銀行の標準化分野における勧告の実施について」ロシア連邦の銀行システムの組織の情報セキュリティの確保。 自動化された銀行システムのライフサイクルの段階で情報セキュリティを確保する」、2014年9月1日から、ロシア銀行の標準化分野における勧告「ロシア連邦の銀行システムの組織の情報セキュリティを確保する」が施行されました。 自動化された銀行システムのライフサイクルの段階での情報セキュリティ "RS BR IBBS-2.6-2014" http://www.cbr.ru/credit/Gubzi_docs/rs-26-14.pdf （このドキュメントは本質的に推奨事項ですが、本質的に行動のガイドとして機能します）。



ロシア銀行の基準「ロシア連邦の銀行システムの組織の情報セキュリティの確保」の7.3項「ライフサイクルの段階で自動化された銀行システムの情報セキュリティを確保するための一般要件」の要件に従って。 一般規定「ロシア連邦の銀行システムの組織は、ライフサイクルのすべての段階で自動銀行システム（ABS）の情報セキュリティを確保するための対策を講じることが求められています。



ライフサイクルの次の段階が区別されます。

• 技術仕様の開発。
• デザイン;
• 作成とテスト。
• 受け入れと試運転。
• 操作;
• メンテナンスと近代化。
• 廃止措置。

侵入テストが推奨されるライフサイクルのこれらの段階をより詳細に検討してみましょう。



特に試運転の一環として、受け入れと試運転の段階で、侵入テストやABSコンポーネントの既知の脆弱性の特定を含む包括的なセキュリティ評価を実施することをお勧めします（9.5 RS BR IBBS-2.6-2014節）。 運用段階では、ABSセキュリティの定期的な評価を実行し、メッセージを監視し、ABSの脆弱性に対応する必要もあります（RS BR IBBS-2.6-2014の10.1節）。 最後に、ABSの近代化の段階で、必要な量のセキュリティの包括的な評価を実施することをお勧めします（RS BR IBBS-2.6-2014の11.3項）。



RS BR IBBS-2.6-2014の議論の余地のない利点は、自動システムのセキュリティ機能の実装における典型的な欠点の説明と、セキュリティを評価し、技術的保護手段の設定を監視するための推奨事項（構成エラーの検出）です。 ただし、明らかな理由により、このドキュメントにはこれらのアクティビティを実行するためのステップバイステップガイドは含まれていません。 この場合、組織の情報セキュリティを確保する責任がある従業員は何をガイドしますか？ 必要な情報/知識はどこで入手できますか？



侵入テストを実施するには、ペンテストを実施する必要がある理由、方法、および対象を詳細に説明する方法と推奨事項があります。 関連するもののうち、次のものを特定できます。

• オープンソースセキュリティテスト方法論マニュアル（OSSTMM） http://www.isecom.org/research/osstmm.html
• NIST Special Publication 800-115：情報セキュリティのテストと評価の技術ガイド（NIST SP 800-115）。 http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
• 侵入テスト実行標準（PTES） http://www.pentest-standard.org/
• OWASPテストガイドhttps://www.owasp.org/index.php/OWASP_Testing_Project

ソフトウェアの脆弱性について公開されたメッセージを追跡するために、RS BR IBBS-2.6-2014に有用なリソースへのリンクが既にあります。 それらに追加できます：

• ソフトウェア脆弱性メーリングリスト（バグトラック）SecurityFocus http://www.securityfocus.com/archive/1
• Bugtrack SecLists.Org http://seclists.org/bugtraq/
• CVE脆弱性データベースhttp://www.cvedetails.com/
• オープンソース脆弱性データベース（OSVDB） http://osvdb.org/
• ロシアのFSTECの情報セキュリティ脅威データベースhttp://www.bdu.fstec.ru
• Secunia脆弱性データベースhttp://secunia.com/community/advisories/historic/
• Bugs Collector脆弱性データベース（未修正のものを含む） https://bugscollector.com/
• XSSposed.org XSS脆弱性データベース（未修正を含む） https://www.xssposed.org/
• マイクロソフトセキュリティ情報https://technet.microsoft.com/security/bulletin/

National Checklist Program https://web.nvd.nist.gov/view/ncp/repositoryおよびCIS Security Benchmarks http://benchmarks.cisecurity.orgは、オペレーティングシステムとソフトウェアの安全な設定をインストール（チェック）するのに役立ちます。



上記の作業の結果は、情報セキュリティのリスクを軽減し、STO BR IBBSである認識されている業界標準の要件だけでなく、連邦法「個人データに関する」要件を含む法的要件も満たすことにより、ビジネスの持続可能性を高めることです。



従業員が侵入テストを実施するのに十分な知識を持っていない、または持っていない場合はどうなりますか？



この場合、私達に連絡できます。 Pentestitは、侵入テストの 初期および専門トレーニングを提供します 。