ПРОВОДИМ АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ И АТТЕСТАЦИЮ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ

SECURITY CAPSULE SIEM

Security Capsule SIEM сертифицирована Федеральной службой по техническому и экспортному контролю России. Сертификат ФСТЭК России № 6493 от 9 ноября 2016 года на ТУ и 4 уровень контроля НДВ.

Security Capsule SIEM зарегистрирована в реестре Российского программного обеспечения. Свидетельство о государственной регистрации программы для ЭВМ (Security Capsule SIEM) Минкомсвязи России № 2016613392 от 25 марта 2016 года.

БЕСПЛАТНЫЙ ПИЛОТ

КОНТРОЛЬ ЗАЩИЩЕННОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ЕЕ МОДИФИКАЦИИ В СРЕДСТВАХ И СИСТЕМАХ ИНФОРМАТИЗАЦИИ

Компания ООО «Инновационные Технологии в Бизнесе» оказывает следующие услуги:

анализ уязвимостей
контроль отсутствия недекларированных возможностей
контроль защищенности
тестирование на проникновение (Pentest)

ОПЫТ КОМПАНИИ

За последние десять лет специалистами компании был получен богатейший опыт оценки защищенности информационных систем Заказчиков.

Используя инновационные подходы и методики, специалисты компании провели более 1600 проверок ИС, ИСПДн, АС, АСУ ТП, ГИС, биллинговых систем. Основными обследуемыми объектами информатизации выступали:

Комитеты Санкт-Петербурга
Управления Санкт-Петербурга
Инспекции Санкт-Петербурга
Генерирующие компании (ГЭС, ТЭЦ)
Энергосбытовые компании
Компании Группы «Интер РАО ЕЭС»
Электронные торговые площадки
Государственные и корпоративные порталы

Услуга оказывалась при проведении аудитов информационной безопасности на этапе создания систем защиты государственных информационных систем, при проведении сертификационных испытаний средств защиты, периодического контроля защищенности и оценки эффективности реализованных в рамках систем защиты персональных данных мер по обеспечению безопасности персональных данных. Разработаны типовые методики.

ЦЕЛИ И ЗАДАЧИ УСЛУГИ

Целями проведения контроля защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации являются:

обеспечение защиты информации от несанкционированного доступа;
своевременное выявление и предотвращение утечки информации;
предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности и доступности информации.

В процессе проведения контроля защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации решаются следующие задачи:

инвентаризация объекта обследования;
выявление уязвимостей компонентов объекта обследования;
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации компонентов объекта обследования;
определение уровня защищенности объекта обследования;
анализ результатов, выпуск отчета.

ПЕРЕЧЕНЬ ДОКУМЕНТОВ, НА ОСНОВАНИИ КОТОРЫХ ОКАЗЫВАЕТСЯ УСЛУГА

Законодательной базой для организации оказания услуги являются:

Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149-ФЗ
Федеральный закон Российской Федерации «О персональных данных» от 27.06.2006 г. N 152-ФЗ
Федеральный закон Российской Федерации «О техническом регулировании» от 27.12.2002 N 184-ФЗ
Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ
Федеральный закон «О Центральном банке Российской Федерации (Банке России)»
Постановление Правительства РФ от 01.11.2012 N 1119» Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
Приказ ФСТЭК России 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
Приказ ФСБ России от 06.05.2019 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты”
Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации»
Стандарт Банка России СТО БР ИББС-1.1-2007 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности” (введен в действие распоряжением ЦБР от 28 апреля 2007 г. № Р-345)
Положение Банка России от 17 апреля 2019 г. N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»
Раскрыть весь списокСвернуть

Перечень основных нормативных и методических документов, определяющих состав и требования к оказанию услуги:

ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»
ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО_МЭК ТО 13335-3-2007 ИТ. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения
ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

ПЕРЕЧЕНЬ И ПОСЛЕДОВАТЕЛЬНОСТЬ ЭТАПОВ ОКАЗАНИЯ УСЛУГИ

Услуга оказывается в три стадии:

подготовительная стадия;
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
подготовка отчетных документов.

ОПИСАНИЕ МЕХАНИЗМОВ ПРОВЕДЕНИЯ КОНТРОЛЯ ЗАЩИЩЕННОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ЕЕ МОДИФИКАЦИИ В СРЕДСТВАХ И СИСТЕМАХ ИНФОРМАТИЗАЦИИ

Поиск узлов осуществляется с применением:

ICMP-echo – запросов.
TCP-ping.
Сканирования портов TCP и UDP.

Способы сканирования портов:

Сканирование портов TCP-Connect.
Сканирование портов TCP-Syn.
Сканирование UDP-портов.
Сканирование портов TCP и UDP.

Определение версии ОС осуществляется:

На основе анализа стека TCP/IP (nmap).
На основе анализа версий сетевых служб.
На основе результатов проверки в режиме аудита (NetBIOS/SMB, RPC, SSH, SNMP).

Определение версий приложений осуществляется:

На основе заголовка службы (banner).
На основе реакции на стандартные и нестандартные запросы (эвристический метод).

Поиск уязвимостей основывается на:

Подборе паролей.
На основе определения версии приложения (banner-based).
На основе дополнительной информации, полученной от приложения.
Проведении атак (penetration test).
Манипуляции параметрами протокола (fuzzing).
Эвристическом методе.
Результатах локальных проверок в режиме аудита (NetBIOS/SMB, RPC, SSH, SNMP), путем анализа списка установленного ПО, ключей реестра, версий и содержимого файлов и т.д.

В ходе поиска уязвимостей Web-приложений выполняется:

автоматическое определение Web-приложений на произвольных портах;
работа с SSL/TLS;
автоматический индексатор сайта с поддержкой функции поиска скрытых директорий и резервных копий файлов (Forced Browsing);
поддержка аутентификации типа Basic и нестандартных схем аутентификации;
автоматическое отслеживание сессий;
поиск уязвимых и вредоносных сценариев (например, php-shell) по содержимому страницы;
эвристическое определение основных типов уязвимостей в Web-приложениях;
определение уязвимостей в полях заголовка HTTP-запроса.

СОДЕРЖАНИЕ ОТЧЕТА

Отчет по результатам оказанной услуги содержит:

заключение, в котором дается оценка состояния защищенности ИС;
описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, типу злоумышленника, описание последствий реализации выявленных уязвимостей;
рекомендации по нейтрализации выявленных уязвимостей (снижению возможного ущерба от их использования злоумышленниками), рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений (patches, hot-fixes) для используемого программного обеспечения и т.п.;
выявленные возможности санкционированного и несанкционированного получения конфиденциальной информации и информации ограниченного доступа.

СВЯЖИТЕСЬ С НАМИ

ТЕРРИТОРИАЛЬНЫЙ ФОНД ОБЯЗАТЕЛЬНОГО МЕДИЦИНСКОГО СТРАХОВАНИЯ ЛЕНИНГРАДСКОЙ ОБЛАСТИ

В течение 7 лет сотрудники ООО «Инновационные Технологии в Бизнесе» оказывают комплексные услуги по обеспечению информационной безопасности, применяя современные технологии, с учетом лучших мировых практики в области информационной безопасности, и требований законодательства Российской Федерации.