ДиалогНаука

Для эффективного обеспечения информационной безопасности необходимо применять комплексный подход, предусматривающий применение как организационных, так и технических мер защиты.

Компания «ДиалогНаука» предлагает широкий спектр консалтинговых услуг по разработке, внедрению и сопровождению комплексных систем обеспечения информационной безопасности. Все услуги сгруппированы в единый цикл и включают в себя основные категории, приведенные ниже.

Аудит веб-приложений

Основными целями проведения аудита являются:

Основными задачами, решение которых предусматривает достижение указанных целей в ходе проведения аудита, являются:

При проведении аудита компонентов WEB приложения используется методология Open Web Application Security Project (OWASP), кроме того при проведении некоторых проверок используется собственная методология Компании ЗАО «ДиалогНаука», основанная на методологии и стандартах STIG (Security Technical Implementation Guide) министерства обороны США а также рекомендациях по безопасности вендоров ПО и средств защиты информации.

Аудит проводится в 3 этапа:

Тестирование методом Black Box
На данном этапе проводятся проверки, без использования аутентификационной и какой либо другой информации о WEB приложении.

Тестирование методом Grey Box
На данном этапе проводятся те же самые проверки, что и на первом этапе, но с использованием предоставленной Заказчиком аутентификационной информации и правами обычного пользователя системы. Кроме этого осуществляется попытка эскалации привилегий обычного пользователя вплоть до уровня привилегий администратора.

Тестирование методом Grey Box с использованием результатов прошлого этапа
На данном этапе осуществляются проверки с использованием информации полученной из отчета по прошлому аудиту. Кроме того детально изучаются сетевая топология, архитектура и документационное обеспечение исследуемого приложения.

Автоматический поиск уязвимостей осуществляется с использованием средств анализа защищенности Nessus Professional, HP Webinspect и Accuentix. При этом используются как профайлы OWASP, так и собственные профайлы разработанные Компанией ЗАО «ДиалогНаука». После автоматизированного поиска уязвимостей, проводиться ручной поиск уязвимостей, включающий в себя, как стандартные проверки OWASP, так и дополнительные, в том числе основанные на информации, полученной при автоматизированном поиске.

Отчетные документы

По результатам проведения аудита подготавливаться следующие документы:

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».