КОНСАЛТИНГ И АУДИТ
ПОЛНАЯ СТАТЬЯ Информационные технологии настолько плотно вошли в нашу жизнь, что безопасность в реальной жизни теперь все больше зависит от безопасности информационных систем. Благодаря техническому прогрессу число ИТ-систем растет с каждым годом. Обеспечение безопасности и непрерывности функционирования ИТ-систем — задача, которую необходимо решать на протяжении всего их жизненного цикла.Компания КОМПЛИТ обладает серьезной экспертизой и огромным опытом разработки концепций и архитектур, развертывания и обслуживания сложных многоранговых распределенных IT-инфраструктур предприятий.
УСЛУГИ КОМПЛИТ
Построение honeypot-системы (Distributed Deception Platform)
Honeypot-система представляет собой набор виртуальных машин, подключаемых к сетевой инфраструктуре компании. Предлагаемая система может использоваться как:
- реальные уязвимые сетевые сервисы;
- эмулирование на уровне открытых сетевых портов либо предоставляемых веб-интерфейсов;
- автоматизированное клонирование внутренних или внешних сервисов компании, а также добавление корпоративных атрибутов к имеющимся в наборе honeypot-системы сервисам (веб-панели аутентификации сетевого оборудования, корпоративные мессенджеры, офисные приложения и прочее).
Нами также разработана технология построения honeypot-компонентов, эмулирующих промышленное оборудование. Взаимодействие с узлами логируется, а в случае атакующих действий по отношению к ним предусмотрена отправка уведомлений администратору.
- реальные уязвимые сетевые сервисы;
- эмулирование на уровне открытых сетевых портов либо предоставляемых веб-интерфейсов;
- автоматизированное клонирование внутренних или внешних сервисов компании, а также добавление корпоративных атрибутов к имеющимся в наборе honeypot-системы сервисам (веб-панели аутентификации сетевого оборудования, корпоративные мессенджеры, офисные приложения и прочее).
Нами также разработана технология построения honeypot-компонентов, эмулирующих промышленное оборудование. Взаимодействие с узлами логируется, а в случае атакующих действий по отношению к ним предусмотрена отправка уведомлений администратору.
Анализ безопасности и поиск уязвимостей программного и аппаратного обеспечения
- выявление уязвимостей и дефектов безопасности в программном или аппаратном обеспечении;
- выявление недекларированных возможностей (закладок);
Возможная область работ:
- анализ безопасности коммерческих продуктов компании;
- анализ безопасности внутренних ИТ-решений;
- анализ безопасности сторонних продуктов, используемых в компаниях в критических областях деятельности, в том числе проверка на отсутствие недокументированных возможностей (НДВ, закладок). Проверка безопасности программного и аппаратного обеспечения в рамках приемки решений сторонней разработки.
Возможные условия проведения анализа:
- анализ с доступом к исходному коду решения (WhiteBox);
- анализ без доступа к исходному коду решения (BlackBox).
Возможные объекты анализа безопасности:
- десктопные приложения (Windows, Linux, MacOS и другие операционные системы);
- мобильные приложения (Android, iOS), в том числе в соответствии с OWASPMASVS;
- веб-сайты и порталы, в том числе при наличии исходного кода, в соответствии с OWASPASVS;
- информационные системы и программные решения, использующие машинное обучение;
- встраиваемое программное обеспечение (прошивки) промышленного, медицинского и другого оборудования.
- выявление недекларированных возможностей (закладок);
Возможная область работ:
- анализ безопасности коммерческих продуктов компании;
- анализ безопасности внутренних ИТ-решений;
- анализ безопасности сторонних продуктов, используемых в компаниях в критических областях деятельности, в том числе проверка на отсутствие недокументированных возможностей (НДВ, закладок). Проверка безопасности программного и аппаратного обеспечения в рамках приемки решений сторонней разработки.
Возможные условия проведения анализа:
- анализ с доступом к исходному коду решения (WhiteBox);
- анализ без доступа к исходному коду решения (BlackBox).
Возможные объекты анализа безопасности:
- десктопные приложения (Windows, Linux, MacOS и другие операционные системы);
- мобильные приложения (Android, iOS), в том числе в соответствии с OWASPMASVS;
- веб-сайты и порталы, в том числе при наличии исходного кода, в соответствии с OWASPASVS;
- информационные системы и программные решения, использующие машинное обучение;
- встраиваемое программное обеспечение (прошивки) промышленного, медицинского и другого оборудования.
Анализ защищенности компании
Важным механизмом обеспечения информационной безопасности любой компании является сторонний анализ ее защищенности для выявления уязвимостей и дефектов безопасности, которые нарушители могут использовать для причинения ущерба компании. К этому типу работ относятся следующие услуги:
- Тестирование на проникновение (пентест).
Сторонний анализ защищенности организации и ее внешних сервисов, включающий в себя нахождение брешей в безопасности и моделирование возможных действий атакующих.
- Комплексная имитация целенаправленных APT-атак на организацию (RedTeaming).
Длительное и комплексное исследование защищенности, позволяющее выявить недостатки в инфраструктуре организации и процессах обеспечения безопасности, проверить реальную эффективность работы службы ИБ, включая как защиту от широкого спектра атак, так и реагирование на инциденты. Включает мониторинг и поиск утечек, в результате которых конфиденциальные и учетные данные пользователей компании попадают в открытые источники информации.
- Аудит защищенности организации.
Анализ безопасности инфраструктуры организации с целью проверки ее соответствия требованиям безопасности, включающий координацию действий аудиторов и сотрудников компании и предоставление доступа к обследуемым объектам.
Перечень выполняемых работ:
- анализ защищенности внешнего сетевого периметра организации: внешних публичных сервисов, таких как веб-сайт, почтовые серверы и другие инфраструктурные компоненты, доступные из Интернета;
- анализ защищенности внутреннего сетевого периметра: выявление уязвимостей в сетевой внутренней инфраструктуре, связанных с неправильным конфигурированием локальных вычислительных сетей (ЛВС), отсутствием механизмов экранирования, с уязвимостями в используемом программном и аппаратном обеспечении;
- социотехническое тестирование: поиск чувствительной корпоративной и пользовательской информации, а также мониторинг общедоступных ресурсов на наличие корпоративной информации;
- анализ защищенности беспроводных сетей (Wi-Fi): выявление уязвимостей в конфигурации используемых сетей и предотвращение получения злоумышленниками доступа к сети организации;
- анализ подверженности компонентов инфраструктуры атакам вывода из строя (DoS) и распределенным атакам «отказ в обслуживании» (DDoS), нагрузочное тестирование: реализация услуги основана на моделировании и применении угроз.
- Тестирование на проникновение (пентест).
Сторонний анализ защищенности организации и ее внешних сервисов, включающий в себя нахождение брешей в безопасности и моделирование возможных действий атакующих.
- Комплексная имитация целенаправленных APT-атак на организацию (RedTeaming).
Длительное и комплексное исследование защищенности, позволяющее выявить недостатки в инфраструктуре организации и процессах обеспечения безопасности, проверить реальную эффективность работы службы ИБ, включая как защиту от широкого спектра атак, так и реагирование на инциденты. Включает мониторинг и поиск утечек, в результате которых конфиденциальные и учетные данные пользователей компании попадают в открытые источники информации.
- Аудит защищенности организации.
Анализ безопасности инфраструктуры организации с целью проверки ее соответствия требованиям безопасности, включающий координацию действий аудиторов и сотрудников компании и предоставление доступа к обследуемым объектам.
Перечень выполняемых работ:
- анализ защищенности внешнего сетевого периметра организации: внешних публичных сервисов, таких как веб-сайт, почтовые серверы и другие инфраструктурные компоненты, доступные из Интернета;
- анализ защищенности внутреннего сетевого периметра: выявление уязвимостей в сетевой внутренней инфраструктуре, связанных с неправильным конфигурированием локальных вычислительных сетей (ЛВС), отсутствием механизмов экранирования, с уязвимостями в используемом программном и аппаратном обеспечении;
- социотехническое тестирование: поиск чувствительной корпоративной и пользовательской информации, а также мониторинг общедоступных ресурсов на наличие корпоративной информации;
- анализ защищенности беспроводных сетей (Wi-Fi): выявление уязвимостей в конфигурации используемых сетей и предотвращение получения злоумышленниками доступа к сети организации;
- анализ подверженности компонентов инфраструктуры атакам вывода из строя (DoS) и распределенным атакам «отказ в обслуживании» (DDoS), нагрузочное тестирование: реализация услуги основана на моделировании и применении угроз.
Построение комплексных систем информационной безопасности с нуля
Работы по построению комплексных систем ИБ, направлены на проектирование ИБ решений на стадии проектирования строительных сооружений. Осуществление работ происходит в несколько этапов:
1 Этап - предпроектное диагностическое обследование (аудит) при модернизации или построении системы ИБ;
2 Этап - проектирование системы информационной безопасности , в том числе разработка Концепции ИБ, подготовка ЧТЗ на создание системы ИБ, Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ;
3 Этап - Внедрение системы ИБ - поставка, инсталляция, настройка всех компонентов и подсистем ИБ.
4 Этап - разработка ОРД системы управления ИБ (политика, регламенты и др.).
Результаты работ - проектное решение по построению системы ИБ, внедрение и настройка оборудования.
1 Этап - предпроектное диагностическое обследование (аудит) при модернизации или построении системы ИБ;
2 Этап - проектирование системы информационной безопасности , в том числе разработка Концепции ИБ, подготовка ЧТЗ на создание системы ИБ, Разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ;
3 Этап - Внедрение системы ИБ - поставка, инсталляция, настройка всех компонентов и подсистем ИБ.
4 Этап - разработка ОРД системы управления ИБ (политика, регламенты и др.).
Результаты работ - проектное решение по построению системы ИБ, внедрение и настройка оборудования.
Разработка организационно-распорядительной документации (ОРД)
Разработка организационно-распорядительной документации в соответствии выполненных работ и услуг , а также в соответствии ФЗ, НПА РФ, требований регуляторов (ФСТЭК, ФСБ, Роскомнадзор) по информационной безопасности. Примеры ОРД - инструкции, шаблоны, ЧТЗ, модели угроз и нарушителей и т.п.
Аудит персональных данных по 152-ФЗ
Работы по аудиту ПДн в типовых и распределённых проектов, проводятся в соответствии с 152-ФЗ, в несколько этапов:
1 Этап - выявление признаков персональных данных, инициализация и обследование технологических и бизнес процессов, связанных с обработкой ПДн;
2 Этап - анализ информационных систем ПДн, построение модели угроз;
3 Этап - описание техпроцесса обработки ПДн, формирование ОРД, выработка инструкций, методов;
4 Этап - анализ и документирование используемых технических и программных СЗИ, составление рекомендаций по модернизации системы защиты информации для соответствия исполнения требований федерального закона № 152 и нормативных документов регуляторов (ФСТЭК,ФСБ, Роскомнадзор)
Результаты работ - отчёт об обследовании ИСПДН, составление ОРД и рекомендаций по модернизации системы ИБ.
1 Этап - выявление признаков персональных данных, инициализация и обследование технологических и бизнес процессов, связанных с обработкой ПДн;
2 Этап - анализ информационных систем ПДн, построение модели угроз;
3 Этап - описание техпроцесса обработки ПДн, формирование ОРД, выработка инструкций, методов;
4 Этап - анализ и документирование используемых технических и программных СЗИ, составление рекомендаций по модернизации системы защиты информации для соответствия исполнения требований федерального закона № 152 и нормативных документов регуляторов (ФСТЭК,ФСБ, Роскомнадзор)
Результаты работ - отчёт об обследовании ИСПДН, составление ОРД и рекомендаций по модернизации системы ИБ.
Построение системы обеспечения ИБ для объектов КИИ
Построение системы обеспечения ИБ для объектов КИИ с обоснованием выбора сегментов и оборудования, внедрение системы в инфраструктуру, подключение к ГосСопка, создание ОРД.
Результаты работ - составление ЧТЗ на систему ИБ, спецификаций оборудования, поставка и внедрение оборудования, шаблоны и инструкции.
Результаты работ - составление ЧТЗ на систему ИБ, спецификаций оборудования, поставка и внедрение оборудования, шаблоны и инструкции.
Безопасность критической информационной инфраструктуры (КИИ) по 187-ФЗ
Работы по обеспечению безопасности критической информационной инфраструктуры в типовых и распределённых проектах, в соответствии с законодательством РФ 187-ФЗ, проводятся в несколько этапов:
1 Этап - выявление принадлежности учреждения к субъектам КИИ;
2 Этап - формирование перечня объектов КИИ, подлежащих категорированию;
3 Этап - анализ возможных угроз и действий нарушителей в отношении объектов КИИ, составление моделей угроз и нарушителей;
4 Этап - присвоение объектам КИИ категории значимости.
Результаты работ - отчёт о проведении работ, формы документов и актов, модель угроз и нарушителей.
1 Этап - выявление принадлежности учреждения к субъектам КИИ;
2 Этап - формирование перечня объектов КИИ, подлежащих категорированию;
3 Этап - анализ возможных угроз и действий нарушителей в отношении объектов КИИ, составление моделей угроз и нарушителей;
4 Этап - присвоение объектам КИИ категории значимости.
Результаты работ - отчёт о проведении работ, формы документов и актов, модель угроз и нарушителей.
ПОЧЕМУ ЭТО ВЫГОДНО?
Компания КОМПЛИТ обеспечивает разработку проекта эффективной системы безопасности, защищающей от потери данных, предупреждающей прочие риски, соответствующей установленным нормам и самым высоким промышленным стандартам. В результате клиент получает эффективную стратегию информационной безопасности, поддерживающую ее архитектуру, защиту приложений и данных, а также возможность регистрировать и решать возникающие проблемы без снижения производительности.Сколько это стоит
СВЯЗАТЬСЯ С МЕНЕДЖЕРОМ ПО ТЕЛЕФОНУ: +7 (812) 740-30-10
ОТПРАВИТЬ ЗАЯВКУ НА ЭЛЕКТРОННУЮ ПОЧТУ: info@complete.ru
Записаться в демоцентр КОМПЛИТ
СВЯЗАТЬСЯ С МЕНЕДЖЕРОМ ПО ТЕЛЕФОНУ: +7 (812) 740-30-10
ОТПРАВИТЬ ЗАЯВКУ НА ЭЛЕКТРОННУЮ ПОЧТУ: info@complete.ru