НАВИГАЦИЯ:
Бесплатное обучение по системе мониторинга и корреляции событий информационной безопасности Security Capsule SIEM
Начать обучениеКОНТРОЛЬ ЗАЩИЩЕННОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ЕЕ МОДИФИКАЦИИ В СРЕДСТВАХ И СИСТЕМАХ ИНФОРМАТИЗАЦИИ
КОНТРОЛЬ ЗАЩИЩЕННОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ЕЕ МОДИФИКАЦИИ В СРЕДСТВАХ И СИСТЕМАХ ИНФОРМАТИЗАЦИИ

Целями проведения контроля защищенности конфиденциальной информации от НСД и ее модификации в средствах и системах информатизации являются:
обеспечение защиты информации от НСД;своевременное выявление и предотвращение утечки информации;
предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности и доступности информации.
Компания ООО «Инновационные Технологии в Бизнесе» оказывает следующие услуги:
анализ уязвимостейконтроль отсутствия недекларированных возможностей
контроль защищенности
тестирование на проникновение (Pentest)
ОПЫТ КОМПАНИИ
За последние десять лет специалистами компании был получен богатейший опыт оценки защищенности информационных систем Заказчиков.
Используя инновационные подходы и методики, специалисты компании провели более 1600 проверок ИС, ИСПДн, АС, АСУ ТП, ГИС, биллинговых систем. Основными обследуемыми объектами информатизации выступали:
Комитеты Санкт-ПетербургаУправления Санкт-Петербурга
Инспекции Санкт-Петербурга
Генерирующие компании (ГЭС, ТЭЦ)
Энергосбытовые компании
Компании Группы «Интер РАО ЕЭС»
Электронные торговые площадки
Государственные и корпоративные порталы
Услуга оказывалась при проведении аудитов информационной безопасности на этапе создания систем защиты государственных информационных систем, при проведении сертификационных испытаний средств защиты, периодического контроля защищенности и оценки эффективности реализованных в рамках систем защиты персональных данных мер по обеспечению безопасности персональных данных. Разработаны типовые методики.
ЦЕЛИ И ЗАДАЧИ УСЛУГИ
Целями проведения контроля защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации являются:
обеспечение защиты информации от несанкционированного доступа;своевременное выявление и предотвращение утечки информации;
предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности и доступности информации.
В процессе проведения контроля защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации решаются следующие задачи:
инвентаризация объекта обследования;выявление уязвимостей компонентов объекта обследования;
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации компонентов объекта обследования;
определение уровня защищенности объекта обследования;
анализ результатов, выпуск отчета.
ПЕРЕЧЕНЬ ДОКУМЕНТОВ, НА ОСНОВАНИИ КОТОРЫХ ОКАЗЫВАЕТСЯ УСЛУГА
Законодательной базой для организации оказания услуги являются:
Федеральный закон Российской Федерации «О персональных данных» от 27.06.2006 г. N 152-ФЗ
Федеральный закон Российской Федерации «О техническом регулировании» от 27.12.2002 N 184-ФЗ
Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ
Федеральный закон «О Центральном банке Российской Федерации (Банке России)»
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
Приказ ФСТЭК России 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
Приказ ФСБ России от 06.05.2019 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты”
Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации»
Стандарт Банка России СТО БР ИББС-1.1-2007 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности” (введен в действие распоряжением ЦБР от 28 апреля 2007 г. № Р-345)
Положение Банка России от 17 апреля 2019 г. N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»
Перечень основных нормативных и методических документов, определяющих состав и требования к оказанию услуги:
ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
ГОСТ Р 56939-2016. Защита информации. Разработка безопасного программного обеспечения
ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
ПЕРЕЧЕНЬ И ПОСЛЕДОВАТЕЛЬНОСТЬ ЭТАПОВ ОКАЗАНИЯ УСЛУГИ
Услуга оказывается в три стадии:
подготовительная стадия;
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
подготовка отчетных документов.
ОПИСАНИЕ МЕХАНИЗМОВ ПРОВЕДЕНИЯ КОНТРОЛЯ ЗАЩИЩЕННОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И ЕЕ МОДИФИКАЦИИ В СРЕДСТВАХ И СИСТЕМАХ ИНФОРМАТИЗАЦИИ
Поиск узлов осуществляется с применением:
ICMP-echo – запросов.TCP-ping.
Сканирования портов TCP и UDP.
Способы сканирования портов:
Сканирование портов TCP-Connect.Сканирование портов TCP-Syn.
Сканирование UDP-портов.
Сканирование портов TCP и UDP.
Определение версии ОС осуществляется:
На основе анализа стека TCP/IP (nmap).На основе анализа версий сетевых служб.
На основе результатов проверки в режиме аудита (NetBIOS/SMB, RPC, SSH, SNMP).
Определение версий приложений осуществляется:
На основе заголовка службы (banner).На основе реакции на стандартные и нестандартные запросы (эвристический метод).
Поиск уязвимостей основывается на:
Подборе паролей.На основе определения версии приложения (banner-based).
На основе дополнительной информации, полученной от приложения.
Проведении атак (penetration test).
Манипуляции параметрами протокола (fuzzing).
Эвристическом методе.
Результатах локальных проверок в режиме аудита (NetBIOS/SMB, RPC, SSH, SNMP), путем анализа списка установленного ПО, ключей реестра, версий и содержимого файлов и т.д.
В ходе поиска уязвимостей Web-приложений выполняется:
автоматическое определение Web-приложений на произвольных портах;работа с SSL/TLS;
автоматический индексатор сайта с поддержкой функции поиска скрытых директорий и резервных копий файлов (Forced Browsing);
поддержка аутентификации типа Basic и нестандартных схем аутентификации;
автоматическое отслеживание сессий;
поиск уязвимых и вредоносных сценариев (например, php-shell) по содержимому страницы;
эвристическое определение основных типов уязвимостей в Web-приложениях;
определение уязвимостей в полях заголовка HTTP-запроса.
СОДЕРЖАНИЕ ОТЧЕТА
Отчет по результатам оказанной услуги содержит:
заключение, в котором дается оценка состояния защищенности ИС;описание выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, типу злоумышленника, описание последствий реализации выявленных уязвимостей;
рекомендации по нейтрализации выявленных уязвимостей (снижению возможного ущерба от их использования злоумышленниками), рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений (patches, hot-fixes) для используемого программного обеспечения и т.п.;
выявленные возможности санкционированного и несанкционированного получения конфиденциальной информации и информации ограниченного доступа.