TESTY PODATNOŚĆI IT ANKIETA KRI UKNF OBSZAR ZARZĄDZANIA PODATNOŚCIAMI
TESTY PODATNOŚĆI INFRASTRUKTURY IT ZGODNIE Z WYMOGAMI UKNF / EBA WRAZ Z WYPEŁNIONĄ ANKIETĄ KRI UKNF DOT. OBSZARU ZARZĄDZANIA PODATNOŚCIAMI
CEL KONTROLI
Spełnienie wymagań UKNF:
W zakresie przeprowadzania obowiązkowych testów podatności
Uzupełnienia ankiety KRI UKNF w obszarze zarządzania podatnościami:
ZPD.01
Liczba zidentyfikowanych podatności pozostałych do usunięcia
ZPD.02
Liczba zidentyfikowanych podatności krytycznych (o najwyższym poziomie ryzyka) pozostałych do usunięcia
ZPD.03
Liczba zidentyfikowanych podatności stanowiących false positives
ZPD.04
Nazwy 5 najliczniej występujących podatności krytycznych pozostałych do usunięcia, zgodnie z klasyfikacją CVE
ZPD.05
Liczba hostów objętych skanowaniem podatności
ZPD.06
Liczba hostów objętych skanowaniem podatności, w przypadku których przeprowadzono jedynie skanowanie nieuwierzytelnione
ZPD.07
Liczba hostów, na których występują zidentyfikowane podatności
ZPD.08
Liczba hostów, na których występują zidentyfikowane podatności krytyczne
ZPD.09
Liczba podatności krytycznych, dla których czas realizacji zaleceń przekroczył 15 dni od momentu ich zidentyfikowania
ZPD.10
Liczba usuniętych podatności
ZPD.11
Liczba usuniętych podatności krytycznych (o najwyższym poziomie ryzyka)
ZAKRES PRAC
Testowanie podatności w poszczególnych segmentach infrastruktury informatycznej w Banku oraz w filiach/oddziałach (sieci Front-office, Back-office, Serwerownia, MGMT itp.).
Wykryte podatności o wadze krytycznej zgłaszane są Bankowi w trakcie testowania.
Zdalnie sprawdzenie podanych przez Bank adresów zewnętrznych WAN. Głównym celem skanowania jest znalezienie otwartych portów, w których aplikacje aktywnie akceptują połączenia TCP lub pakiety UDP.
Status poszczególnych portów przekazywany jest do wiadomości Banku bezzwłocznie w przypadku stwierdzenia zbędnie otwartych portów komunikacyjnych.
Test zewnętrzny wykonywany jest przy użyciu oprogramowania Nmap i nie zawiera prób penetrowania infrastruktury Banku.
Sporządzenie poufnego raportu identyfikującego zagrożenia w dotychczas funkcjonującym systemie bezpieczeństwa infrastruktury teleinformatycznej Banku wraz z zaleceniami oraz rekomendacjami audytora
(do 30 dni po zakończeniu prac testowych w Banku).
FORMA PRZEPROWADZENIA TESTÓW
Kwartalnie – testy podatności elementów krytycznych infrastruktury IT + testy zewnętrzne
Raz do roku – testy podatności całej infrastruktury IT + testy zewnętrzne
Zainteresowane Banki prosimy o kontakt w sprawie uzgodnienia szczegółów – ZAPRASZAMY DO KONTAKTU
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.