Аудит информационной системы для крипто-проектов. Вступаем в ПВТ
Тестирование на проникновение для крипто проектов
В 2018 году в Беларуси были приняты правила, регулирующие деятельность крипто проектов. Старт такого бизнеса неразрывно связан с процедурой вступления в Парк высоких технологий и выполнением ряда достаточно серьезных требований.
Одним из таких требований является аудит информационной системы, описанный в Главе 7 "Положения о требованиях, которым должны соответствовать отдельные заявители для регистрации их в качестве резидентов Парка высоких технологий".
Кто может проводить аудит информационной системы?
Произвести аудит и составить отчет согласно Положению может только резидент ПВТ, в бизнес-проекте которого указан вид деятельности «аудит информационных систем и программного обеспечения». Также такой резидент должен обладать необходимыми знаниями, опытом и компетенциями для проведения подобного аудита. Выполнение данного условия может подтверждаться наличием у исполнителя международных сертификаций в сфере информационной безопасности (в IT Band Systems, например, аудиты систем проводит сертифицированный CISSP эксперт – Certified Information Systems Security Professional).
Что проверяется в ходе аудита?
Обращаясь к Положению, в ходе аудита должен быть подтвержден "низкий уровень риска нарушения работы (повреждения, утраты данных) информационной системы (информационных систем) вследствие противоправного вмешательства в эту работу со стороны третьих лиц".
Если говорить простыми словами, то нужно проверить, насколько вероятно взломать систему, каким образом это можно сделать, и к каким последствиям это может привести. Данную задачу наилучшим образом решает тестирование на проникновение (penetration testing) – проверка безопасности системы путем моделирования атак. Процесс включает в себя поиск уязвимостей в системе, эксплуатация которых позволит злоумышленнику достичь определенной цели: получение административного доступа, доступ к чувствительным данным и проч. В ходе тестирования также может проводиться анализ исходного кода и архитектуры крипто-платформы.
Помимо тестирования на проникновение производится анализ ИТ-инфраструктуры и ИТ-процессов (IT аудит), определяющих работу крипто-платформы:
- Управление рисками
- Управление доступом
- Управление изменениями
- Управление инцидентами
- Управление непрерывностью
- Мониторинг
- Физическая безопасность
- Безопасность системных настроек
Как должен выглядеть отчет?
Среди требований к отчету в Положении ничего не сказано о его составных частях, главное чтобы в отчете констатировалось соответствие системы требованиям, предъявляемым к деятельности резидентов ПВТ законодательством и актами Наблюдательного совета, а также констатировался низкий уровень риска нарушения работы системы. Среди прочих требований к отчету – достоверность, актуальность, ясность и полезность.
Отчет, выполняемый IT Band Systems, состоит из нескольких частей:
- 1
Вводная часть
Она описывает систему, подвергающуюся аудиту, цели и период проверки, объем процедур, включаемых в аудит, а также ограничения и допущения, которые аудитор был вынужден принять.
- 2
Обзорная часть
Она описывает итоги аудита, выводы об уровне рисков, связанных с безопасностью системы, и степени ее соответствия требованиям, основные наблюдения и рекомендации.
- 3
Анализ ИТ-процессов
Далее следует анализ ИТ-процессов, где подробно описываются результаты проверки соответствующих политик и порядков организации, выявленные недостатки и рекомендации по исправлению.
- 4
Технический анализ системы и тестирование на проникновение
За ним следует технический анализ системы и тестирование на проникновение, где описываются все выявленные в ходе аудита уязвимости системы, оценка рисков и инструкции по закрытию данных уязвимостей.
- 5
Отдельная выписка со всеми выводами
Исходя из нашего опыта, для ПВТ потребуется еще одна часть – отдельная выписка (1-2 страницы) со всеми выводами, которые были получены в результате проведения оценки, а также ссылками на страницы основного отчета, на которых отражается полная информация.
Проведение аудита информационной системы, предполагаемой к использованию при осуществлении крипто деятельности, является одной из важных ступеней на пути в ПВТ, т.к. затрагивает вопросы безопасности и риски для бизнеса.
Специалисты IT Band Systems проводят аудит информационной системы крипто проектов
Наши консультанты - это опытные сертифицированные специалисты, которые постоянно отслеживают последние тенденции в области безопасности, а также выступают на профильных конференциях в Беларуси и за рубежом.
Глубокие знания и опыт наших экспертов подтверждаются престижной и наиболее ценной сертификацией в области кибербезопасности - CISSP (Certified Security Systems Professional), а также сертификацией в области тестирования на проникновение - OSWE (Offensive Security Web Expert), CPSA (CREST Practitioner Security Analyst).
Остались вопросы?
Вы всегда можете связаться с нашим менеджером по почте: veronica.yudina@it-band.by