Внутрибанковские системы
Автоматизированная банковская система (АБС) – клиент-серверная система внутри банковской ИТ-инфраструктуры. АБС обрабатывает и хранит чувствительные данные и является одной из самых критичных банковских систем с точки зрения информационной безопасности.
Один из главных рисков ИБ в контексте АБС – доступ в систему большого числа пользователей. Сервер с базами данных и служебными приложениями связан с рабочими станциями банковских служащих, удаленными пользователями и другими банковскими системами. Чем больше число «точек входа» в систему, тем больше возможностей для атаки.
Каждая АБС имеет свою бизнес-логику. Зачастую в основе системы лежит довольно старое программное обеспечение, которое модернизировалось и надстраивалось, чтобы соответствовать изменениям в линейке банковских услуг, развитию технологий и новым стандартам контролирующих органов. Поэтому весь программный комплекс требует тщательного анализа, корректной настройки и поддержания безопасности с учетом его специфики. Анализ исходного кода системы является одной из ключевых процедур для обеспечения максимальных гарантий безопасности АБС.
Выявить наиболее значимые угрозы информационной безопасности
Протестировать наиболее значимые уязвимости (по согласованию с заказчиком)
Проанализировать безопасность исходного кода системы (преимущественно вручную, с использованием собственных методов и специализированных средств)
-
Программные средства системы и ее компонентов
-
Исходный код АБС
-
ПО, реализующее функциональность АБС
-
Экспертное заключение по текущему уровню защищенности АБС
-
Перечень обнаруженных уязвимостей и результаты их эксплуатации
-
Возможные сценарии атак с использованием обнаруженных уязвимостей и оценка их критичности для бизнеса
-
Рекомендации по повышению уровня защищенности АБС