Проведение анализа защищенности корпоративной информационной системы Компании путем проведения внешнего и внутреннего тестирования на проникновение позволит получить абсолютно независимую оценку защищенности, что позволит своевременно минимизировать возможные риски информационной безопасности. Основная цель тестирования – нарушение одного или нескольких свойств защищаемых информационных активов: конфиденциальности, целостности, доступности.
Этапы работы
- Экспертное обследование организационных и технических механизмов защиты.
- Внешнее тестирование на проникновение.
- Внутреннее тестирование на проникновение, включая:
- тестирование повышения привилегией в ИТ-сервисах авторизованными пользователями и получения не предназначенной им информации;
- тестирование на получение доступа к информации руководителей, хранящейся в публичном облаке, доступ к которому осуществляется с корпоративных устройств;
- тестирование на получение доступа к информации, хранящейся в корпоративной сети путем получения физического доступа к работающей заблокированной рабочей станции (через USB).
- Тестирование на проникновение через беспроводные сети.
- Проведение анализа защищенности с использованием методов социальной инженерии.
- Анализ выполненных работ и разработка рекомендаций.
- Повторное тестирование по итогам устранения обнаруженных уязвимостей.
- Оформление отчёта по результатам аудита.
Результаты работы
Рекомендации по повышению текущего уровня защищенности корпоративной информационной системы оформлены в виде Экспертного заключения, включающего:
- описание начальных условий исследования и постановку задачи;
- описание проведенных работ с детализацией действий (сценарии атак), которые приводили к выявлению уязвимостей или изменению возможностей Исследователя, а также решение об отказе от выполнения запрашиваемых действий;
- используемые модели нарушителя;
- перечень компонентов корпоративной информационной системы;
- перечень обнаруженных уязвимостей, ошибок конфигурации и других выявленных недостатков с точки зрения информационной безопасности;
- результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе в рамках различных фаз тестирования;
- оценку степени критичности обнаруженных уязвимостей для обеспечения информационной безопасности Компании;
- заключение по текущему уровню защищенности тестируемой Системы;
- подробные рекомендации по повышению уровня защищенности тестируемой Системы, в том числе – рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты.
Перейти к тестированию
Какие требования информационной безопасности необходимо выполнить Вашей организации?
3 из 4 компаний не знают законодательство РФ по защите информации!
Ответьте на несколько простых вопросов и получите рекомендации бесплатно.
Перейти к тестированиюОтветьте на несколько простых вопросов и получите рекомендации бесплатно.