Услуги информационной безопасности и ИТ

Комплексное обследование ИТ-инфраструктуры на предмет угроз безопасности, оценка рисков и проверка соответствия требованиям законодательства. Выявление слабых мест и формирование дорожной карты по их устранению.

• Экспертный аудит организационных и технических мер защиты информации
• Сканирование ИТ-инфраструктуры на уязвимости сертифицированными сканерами
• Анализ архитектуры информационных систем и сетевой инфраструктуры
• Проведение интервью с ключевыми сотрудниками и анализ процессов ИБ
• и ещё 4...

Специализированный аудит для финансовых организаций по требованиям ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018. Оценка уровня соответствия стандартам Банка России, подготовка рекомендаций по улучшению показателей.

• Определение области оценки и формирование программы аудита
• Анализ организационно-распорядительной документации по ИБ
• Проведение интервью с ответственными за ИБ руководителями и специалистами
• Проверка организационных и технических мер защиты информации
• и ещё 4...

Всесторонняя оценка ИТ-инфраструктуры и системы информационной безопасности. Проверка соответствия требованиям регуляторов, анализ эффективности инвестиций, выявление зон риска. Единый отчёт с рекомендациями.

• Аудит ИТ-инфраструктуры (сети, серверы, СХД, виртуализация)
• Аудит информационной безопасности (организация и техника)
• Проверка соответствия требованиям регуляторов (ФСТЭК, ФСБ)
• Оценка эффективности инвестиций в ИТ и ИБ
• и ещё 3...

Полный цикл работ по построению системы технической защиты: от выявления каналов утечки до внедрения сертифицированных средств защиты и последующего мониторинга. Категорирование данных, разработка технического проекта, обучение персонала.

• Обследование объекта и выявление каналов утечки информации (ПЭМИН, акустика, вибрация)
• Категорирование защищаемых данных и информационных систем
• Разработка технического проекта системы технической защиты информации
• Формирование базового набора мер защиты информации по приказам ФСТЭК
• и ещё 4...

Построение системы защиты коммерческой тайны и иной конфиденциальной информации. Разработка режима защиты согласно приказам ФСТЭК № 21 и № 17, внедрение организационных и технических мер.

• Определение перечня конфиденциальной информации и категорирование систем
• Разработка положения о коммерческой тайне и режима конфиденциальности
• Внедрение систем разграничения доступа (Secret Net Studio, Dallas Lock)
• Внедрение DLP-системы для предотвращения утечек данных
• и ещё 4...

Обеспечение безопасности автоматизированных систем управления технологическими процессами согласно приказу ФСТЭК № 31. Аудит промышленной сети, сегментация, внедрение специализированных средств защиты.

• Аудит промышленной сети и инвентаризация оборудования АСУ ТП
• Анализ уязвимостей промышленных протоколов (Modbus, OPC, Profinet)
• Сегментация сети по модели Purdue (ISA/IEC 62443)
• Разработка модели угроз безопасности информации АСУ ТП
• и ещё 4...

Поставка, установка и настройка сертифицированных средств защиты информации. Работа с решениями: Secret Net, Dallas Lock, ViPNet, Kaspersky, UserGate, С-Терра, Astra Linux и другими.

• Подбор сертифицированных средств защиты информации из реестра ФСТЭК
• Поставка оборудования, программных лицензий и сертификатов ФСТЭК
• Проектирование архитектуры защиты и схем размещения СЗИ
• Установка и первичная настройка средств защиты информации
• и ещё 4...

Сопровождение и администрирование средств защиты информации. Четыре уровня SLA — от базового до премиального. Время реакции от 1 часа, выездное обслуживание, взаимодействие с вендорами.

• Мониторинг и диагностика работы средств защиты информации
• Оперативное устранение инцидентов и сбоев СЗИ
• Администрирование систем, политик безопасности и учётных записей
• Установка и проверка обновлений и патчей безопасности
• и ещё 4...

Приведение обработки персональных данных в соответствие с требованиями 152-ФЗ и приказами ФСТЭК. Аудит ИСПДн, моделирование угроз, разработка документации, внедрение организационных и технических мер защиты.

• Аудит информационных систем персональных данных (ИСПДн)
• Определение уровня защищённости персональных данных (1-4 УЗ)
• Разработка модели угроз безопасности ИСПДн
• Формирование комплекса организационных и технических мер по приказу ФСТЭК 21
• и ещё 4...

Построение системы защиты ГИС в соответствии с приказом ФСТЭК № 17. Классификация системы, моделирование угроз, разработка технического проекта, внедрение необходимых мер защиты и аттестация.

• Определение класса защищённости государственной информационной системы
• Разработка модели угроз безопасности ГИС с использованием БДУ ФСТЭК
• Формирование базового набора мер защиты информации в ГИС по приказу ФСТЭК 17/117
• Проектирование системы защиты с выбором сертифицированных СЗИ
• и ещё 4...

Полный комплекс работ по обеспечению безопасности КИИ согласно 187-ФЗ: категорирование объектов, создание системы защиты, подключение к ГосСОПКА, расчёт показателей состояния защищённости.

• Формирование комиссии и проведение категорирования объектов КИИ
• Подготовка перечня объектов КИИ, подлежащих категорированию
• Оформление актов категорирования и направление в ФСТЭК России
• Проектирование системы безопасности значимых объектов КИИ по приказу ФСТЭК 239
• и ещё 4...

Аттестация ИС по требованиям безопасности информации согласно приказу ФСТЭК № 77. Полный цикл аттестационных испытаний с получением аттестата соответствия и занесением в реестр ФСТЭК.

• Предаттестационное обследование и анализ готовности ИС
• Формирование аттестационной комиссии и программы испытаний
• Документарная проверка технической и эксплуатационной документации
• Технический аудит конфигурации средств защиты информации
• и ещё 5...

Подготовка организационно-распорядительной документации по информационной безопасности: модели угроз, технические задания на СЗИ, политики безопасности, инструкции. Соответствие требованиям ФСТЭК, ФСБ, регуляторов.

• Разработка модели угроз безопасности информационной системы
• Формирование политики информационной безопасности организации
• Подготовка полного комплекта организационно-распорядительной документации
• Разработка технического задания на систему защиты информации
• и ещё 4...

Стратегический план развития информационной безопасности и ИТ-инфраструктуры. Оценка текущего состояния, определение целевой модели, поэтапный план внедрения изменений, расчёт бюджета и сроков.

• Комплексная оценка текущего состояния ИТ и ИБ (as-is)
• Определение целевой модели с учётом стратегии бизнеса (to-be)
• Разработка поэтапного плана перехода
• Приоритизация инициатив и формирование графика
• и ещё 2...

Комплексная проверка безопасности ИТ-инфраструктуры: автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Оценка рисков, проверка настроек, тестирование контроля доступа.

• Автоматизированное сканирование уязвимостей сертифицированными сканерами
• Ручной анализ конфигураций средств защиты информации
• Проверка правил межсетевых экранов и политик контроля доступа
• Тестирование механизмов аутентификации и разграничения доступа
• и ещё 4...

Пентест информационных систем по методологии Black/Gray/White Box. Тестирование внешнего и внутреннего периметра, веб-приложений, беспроводных сетей, мобильных приложений. Имитация действий реальных злоумышленников.

• Планирование и разведка целевой инфраструктуры (OSINT)
• Сканирование и анализ уязвимостей внешнего и внутреннего периметра
• Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
• Пентест веб-приложений по OWASP Top 10
• и ещё 4...

Внедрение практик безопасной разработки ПО. Интеграция инструментов SAST, DAST, SCA в процессы CI/CD. Построение контура DevSecOps согласно ГОСТ Р 56939-2016.

• Обследование процессов DevOps и оценка зрелости безопасной разработки
• Разработка документации по ГОСТ Р 56939-2016
• Проектирование контура DevSecOps с security gates
• Внедрение SAST (статический анализ исходного кода)
• и ещё 4...

Проверка персонала на устойчивость к социальной инженерии. Имитация фишинговых атак, обучающие семинары, повторное тестирование. Формирование культуры информационной безопасности.

• Разведка (OSINT) и сбор информации о сотрудниках
• Разработка сценариев фишинговых атак под специфику организации
• Проведение контролируемой фишинговой рассылки с отслеживанием
• Анализ результатов по подразделениям и должностям
• и ещё 3...

Круглосуточный мониторинг событий информационной безопасности на базе SIEM/XDR/EDR. Обнаружение инцидентов, анализ угроз, оперативное реагирование. Собственный SOC-центр КРЕДО-С.

• Аудит ИТ-инфраструктуры и определение источников событий безопасности
• Настройка централизованного сбора логов и интеграция с SIEM
• Разработка корреляционных правил и моделей поведения
• Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
• и ещё 4...

Компьютерная криминалистика и расследование инцидентов информационной безопасности. Анализ индикаторов компрометации, определение векторов атак, сбор цифровых доказательств, восстановление хронологии событий.

• Экстренное реагирование на инцидент и локализация угрозы
• Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
• Анализ индикаторов компрометации (IoC) и вредоносного ПО
• Восстановление хронологии событий и вектора атаки
• и ещё 4...

Managed Security Services: управляемая безопасность как сервис. XDR, SIEM, IDS, WAF, Sandbox в облачной модели. Экономия на инфраструктуре и персонале при сохранении высокого уровня защиты.

• Managed XDR на платформе F.A.C.C.T. (F6)
• SIEM как сервис (RuSIEM, MaxPatrol SIEM, KUMA)
• ViPNet IDS в связке с системой анализа угроз TIAS
• WAF как сервис для защиты веб-приложений
• и ещё 4...

Контроль безопасности обновлений программного обеспечения. Сканирование на вредоносный код, тестирование в изолированной среде, безопасная доставка на рабочие станции. Защита от компрометации через цепочку поставок.

• Перехват обновлений перед установкой на рабочие станции
• Многоуровневое сканирование антивирусными движками
• Тестирование в изолированной среде (sandbox) с мониторингом поведения
• Статический анализ исполняемых файлов на подозрительные конструкции
• и ещё 3...

Проектирование и внедрение корпоративной ИТ-инфраструктуры: локальные и территориально-распределённые сети, облачные решения, центры обработки данных, серверное оборудование, системы виртуализации.

• Проектирование корпоративных сетей (LAN, WAN, VPN, MPLS)
• Разработка облачных решений (частные, гибридные облака)
• Проектирование центров обработки данных
• Подбор и поставка серверного оборудования
• и ещё 3...

Миграция на отечественное программное обеспечение и оборудование. Переход с Windows на Astra Linux, замена Check Point на UserGate, миграция с Active Directory на ALD Pro. Комплексное сопровождение процесса.

• Анализ текущей инфраструктуры, зависимостей и лицензий
• Подбор отечественных аналогов для замещаемого ПО и оборудования
• Пилотное внедрение и тестирование совместимости на тестовом контуре
• Разработка плана поэтапной миграции с минимизацией простоя
• и ещё 3...

Непрерывный мониторинг работоспособности ИТ-систем на базе Zabbix. Контроль доступности серверов, сетевого оборудования, приложений. Диагностика проблем, анализ производительности, оповещения о сбоях.

• Развёртывание системы мониторинга Zabbix
• Настройка контроля серверов, сетей, СУБД, приложений
• Конфигурирование триггеров и автоматических оповещений
• Создание дашбордов для визуализации состояния инфраструктуры
• и ещё 3...

Облачные сервисы и услуги центра обработки данных: частные и гибридные облака, резервное копирование, оркестрация контейнеров Kubernetes, модернизация ЦОД, аренда вычислительных мощностей.

• Проектирование и развёртывание частных облаков (VMware, Proxmox, OpenStack)
• Разработка гибридных облачных решений
• Системы резервного копирования в облако (Кибер Бэкап)
• Оркестрация контейнеров Kubernetes
• и ещё 3...

Комплексный аутсорсинг управления ИТ-инфраструктурой: мониторинг систем, устранение инцидентов, управление патчами, техподдержка пользователей. Три уровня SLA под различные потребности бизнеса.

• Централизованное управление ИТ-сервисами заказчика
• Непрерывный мониторинг и автоматические оповещения (Zabbix)
• Регулярный аудит и инвентаризация оборудования
• Ведение базы данных конфигураций (CMDB)
• и ещё 3...

Разработка программного обеспечения под специфические требования заказчика. Приложения для российских операционных систем (Astra Linux, РЕД ОС). Полный цикл: от анализа требований до внедрения и сопровождения.

• Анализ требований и разработка технического задания
• Проектирование архитектуры, UX/UI и интерфейсов интеграции
• Программирование серверной и клиентской частей
• Тестирование функциональности и безопасности (ГОСТ Р 56939-2016)
• и ещё 3...