Тесты на проникновение, Pentest

Успешность бизнеса зачастую определяется высоким уровнем сохранности коммерческих секретов, а также иных важных информационных активов. Однако системы защиты информации должны не только эффективно функционировать, но и соответствовать требованиям контролирующих государственных органов.

Руководителю предприятия важно иметь достоверную информацию о наиболее вероятных угрозах системам безопасности и возможностях потенциального нарушителя. Единственный способ оценить реальную эффективность системы защиты информации заключается в санкционированной попытке её обойти. Для этого применяется активный аудит безопасности, включающий тесты на проникновение. Следует отметить, что ряд законов и стандартов по защите информации предусматривает регулярное проведение подобных тестов.

Тестирование, как и аудит в целом, позволит получить независимую экспертную оценку обоснованности инвестиций в систему информационной безопасности предприятия.

Объектами тестирования на проникновение могут быть:

  • корпоративные сети, имеющие внешний диапазон IP-адресов;
  • веб-ресурсы;
  • системы финансово-кредитного обслуживания;
  • внутренняя сеть, включая сервера, активное сетевое оборудование, АРМ конечных пользователей;
  • беспроводной сегмент корпоративной информационной системы;
  • специализированное промышленное оборудование, включая промышленные контроллеры и системы типа SCADA.

В ходе проведения активного аудита безопасности специалисты компании "РосИнтеграция" играют роль потенциального злоумышленника, перед которым стоит задача найти уязвимости в информационной системе заказчика и продемонстрировать возможность выполнения вредоносных действий. Наши сотрудники не раз доказывали свой высокий профессиональный уровень, занимая призовые места на международных конференциях по проблемам информационной безопасности. Они проходят регулярное повышение квалификации в ведущих учебных центрах, обладают сертификатами международного образца в сфере защиты информации.

Каждый этап работ по анализу и аудиту безопасности тщательно согласовывается с Заказчиком. Мы работаем в строгом соответствии с законодательством, требованиями международных стандартов в сфере информационной безопасности и иными нормативными документами, касающимися обработки информации, не предназначенной для открытого доступа.

По результатам работы заказчику передаются отчетные материалы, содержащие:

  • формализованную методику проведения аудита безопасности;
  • результаты технологических тестов на проникновение и тестов с применением социальной инженерии, оценка уровня информированности персонала;
  • выводы для руководства и ответственных сотрудников, содержащие общую оценку уровня защиты информации на предприятии;
  • рекомендации по устранению выявленных уязвимостей.

Для предупреждения ситуаций, связанных с ненадлежащим использованием важной информации сотрудниками заказчика, мы можем провести комплекс специальных организационных и технических мер. В него входит внедрение систем протоколирования, контроль активности сотрудников, аудит обращений к критичным данным, контроль веб-трафика, анализ журналов аудита применяемых СЗИ, анализ журналов событий операционных систем АРМ и серверов, анализ журналов аудита активного сетевого оборудования, проведение контрольных мероприятий, анализ файлов протоколов и т.п.

В современном мире активного использования информационных технологий только проведение своевременных и комплексных мероприятий способно помочь предотвратить угрозы безопасности конфиденциальных данных Вашего бизнеса.