КРЕДО-С

Анализ защищённости

Комплексная проверка безопасности ИТ-инфраструктуры: автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Оценка рисков, проверка настроек, тестирование контроля доступа.

Услуга «Анализ защищённости» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Комплексная проверка безопасности ИТ-инфраструктуры: автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Оценка рисков, проверка настроек, тестирование контроля доступа. Категория: Пентест и киберучения. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: 117fstec.credos.ru

Описание услуги

Анализ защищённости — оценка защищённости информационных систем и сетевой инфраструктуры путём выявления технических уязвимостей. В отличие от аудита информационной безопасности, который фокусируется на организационных мерах и соответствии требованиям регуляторов, анализ защищённости направлен на практическое тестирование технических мер защиты информации и обнаружение реальных уязвимостей.

Оценка защищённости информационных систем ФСТЭК является обязательной процедурой при расчёте показателя защищённости КЗИ по приказу ФСТЭК №117 и входит в перечень мер защиты информации по приказам ФСТЭК 17, 21, 239. Для объектов критической информационной инфраструктуры оценка уровня защищённости информационных систем проводится не реже одного раза в год.

Этапы анализа защищённости:

Планирование — определение границ тестирования, согласование методологии и инструментария, формирование перечня проверяемых систем и сервисов. Учитываются требования к тестируемой системе (ГИС, ИСПДн, объект КИИ) и актуальные угрозы из Банка данных угроз ФСТЭК (БДУ ФСТЭК).

Автоматизированное сканирование уязвимостей — применяются сертифицированные сканеры безопасности для быстрого выявления известных уязвимостей в сетевых сервисах, веб-приложениях, операционных системах, СУБД. Результаты сканирования верифицируются для исключения ложных срабатываний. Используется база данных БДУ ФСТЭК России для идентификации уязвимостей, актуальных для российского ИТ-ландшафта.

Ручной анализ конфигураций — проверка настроек средств защиты информации: правил межсетевых экранов, политик контроля доступа, настроек антивирусной защиты, конфигурации систем обнаружения вторжений. Оценивается корректность сегментации сети, наличие избыточных прав доступа, качество парольной политики, актуальность обновлений программного обеспечения.

Тестирование механизмов безопасности — проверка идентификации и аутентификации, разграничения доступа, регистрации событий безопасности, резервного копирования. Оценивается устойчивость к типовым атакам: перебор паролей, эксплуатация известных уязвимостей, попытки обхода средств защиты.

Формирование отчёта — результаты классифицируются по уровням критичности (критический, высокий, средний, низкий) в соответствии с CVSS. Для каждой уязвимости указываются: описание, затронутые активы, потенциальный ущерб, рекомендации по устранению с указанием приоритета. Формируется расчёт показателя защищённости для приказа ФСТЭК №117.

КРЕДО-С проводит оценку защищённости информационных систем с использованием собственной методологии, основанной на стандартах NIST SP 800-115, OWASP, БДУ ФСТЭК. Лицензии ФСТЭК и ФСБ России, опыт работы с информационными системами всех классов защищённости.

Что входит

  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • Верификация уязвимостей по базе БДУ ФСТЭК России
  • Оценка рисков с классификацией по CVSS
  • Рекомендации по устранению уязвимостей с приоритизацией
  • Расчёт показателя защищённости для приказа ФСТЭК №117

Результаты работы

Отчёт об анализе защищённости с перечнем выявленных уязвимостей
Классификация уязвимостей по уровням критичности (CVSS)
Рекомендации по устранению с указанием приоритетов
Расчёт показателя защищённости КЗИ
Повторное сканирование после устранения критичных уязвимостей

Преимущества

Методология на основе NIST SP 800-115, OWASP, БДУ ФСТЭК

Комбинация автоматизированного сканирования и ручного анализа

Верификация каждой уязвимости для исключения ложных срабатываний

Опыт тестирования ГИС, ИСПДн, объектов КИИ всех классов

Лицензии ФСТЭК и ФСБ России

Проекты по этой услуге

Тестирование на проникновение в инфраструктуру аэрокосмического университета
Образование
NDA
2023

Тестирование на проникновение в инфраструктуру аэрокосмического университета

Пентест

Пентест методом «серого ящика» для выявления уязвимостей информационных систем национального научно-исследовательского университета в сфере аэрокосмических технологий.

  • Проверены все системы и цифровые сервисы на уязвимости
  • Определены «слабые места» ИТ-инфраструктуры университета
  • Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Подробнее о проекте
Пентест ИТ-инфраструктуры российского международного аэропорта
Транспорт
NDA
2023

Пентест ИТ-инфраструктуры российского международного аэропорта

ПентестАнализ защищенности

Тестирование на проникновение для выявления уязвимостей ИТ-инфраструктуры международного аэропорта — объекта критической информационной инфраструктуры.

  • Протестировано на уязвимости более 4 000 АРМ и сымитирована DoS-атака
  • В ОС Windows XP выявлены вредоносные программы на основе вирусов Petya и WannaCry
  • Сформирована модель угроз информационной безопасности с рекомендациями по устранению
Подробнее о проекте
Анализ защищённости ИС авиастроительной корпорации
Авиакосмическая промышленность
NDA
2024

Анализ защищённости ИС авиастроительной корпорации

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры авиастроительной корпорации с полувековой историей и штатом более 2 000 специалистов.

  • Подготовлен Аналитический отчёт по оценке защищённости с подробным анализом уязвимых мест и описанием рекомендуемых точек роста в системе ИБ
  • Подготовлен Технический отчёт по оценке защищённости с подробными рекомендациями по устранению уязвимостей — полнота отчёта позволяет штатным специалистам самостоятельно устранить выявленные уязвимости
  • Выявлены уязвимости с присвоением уровней критичности для правильной приоритизации
Подробнее о проекте
Анализ защищённости предприятия авиакосмического приборостроения
Авиакосмическая промышленность
NDA
2024

Анализ защищённости предприятия авиакосмического приборостроения

Анализ защищенности ИС

Комплексный анализ защищённости ИТ-инфраструктуры научно-производственного предприятия (2 000 сотрудников, 1 300 разработанных изделий).

  • Выявлены уязвимости и определены направления усиления защищённости
  • Проведён анализ конфигурации сетевого оборудования и средств защиты
  • Разработана стратегия развития системы ИБ предприятия
Подробнее о проекте

Другие услуги

Пентест и киберучения

Тестирование на проникновение

Пентест информационных систем по методологии Black/Gray/White Box. Тестирование внешнего и внутреннего периметра, веб-приложений, беспроводных сетей, мобильных приложений. Имитация действий реальных злоумышленников.

  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее
Аудит и оценка

Аудит информационной безопасности

Комплексное обследование ИТ-инфраструктуры на предмет угроз безопасности, оценка рисков и проверка соответствия требованиям законодательства. Выявление слабых мест и формирование дорожной карты по их устранению.

  • Экспертный аудит организационных и технических мер защиты информации
  • Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
  • Анализ архитектуры информационных систем и сетевой инфраструктуры
  • Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
  • и ещё 4...
Подробнее
Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Круглосуточный мониторинг событий информационной безопасности на базе SIEM/XDR/EDR. Обнаружение инцидентов, анализ угроз, оперативное реагирование. Собственный SOC-центр КРЕДО-С.

  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Что такое анализ защищённости?
Анализ защищённости — это комплексная оценка безопасности ИТ-инфраструктуры, включающая автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Цель — выявить технические уязвимости и слабые места в настройках средств защиты информации.
Чем анализ защищённости отличается от пентеста?
Анализ защищённости направлен на выявление и каталогизацию уязвимостей без их активной эксплуатации. Пентест идёт дальше — специалисты пытаются реально эксплуатировать найденные уязвимости, имитируя действия злоумышленника, чтобы продемонстрировать практические последствия.
Какие уязвимости выявляются при анализе защищённости?
Выявляются уязвимости сетевых сервисов, веб-приложений, операционных систем, СУБД, ошибки конфигурации межсетевых экранов, избыточные права доступа, слабые парольные политики и устаревшее ПО. Все находки верифицируются по базе БДУ ФСТЭК и классифицируются по CVSS.
Что получает заказчик по итогам анализа защищённости?
Заказчик получает детальный отчёт с перечнем уязвимостей, классификацией по критичности (CVSS), рекомендациями по устранению с приоритизацией и расчётом показателя защищённости. После устранения критичных уязвимостей проводится повторное сканирование.

Обсудить ваш проект

Рассчитайте класс защищённости онлайн или оставьте заявку для бесплатной консультации

Рассчитать КЗИ