ДиалогНаука

Для эффективного обеспечения информационной безопасности необходимо применять комплексный подход, предусматривающий применение как организационных, так и технических мер защиты.

Компания «ДиалогНаука» предлагает широкий спектр консалтинговых услуг по разработке, внедрению и сопровождению комплексных систем обеспечения информационной безопасности. Все услуги сгруппированы в единый цикл и включают в себя основные категории, приведенные ниже.

Тестирование на проникновение (аудит информационной безопасности)

Аудит информационной безопасности (тест на проникновение) позволяет Компании получить оценку реального уровня защищенности информационных активов в условиях современного состояния методов получения несанкционированного доступа к информационным активам, обрабатываемым в автоматизированных информационных системах организаций. Получение такой оценки обеспечивается путем моделирования атак потенциальных злоумышленников на выбранные информационные активы Компании.

Перечень информационных активов и векторы моделируемых атак определяются на первоначальном этапе проведения теста на проникновение и согласовываются с Компанией.

В качестве целевых для потенциального злоумышленника активов могут выступать как внутренняя корпоративная сеть Компании, так и конкретные информационные системы, в том числе содержащие критичные для Компании данные.

Тест на проникновение позволяет достаточно быстро оценить реальную защищенность выбранных информационных активов от несанкционированного доступа, моделируя наиболее распространенные атаки.

Основной отличительной особенностью теста на проникновение по сравнению с традиционным аудитом информационной безопасности являются:

В настоящее время существует несколько международных методик проведения тестирования на проникновение, ориентированных в основном на моделирование атак, направленных на сетевую инфраструктуру организации:

ДиалогНаука, при проведении работ, использует собственную методику проведения тестов на проникновение, включающую в себя возможность моделирования не только технических атак на информационные ресурсы доступные из сети Интернет (широко применяемых в международных методологиях OSSTMM, ISSAF и PCI DSS), но и атаки, направление на пользователей корпоративных систем (социальная инженерия), беспроводные сети IEEE 802.11(Wi-Fi), 802.15(Bluetooth) и 802.16(Wi-Max), переносные компьютеры и мобильные устройства, а так же атаки с использованием физического или логического доступа к компонентам корпоративной информационной системы.

Перечень моделируемых атак может быть сформирован на этапе подготовки технического задания и дополнительно скорректирован в ходе проведения теста на проникновение.

При проведении работ могут быть проверены следующие векторы проведения атак:

№ п/п Вектор атаки Описание
1 Физический Атаки с использованием непосредственного физического доступа внутрь защищаемого периметра корпоративной сети (если таковой есть)
2 Сетевой Удаленные атаки на сетевые ресурсы и протоколы
3 Электронная почта Атаки с использованием электронной почты (в том числе с элементами социальной инженерии)
4 Приложения Атаки с использованием специфических приложений используемых Заказчиком (например, web портал)
5 Беспроводные сети Атаки направление на беспроводные протоколы передачи данных 802.11(Wi-Fi),802.15(Bluetooth),802.16(Wi-Max)
6 Клиентские приложения Атаки на клиентские приложения
7 Мобильные устройства Атаки на мобильные устройства (мобильные и переносные компьютеры, смартфоны и т.д.)
8 Социальная инженерия Атаки на пользователей с использованием методов социальной инженерии

ДиалогНаука предполагает проведение тестирования на проникновение. Тестирование проводится в один этап и состоит из работ указанных в таблице.

№ п/п Перечень работ Отчетные документы
1 Планирование работ
  • Техническое задание на проведение теста на проникновение
  • 2 Проведение теста на проникновение
  • Рабочие материалы
  • 3 Анализ результатов и подготовка итогового отчета
  • Отчет по результатам проведения аудита информационной безопасности (теста на проникновение)
  • По проведении теста на проникновение разрабатывается отчет о тестировании, как правило, содержащий:

    Так же, для более наглядного представления результатов тестирования, для руководства Заказчика может быть проведена презентация.

    В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

    ВИДЕОМАТЕРИАЛЫ