Ваша защита и безопасность!

Каталог услуг

Защита информации

Построение систем защиты персональных данных

 

ООО ГК «Армада-ИБ» предлагает полный комплекс работ по построению системы защиты персональных данных (СЗПДн) и приведению текущего порядка обработки и защиты ПДн в соответствие требованиям законодательства РФ, в частности, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и подзаконных нормативных актов.

 

В рамках комплекса работ ООО ГК «Армада-ИБ» оказывает следующие услуги:

 

- обследование объектов информатизации заказчика и оценка текущей степени соответствия требованиям законодательства РФ, выработка рекомендаций по устранению выявленных несоответствий;

- разработка моделей угроз и нарушителей безопасности ПДн;

-    разработка комплекта внутренней нормативной и организационно-распорядительной -

-    документации в области обработки и защиты ПДн, необходимой для приведения в соответствие требованиям законодательства РФ;

-    техническое проектирование и внедрение средств защиты информации СЗПДн,

-    необходимых для приведения в соответствие требованиям законодательства РФ;

- методологическое и консультационное сопровождение проверок со стороны уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор).

 

При проведении работ существенное внимание уделяется снижению затрат на внедрение технических и программных средств защиты информации за счет интеграции решений по защите ПДн в существующую ИТ-инфраструктуру заказчика, а также минимизации изменений, вносимых в действующие бизнес-процессы.

 

ООО ГК «Армада-ИБ» обладает возможностями по сертификации (при необходимости) имеющегося у заказчика активного сетевого оборудования и средств защиты информации для выполнения требований п. 3 ч. 2 статьи 19 ФЗ-152 (применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации).

 

Перед внедрением средства защиты информации обязательно проходят испытания в тестовой лаборатории  ООО ГК «Армада-ИБ», проверяется корректность совместной работы средств защиты информации разных производителей и их влияние на эффективность автоматизации бизнес-процессов.

 

Тестирование на проникновение

 

Тестирование на проникновение – это имитация действий потенциального злоумышленника с целью оценки возможности несанкционированного доступа к корпоративной информационной системе и демонстрации уязвимостей существующей системы информационной безопасности (ИБ). Тестирование на проникновение позволяет выявить уязвимости и слабые места в системе ИБ до того, как это сделают злоумышленники, оценить «практическую» защищенность от атак из «реального мира».

 

Имитация действий потенциального злоумышленника в процессе тестирования выполняет следующие задачи:

 

выявление недостатков и уязвимостей в используемых информационных системах, программном обеспечении, применяемых мерах информационной безопасности и оценка возможности их использования;

практическая демонстрация возможности использования уязвимостей (на примерах);

получение комплексной оценки текущего уровня защищенности организации и ее внешних сервисов.

После окончания тестирования осуществляется:

 

выработка конкретных рекомендаций по устранению выявленных недостатков и повышению уровня защищенности организации;

консультации и участие специалистов АМТ-ГРУП в работах по устранению выявленных уязвимостей и недостатков;

проведение последующих тестов и испытаний (после устранения уязвимостей и недостатков) для подтверждения эффективности реализованных мер.

Методы тестирования

 

Тестирование на проникновение проводится со стороны внешнего и внутреннего злоумышленников и предполагает использование различных методов:

 

Метод «черного ящика» – имитация нарушителя, не обладающего никакими сведениями об организации и доступом к ее корпоративной сети.

Метод «серого ящика» – имитация нарушителя, обладающего ограниченными знаниями об организации, ее корпоративной сети и системе защиты. Нарушитель может обладать действующей пользовательской учётной записью с ограниченным привилегиями в отдельных информационных системах (например, рядовой работник, клиент, имеющий удаленный доступ к системе).

Метод «белого ящика» – имитация нарушителя, который является администратором, либо иным пользователем, хорошо осведомленным о корпоративной сети и системе защиты. Нарушитель обладает действующей пользовательской учётной записью, в том числе административной.

Технологии тестирования на проникновение

 

 

Тестирование на базе технических методов

 

С позиции потенциального злоумышленника осуществляются санкционированные попытки обойти существующие средства защиты, выявляются возможные сценарии проникновения в корпоративную сеть и достижения целей тестирования (например, получение прав доступа, кража конфиденциальной информации, внесение изменений в информационные системы, нарушение работы отдельных компонентов сети и системы безопасности или бизнес-процессов).

 

 

 

Основные этапы работ

Тестирование на базе социотехнических методов:

 

С применением методов социальной инженерии, используя «человеческий фактор». осуществляются санкционированные попытки получения несанкционированного доступа к корпоративной сети и защищаемым активам целевой организации. Методы, как правило, направлены на пользователей конечных систем и позволяют определить реакцию персонала в различных штатных и нештатных ситуациях, уровень осведомленности и знаний персонала о требованиях безопасности.

 

Описание некоторых примеров социотехнических методов

 

Фишинг          Формирование фальшивой веб-страницы легального сервиса (например, страницы удаленного доступа к почте), и побуждение пользователей к вводу конфиденциальных данных (например, паролей) на ней

Троянский конь         Отправка пользователям писем с вредоносными вложениями и побуждение к их открытию за счет целевых сопроводительных писем, наименований файлов, сопроводительных звонков и иных подходов

Претекстинг  Моделирование определенного сценария, предполагающего вход в доверие к пользователю (за счет предварительного сбора данных об организации и отдельных работниках и их зонах ответственности), с целью побудить пользователя выполнить определенное действие. Например, звонки пользователям под видом потенциально доверенных для них лиц (внешних или внутренних) с целью получения конфиденциальной информации

Дорожное яблоко     Подбрасывание в общедоступных местах организации (лифт, столовая, парковка) инфицированных носителей информации с мотивирующими к их запуску логотипами/бирками/именами файлов

«Квид про кво»         Звонки пользователям из службы поддержки с сообщениями о проблемах на их персональных компьютерах и предложением помощи в ее решении

«Обратная» социальная инженерия»       Отправка пользователям электронных писем с доверенных адресов с контактами «службы поддержки», создание неполадок на компьютерах и ожидание звонков/писем для исправления проблем, в процессе которых можно получить необходимые данные

Оставить заявку
- поля, обязательные для заполнения
Ваша заявка успешно отправлена
Не удалось отправить заявку