Инжиниринговый Центр РЕГИОНАЛЬНЫЕ СИСТЕМЫ является одним из ведущих системных интеграторов ЮФО. Компания специализируется на создании комплексных систем информационной безопасности, информационных систем различного уровня сложности и инженерно-технического обеспечения безопасности объектов.
В рамках каждого направления оказывается полный комплекс услуг и работ по реализуемым проектам, тем самым максимально удовлетворяя потребностям заказчиков любого уровня. Данный подход позволяет получить полноценное, законченное решение без последующего привлечения сторонних подрядчиков для этапной реализации и последующего обслуживания построенного решения.
Богатый опыт реализованных проектов и профессиональные кадры позволяют Компании быть надежным Интегратором ваших решений.
Удобное время для связи: с 8:00 до 17:00
Другое
Компьютеры и IT
Опыт
Более 10 лет
Дни работы
по будням
Время работы
с 8:00 по 17:00
Место работы
по адресу и на выездах
по договорённости
Пентест (Pentest) наиболее эффективный инструмент анализа защищенности информационных систем и сетевых ресурсов компании.
Тенденция развития современного общества такова, что мировая экономика неминуемо переходит в цифровую плоскость. И пока компании перестраивают и автоматизируют бизнес-процессы, а информационные ресурсы начинают активно интегрироваться с сетью Интернет, злоумышленники также перемещают свой фокус на киберпространство. Теперь для кражи “кошелька”, ограбления банка или начала войны, хакерам нет необходимости выходить из дома. При этом одна масштабная вредоносная кампания способна нанести ущерб, сопоставимый с доходами небольшого государства.
Сегодня государственные организации и частный бизнес уделяют большое внимание реальной защите данных и минимизации возможного ущерба от инцидентов информационной безопасности.
Самый эффективный способ провести анализ защищенности сетевых ресурсов компании – провести тестирование на проникновение или пентест.
Пентест (Pentest или Penetration test – тест на проникновение) – процедура анализа защищенности информационных систем путем поиска в них уязвимостей и их эксплуатации. В процессе пентеста анализируются различные внутренние и внешние информационные системы.
Пентест проводится, когда необходимо:
- выявить «слабые» места инфраструктуры (оценить, что может предпринять хакер для проникновения в Вашу систему);
- оценить эффективность системы безопасности и получить рекомендации по устранению уязвимостей (быстрое повышение реального уровня защиты);
- проверить качество работы исполнителей по направлению ИБ.
Ключевое преимущество пентеста
Многие останавливаются на этапе «бумажной безопасности», когда формируются все необходимые документы по информационной безопасности, не подозревая о фактически существующих проблемах в безопасности предприятия и о тех последствиях, которые возникнут при использовании их злоумышленниками.
Проведение пентеста показывает реальное состояние защищенности, которое, к сожалению, в 99% случаев отличается от описанного в документах. Вот почему мы рекомендуем не ограничиваться проведением мероприятий по информационной безопасности, требуемых по законодательству, а обязательно проверить систему в «боевом режиме», заказав проведение пентеста.
Как мы работаем?
1. Совместно определим задачи с точки зрения злоумышленника (получение административных прав в домене, получение доступа к базе данных, вмешательство в технологический процесс, установка вредоносных программ, остановка работы определенных сервисов и т.д.).
2. Согласуем детали работ, в т.ч. границы оказания услуги.
3. Проверим возможные способы, которыми злоумышленник может достичь цели.
Анализ защищенности проводится с использованием следующих методов:
- «Черный ящик» У злоумышленника нет санкционированного доступа, нет данных о конфигурации сети и средствах защиты информации. Имитируются действия хакера.
- «Серый ящик». Имеется санкционированный доступ в систему и ограниченные знания об организации, ее корпоративной сети и средствах защиты информации. Имитируются действия «инсайдера», т.е., локального пользователя, имеющего ограниченные привилегии в отдельно взятых системах.
Безопасность проведения
Пентест – очень деликатная услуга. Поэтому перед началом работ мы предварительно заключаем «Соглашение о конфиденциальности», направляем опросный лист для оценки стоимости услуги. Далее детально обговариваем границы проведения работ, чтобы при проведении пентеста не оказать влияния на ход бизнес-процессов, информационные ресурсы и инфраструктуру. Поэтому пентест возможно проводить даже на работающей системе. Наши специалисты никогда не эксплуатируют найденные уязвимости без согласования с Заказчиком.
При проведении работ на территории заказчика, Ваш представитель обеспечивает постоянное сопровождение нашего специалиста. При постановке задач, связанных с доступом к данным, охраняемым Федеральным законодательством наши специалисты остановятся за шаг до цели. Последнее действие будет производиться Вашим специалистом, уполномоченным на соответствующие действия. Целенаправленная работа с базами, содержащими данные, защищаемые Федеральным законодательством, не производится. В ходе выполнения по анализу защищенности мы осуществляем протоколирование проводимой работы, при необходимости, используем АРМ Заказчика.
по договорённости
Критическая информационная инфраструктура (КИИ) – совокупность объектов информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой, т.е. критически важных для экономической деятельности и безопасности государства и граждан.
Безопасность КИИ (критической информационной инфраструктуры) – это комплексный процесс по обеспечению устойчивого и бесперебойного функционирования критичных бизнес процессов предприятия. Данные процесс включает в себя мероприятия по защите информации в информационных системах, автоматизированных системах управления технологическими процессами (АСУ ТП) и информационно-телекоммуникационных сетях, которые решают следующие задачи:
- оценка текущего состояния защищённости информационной инфраструктуры предприятия;
- категорирование объектов критической информационной инфраструктуры;
- разработка и внедрение комплексных систем защиты информации для значимых объектов КИИ предприятия;
- сопровождение и эксплуатация программно-аппаратных средств защиты информации объектов КИИ;
- обеспечение безопасности значимого объекта КИИ при выводе его из эксплуатации.
Создавая комплексную систему защиты информации значимых объектов КИИ, вы сводите к минимуму риски остановки производства из-за компьютерных инцидентов что может негативно повлиять на деятельность предприятия, а если нарушение работы привело к чрезвычайной ситуации, влияющей на безопасность сотрудников, то и от уголовной ответственности.
Но даже если вам повезет избежать киберинцидентов приводящих к чрезвычайной ситуации остаются надзорные структуры или регуляторы (ФСТЭК, ФСБ), которые за невыполнение требований нормативно-правовых актов по обеспечению безопасности объектов КИИ, могут применять санкции к организации.
Что мы предлагаем?
Специалисты нашей компании создадут вам комплексную систему защиты информации «под ключ», учитывая архитектуру и специфику вашего производства. Используя лучшие российские и мировые практики по созданию систем безопасности снизим риски и угрозы вашего бизнеса до минимального уровня.
Будут проведены следующие работы:
- предпроектное обследование и\или аудит информационной безопасности;
- категорирование объектов критической информационной инфраструктуры;
- анализ рисков, разработка модели угроз информационной безопасности;
- формирование требований к средствам защиты информации, разработка технического задания;
- проектно-изыскательские работы по созданию комплексных систем защиты информации значимых объектов КИИ;
- разработка организационных мер по обеспечению безопасности значимых объектов КИИ;
- внедрение организационных и программно-технических мер по обеспечению безопасности значимых объектов КИИ;
- сопровождение программно-технических мер по обеспечению безопасности значимых объектов КИИ;
- обучение и повышение компетенции в области информационной безопасности сотрудников.
Финансовые риски предприятия перевешивают риски информационной безопасности, поэтому мы всегда оцениваем риски ИБ исходя из целей бизнеса.
по договорённости
Защита персональных данных – это комплекс организационных и технических мероприятий, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъект персональных данных).
Данные мероприятия проводятся разово, периодично и постоянно. Разовыми считаются мероприятия уровня управленческих решений и определяющих внешнее окружение для системы защиты персональных данных. Периодично проводятся мероприятия по определению условий и содержания обработки персональных данных, равно как и состава персонала, ведущего обработку персональных данных. Постоянно производятся мероприятия по контролю режима обработки персональных данных.
Основной регулирующий документ: «Федеральный закон о персональных данных» №152 от 27 июля 2006 года.
Что такое GDPR?
GDPR. С 25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation,). Он регламентирует деятельность всех организаций, вне зависимости от их юрисдикции. В соответствии с ним организации должны соблюдать правила обработки персональных данных субъектов, находящихся на территории ЕС (в том числе и граждан РФ).
Таким образом все организации, которые имеют дочерние структуры в странах ЕС, являющиеся аффилированными с европейскими Компаниями, организации, оказывающие услуги гражданам ЕС в том числе и на территории РФ, или имеющие такую потенциальную возможность (сайт имеет версию на одном из языков ЕС, имеется возможность оплаты в валюте ЕС и т.д.) подпадают под требования данного Регламента.
**Что мы делаем в контексте работ по внедрению защиты персональных данных?**
- Проводим комплексный аудит – изучаем текущее состояния дел по защите персональных данных в организации;
- Определяем достаточность и актуальность принятых мер в организации по защите персональных данных;
- Подготавливаем недостающую организационно-разрешительную документацию;
- Проводим обучение сотрудников по вопросам защиты персональных данных;
- В случае использования криптографических средств защиты информации – формируем необходимые документы в соответствии с требованиями законодательства;
- Проектируем и внедряем средства защиты информации в существующую информационную структуру;
- Проводим аттестацию информационных систем персональных данных в соответствии с заявленными требованиями регуляторов по защите информации.
Пользователь не дал согласие на распространение его персональных данных
Адреса и области выезда
Области выезда
Волгоград, Краснодар, Ростов-на-Дону, Ставрополь, Астрахань
