Меню

+7 (495) 150 36 83
Тестирование на проникновение и анализ защищенности (ПЕНТЕСТ)

Тестирование на проникновение и анализ защищенности (ПЕНТЕСТ)

ПЕНТЕСТ – это тестирование на проникновение и анализ защищенности внешней или внутренней IT-инфраструктуры, программного обеспечения или приложения, комплексный аудит безопасности и тестирование доступа беспроводных сетей, стресс-тесты защищенности системы компании.

Период действия: 1 год


Сроки проведения работ: от 20 рабочих дней
Стоимость: от 500 000 рублей
Дополнительные услуги: Повышение квалификации 
Поставка и внедрение средств защиты
Услуги по оценке защищенности
Непрерывный мониторинг - Continuous Penetration Testing
Услуги нагрузочного тестирования
Построение и поддержка процессов безопасной разработки
ИБ консалтинг и соответствие требованиям регуляторов
Компьютерная криминалистика
Специальное обследование помещений

Требования к исполнителям


Финансовые организации (банки) и некредитные финансовых организации (НФО) имеют право самостоятельно проводить тестирование на проникновение и выявление недостатков в системе защиты, если штатные специалисты по ИБ имеют необходимую компетенцию. В Положениях Банка России нет четких требований по привлечению сторонних исполнителей для выполнения работ, но есть рекомендации по обязательному наличию у исполнителей лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (постановление Правительства № 79 от 03.02.2012 года.)

Центр Защиты Информации имеет лицензию ФСТЭК по ТЗКИ № Л024-00107-00/00583065, необходимую для реализации мероприятий по тестированию на проникновение и анализу безопасности любой степени сложности и в любом регионе Российской Федерации.
 

Требования контролирующих органов по проведению пентеста
 

Тестирование на проникновение и анализ информационной безопасности объектов IT-инфраструктуры регулируются нормативно-правовыми актами и нормативно-методическими документами:

  • Положение Банка России № 683-П от 17.04.2019 г. – необходимость для кредитных организаций проведения ежегодного тестирования на проникновение и анализ уязвимостей ИБ объектов информационной инфраструктуры (подпункт 3.2)
  • Положение Банка России № 716-П от 8 апреля 2020 г. – необходимость в ежегодном тестировании уязвимостей ИС и (или) их компонентов и других источников риска ИС ежегодное тестирование для кредитных организаций (подпункт 8.8);
  • Положение Банка России № 719-П от 04.06.2020 г. – необходимость в ежегодном тестировании на проникновение и анализ уязвимостей ИБ объектов информационной инфраструктуры для операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры (подпункт 1.1);
  • Положение Банка России № 757-П от 20.04.2021 г. – необходимость в ежегодном тестировании на предмет проникновений и анализ уязвимостей ИБ объектов информационной инфраструктуры для некредитных финансовых организаций, реализующих усиленный и стандартный уровни защиты (подпункт 1.4.5);
  • ГОСТ Р 57580 Безопасность финансовых (банковских) операций. ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. Базовый состав организационных и технических мер – этот стандарт определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер защиты, которые должны применяться финансовыми организациями для выполнения требований по обеспечению защиты, установленных нормативными актами Банка России. Необходимость тестирования на этапе ввода в эксплуатацию АС и ежегодного тестирования на этапе эксплуатации (сопровождение) АС.

Виды тестирования и анализа защищенности

  1. Тестирование на проникновение и проверки защищенности внешней IT-инфраструктуры.
    Оценка защищенности информационных систем Заказчика от возможных атак нарушителя из сети Интернет.
  2. Тестирование на проникновение и анализ уязвимостей внутренней IT-инфраструктуры компани. 
    Оценка защищенности офисной сети Заказчика от возможных атак нарушителя, «гостя», получившего доступ к сети на прямую, через взлом кого-либо из сотрудников компании или через взлом оборудования, подключенного в сеть.
  3. Анализ защищенности беспроводных сетей. 
    Оценка защищенности беспроводных сетей компании Заказчика от возможных атак нарушителя и анализ нежелательных беспроводных сетей на территории офиса Заказчика.
  4. Стресс-тесты защищенности IT-инфраструктуры компании.
    Выявление наиболее критичных недостатков, ведущих к рискам получения несанкционированного доступа к конфиденциальной информации, управлению IT-ресурсами или к локальной сети компании через внешний периметр системы.
  5. Пентест информационных систем и приложений.
    Преднамеренная атака с целью проникновения и выявления слабых мест.

Гарантии надежности

Высокопроизводительная защита нового поколения

Профессиональные консультации

Мы оказываем консультации более 10 лет

Дорожная карта

Мы доводим соискателей до поставленных целей

Конфиденциальность

Охраняем конфиденциальную информацию наших клиентов

Взаимодействие

На протяжении всех этапов работ взаимодействуем с Заказчиками

Гарантия качества

Мы даем 100 % гарантию на оказываемые услуги

Результат

Мы выполняем поставленные задачи точно в срок

Алгоритм действий

Мы помогаем соискателю увидеть сложную картину лицензирования в доступной форме

Информирование

Информируем на протяжении всех этапов лицензирования

Стоимость аттестации защищаемого помещения

Стоимость аттестации типового помещения на текущий момент составляет от 500 тыс./руб. (вместе с поставкой, установкой и настройкой средств защиты информации)
В цену также входит:

Есть вопросы?

Оставьте свои данные, мы перезвоним Вам и ответим на все вопросы

Нажимая на кнопку “Оставить заявку”, Вы даете согласие на обработку персональных данных, согласно политике конфиденциальности

Какие виды проводим мы

  • BLACK BOX

Метод «черный ящик» – это способ тестирования функционального поведения программной системы с точки зрения внешнего мира. При тестировании способом (черного ящика) программа рассматривается как объект, внутренняя структура которого неизвестна. Тестировщик имеет доступ к ПО только через те же интерфейсы, что и заказчик или пользователь.

  • GRAY BOX

Метод «серый ящик» подразумевает, что в процессе тестирования выполняются подходы методом белого и черного ящика. Этот способ, как правило, используется при тестировании веб-приложений, когда тестировщик знает принципы функционирования технологий, на которых построено приложение, но может не видеть кода самого приложения.

  • WHITE BOX

Метод «белый ящик» - тестирование, при котором тестировщик имеет доступ к коду. Его еще называют тестированием стеклянного ящика или прозрачного ящика. Тесты основаны на знании кода приложения и его внутренних механизмов. Метод белого ящика часто используется на стадии, когда приложение еще не собрано воедино. Но необходимо проверить каждый из его компонентов, модулей, процедур и подпрограмм.

Методика реализации работ


Методика выполнения работ представляет собой последовательность действий, проводимых командой Исполнителя для выполнения аудита безопасности информационных ресурсов Заказчиков.

Также подразумевается использование других методик Исполнителя по «penetration testing» ИС и применение следующих международных стандартов и практик:

  • Penetration Testing Execution Standard (PTES);
  • Common Weakness Enumeration (CWE) List of Software & Hardware Weakness Types
  • Open Source Security Testing Methodology Manual (OSSTMM);
  • Web Application Security Consortium (WASC) Threat Classification;
  • Open Web Application Security Project (OWASP) Testing Guide;
     


В ходе исполнения работ используются как ручные проверки, так и проверки с использованием инструментов автоматизации поиска незащищенности.

Работы направлены на выявление недостатков и возможности эксплуатации уязвимостей, ведущих к получению несанкционированного доступа к закрытым компонентам системы или повышению привилегий в ИТ-инфраструктуре Заказчика.

Инструментом для расчета уровня опасности уязвимостей служит методика OWASP Risk Rating Methodology (https://owasp.org/www-community/OWASP_Risk_Rating_Methodology), расчёт уровня риска которой основан на двух ключевых критериях оценки: вероятность обнаружения и возможный ущерб от эксплуатации и эксплуатации незащищенности.

Что включает типовой отчет по результатам анализа?


Содержание
 

  1. Введение
  2. Информация о проекте
  3. Цели и задачи
  4. Краткое описание результатов
  5. Подробное описание результатов
  6.  Границы проведения работ и описание объектов тестирования
  7.  Условия проведения работ
  8. Модель нарушителя
  9. Методика проведения работ
  10. Подробное описание обнаруженных уязвимостей
  11. Приложения
  12.  Используемые сокращения
  13.  Используемые сокращения
  14. Средства тестирования
  15. Перечень ресурсов, полученных в ходе активного сбора данных
  16. Перечень полученной конфиденциальной информации
  17. Протокол внесения изменений
Свернуть Развернуть

Почему всё больше клиентов выбирают нас?

За 10 лет мы завоевали репутацию компании, которой можно доверить все вопросы, связанные с защитой информации. Благодаря нашей слаженной и профессиональной работе наши клиенты становятся нашими постоянными заказчиками, открывают новые направления деятельности в сфере информационной безопасности и рекомендуют нас своим бизнес-партнерам.

Соблюдение сроков

Грамотно организованный процесс работы позволяет нам выполнять наши договорные обязательства в сжатые сроки без потери качества. Накопленный опыт систематизируется и помогает оптимизировать процессы на всех этапах работ.

Профессионализм сотрудников

Высокий уровень знаний и навыков в информационной безопасности нашей команды позволяет контролировать процессы, анализировать и применять новые методы для решения поставленных задач. Мы развиваемся, повышаем квалификацию и уровень профессионализма для достижения наилучших результатов.

Передовые технологии

В постоянно меняющейся среде, каждая организация стремится быть на шаг впереди своих конкурентов – и наша компания это понимает. Поэтому мы предлагаем своим клиентам передовые решения, которые направлены на успешное выполнение целей и реализацию поставленных задач.

Актуальная законодательная база

Оперативное реагирование на изменения в законодательстве требует непрерывного внимания для обновления внутренних процедур организации. Мы отслеживаем изменения и разрабатываем документы согласно новых требований.

Индивидуальный подход

Внимательное отношение ко всем возникающим в процессе совместной работы вопросам и оперативность в их решении – ключевой принцип нашей компании. Мы ценим время наших клиентов, поэтому находим оптимальное решение для каждой задачи с полным информированием наших клиентов обо всех процессах

Мы обеспечиваем

Чтобы получить больше ответов на имеющиеся вопросы, в том числе уточнить стоимость, просто позвоните нам по телефону: +7(495)150-36-83 или напишите запрос на почту: sales@info-security.su

Отправить заявку

Часто задаваемые вопросы

Что такое пентест и зачем его проводить?
Чтобы привести защищенность информационной инфраструктуры в соответствии с требованиями регуляторов (382-П, 683-П, 684-П, 716-П, 719-П, 757-П, ГОСТ Р 57580 и т.д.)
Тестирование на проникновение помогает выявить и устранить уязвимости, повышая уровень эффективности информационной инфраструктуры внутри компании.
Какие виды пентеста бывают?
Виды пентеста:
- Анализ исходного кода;
- Тестирование на проникновение внешнего периметра;
- Тестирование на проникновение внутреннего периметра;
- Тестирование на проникновение сайта и веб-приложений;
- Тестирование на проникновение мобильных приложений;
- Тестирование на проникновение Wi-Fi сетей;
- Социотехническое тестирование на проникновение.
Какие виды пентеста существуют?
BLACK BOX
Метод «черный ящик» – это способ тестирования функционального поведения программной системы с точки зрения внешнего мира. При тестировании способом (черного ящика) программа рассматривается как объект, внутренняя структура которого неизвестна. Тестировщик имеет доступ к ПО только через те же интерфейсы, что и заказчик или пользователь.

GRAY BOX
Метод «серый ящик» подразумевает, что в процессе тестирования выполняются подходы методом белого и черного ящика.
Этот способ, как правило, используется при тестировании веб-приложений, когда тестировщик знает принципы функционирования технологий, на которых построено приложение, но может не видеть кода самого приложения.

WHITE BOX
Метод «белый ящик» - тестирование, при котором тестировщик имеет доступ к коду. Его еще называют тестированием стеклянного ящика или прозрачного ящика.
Тесты основаны на знании кода приложения и его внутренних механизмов.
Метод белого ящика часто используется на стадии, когда приложение еще не собрано воедино. Но необходимо проверить каждый из его компонентов, модулей, процедур и подпрограмм.

Многие корпоративные сети уязвимы.
А ваша?

Усильте свою безопасность, оставьте заявку на тестирование прямо сейчас