Тестування на проникнення для відповідності стандартам безпеки (Compliance)
Норми, які регулюють бізнес-діяльність у таких галузях, як фінанси, торгівля, охорона здоров’я, транспорт, енергетика тощо, зазвичай містять положення та правила, пов’язані з кібербезпекою. Це зроблено для того, щоб організації були відповідальними та піклувалися про якісний захист конфіденційної інформації від зловмисників. Водночас деякі закони та стандарти містять конкретні положення та рекомендації, а інші висувають досить розмиті вимоги. У цій статті ми поговоримо про те, як тест на проникнення може вплинути на стандартизацію чи відповідність, а також розглянемо деякі закони та стандарти в контексті виконання тесту на проникнення.
Чому тест на проникнення є необхідним для отримання відповідності стандартам безпеки?
Тест на проникнення проводиться для того, щоб перевірити, наскільки ефективна система кібербезпеки підприємства на даний момент. Таким чином організація може точно знати:
- Чи безпечна інфраструктура чи є вразливі місця в безпеці.
- Якщо вразливі місця існують, як ними можуть скористатися зловмисники.
- Чи можуть зловмисники отримати контроль над діяльністю підприємства.
- Якої шкоди потенційно можуть завдати зловмисники.
- Які ефективні дії може вжити організація, щоб виявити несанкціонований доступ і запобігти витоку даних.
Відповідно, така діагностика дозволяє дати певні гарантії, достатні для підтвердження того, що обов’язкові заходи безпеки дотримані та ефективні. Що, у свою чергу, може слугувати передумовою для стандартизації або забезпечення відповідності.
Типи стандартів безпеки
Наказова основа:
Положення, що належать до цього типу, містять точний опис того, що необхідно зробити, а також чіткі критерії та схеми оцінки задоволеності виконання вимог. Таким чином, ви можете легко зрозуміти, чи потрібно вам проводити тест на проникнення або організувати інші заходи з тестування безпеки інфраструктури у вашій організації. Ці типи нормативних актів включають:
PCI DSS;
NIST.
Описова основа
Положення цього типу зазвичай містять загальний опис і рекомендації про те, що потрібно зробити і яких цілей повинна досягти організація. Як це буде реалізовано — організація повинна визначити сама. Прикладами таких правил є:
SOC 2;
ISO 27001;
GDPR.
Пентест на відповідність нормативним вимогам: вимоги до рамок відповідності
Далі ми коротко розглянемо деякі відомі закони та стандарти, які тим чи іншим чином вимагають тестування на проникнення.
SOC 2
SOC 2 (System and Organization Controls 2) — це система аудиту, яка застосовується до різних компаній, що надають ІТ-послуги, щоб перевірити, як вони обробляють конфіденційність даних. Цей термін стосується як самого стандарту, так і звіту — документа, що містить опис засобів контролю компанії та оцінку ефективності цих інструментів.
Основною вимогою для відповідності SOC 2 є проведення кількох незалежних оцінок безпеки: це може бути як тест на проникнення, так і аудит системи кібербезпеки організації. Як зазначалося вище, стандарт не є обов'язковим, як, наприклад, PCI DSS, однак він широко прийнятий на міжнародному рівні як підтвердження того, що компанія належним чином піклується про безпеку даних.
Існує два типи звітів SOC 2:
Тип 1 — являє собою оцінку системи кібербезпеки організації в конкретний момент часу;
Тип 2 — оцінює систему безпеки протягом 3-6 місяців, а іноді навіть протягом 12 місяців.
PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) — це стандарт, необхідний комерційним організаціям, які обробляють, зберігають або передають дані кредитних карток. Загалом, PCI-сертифікація є найпоширенішою в усьому світі та є передовим способом забезпечення безпеки даних.
Щоб визначити, чи безпечна ваша система обробки карток, необхідно виконати тест на проникнення. Ця процедура має першочергове значення для відповідності стандарту PCI DSS, як ви можете переконатися, подивившись на структуру, яка містить чотири контрольні рівні:
Рівень 1: найвищий рівень, для якого організація найбільше перевіряється. Це стосується компаній, які обробляють понад 6 мільйонів транзакцій на рік або тих, що зазнали витоку даних. Серед інших вимог безпеки цей рівень вимагає щоквартального сканування вразливостей і щорічного тесту на проникнення.
Рівень 2: стосується будь-якої компанії, яка обробляє від 1 до 6 мільйонів транзакцій на рік. На цьому рівні стандарт вимагає від організації проводити щоквартальний аудит безпеки — ASV-сканування, а також заповнювати аркуш самооцінки — Self-Assessment Questionnaire (SAQ).
Рівень 3: призначений для підприємств, які обробляють від 20 000 до 1 мільйона транзакцій на рік. Вимоги до тестування такі ж, як і для 2 рівня.
Рівень 4: дозволяє обробляти до 20 000 транзакцій на рік. Настійно рекомендується, щоб компанія провела ASV-сканування, а також заповнила Анкету самооцінки (SAQ).
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) — федеральний закон, який є єдиним у своєму роді стандартом у Сполучених Штатах щодо захисту медичної інформації від несанкціонованого доступу. У самому законі не вказано, що потрібно проводити тест на проникнення, але він вимагає багато перевірок, які, як правило, проводяться під час пентесту.
HIPAA стосується таких аспектів безпеки даних:
Організаційно-правовий: компанія повинна передбачити наявність необхідних політик і процедур, які стосуються управління доступом, інцидентами, ризиками, прописати порядок дій у надзвичайних ситуаціях тощо.
Фізична безпека: фактична фізична безпека інфраструктури системи.
Технічна безпека: захист системи від несанкціонованого доступу, розголошення або пошкодження інформації.
Тестування на проникнення, сканування вразливостей і перевірка безпеки системи можуть підтвердити або спростувати існування вищезазначених засобів захисту.
ISO 27001
ISO/IEC 27001 — це міжнародний стандарт, який, серед іншого, використовується організаціями для створення та впровадження систем управління інформаційною безпекою (СУІБ/ISMS). ISO 27001 складається з двох частин:
- Тіло — стратегія, основна частина стандарту;
- Додаток A — список із 114 засобів контролю, які можна застосувати до організації.
Цей рівень деталізації робить ISO 27001 комплексною структурою, яку можна застосовувати в багатьох організаціях. Цим і пояснюється популярність стандарту. У рамках стандартизації ISO 27001 кожна компанія повинна проводити тести на проникнення, щоб переконатися, що вжиті заходи безпеки є ефективними. Детальніше про сертифікацію читайте в нашій окремій статті.
GDPR
GDPR (Загальний регламент захисту даних) — це міжнародний закон, який являє собою набір правових норм, прийнятих у Європейському Союзі (ЄС). По суті, цей закон захищає персональні дані громадян ЄС від несанкціонованого зберігання та використання. І це може стосуватися всіх організацій у всьому світі, які зберігають або обробляють персональні дані громадян ЄС.
Відповідно, для забезпечення безпеки персональних даних компанія повинна подбати про фізичну та технічну безпеку своєї інфраструктури. І хоча GDPR є досить об’ємною постановою, він не містить жодних конкретних технічних вказівок щодо того, як дотримуватися вимог. Компанія повинна визначити, як це буде реалізовано.
Тест на проникнення для відповідності GDPR має вирішальне значення, оскільки під час цієї процедури перевіряється, чи справді організація забезпечила належну безпеку даних, чи зловмисники все ще можуть якимось чином проникнути в систему.
Як провести тест на проникнення на відповідність?
Як ви вже переконалися, тест на проникнення є абсолютно необхідною процедурою, якщо ви плануєте стандартизувати бізнес-процеси у своїй організації або якщо ви хочете, щоб ваша компанія відповідала ISO чи іншому закону або нормативному акту.
Ці процедури йдуть рука об руку, і їх виконання дозволить вам чітко зрозуміти можливості системи кібербезпеки вашої компанії, завдяки чому ви зможете надати певні гарантії інформаційної безпеки своїм діловим партнерам і клієнтам.
Якщо у вас є запитання щодо тестування на проникнення, сертифікації та відповідності, ми будемо раді проконсультувати вас. Зв'яжіться з нами сьогодні, щоб дізнатися більше про нашу пропозицію.