Угрозы информационной безопасности развиваются рука об руку с мерами по ее защите. В наше время уже недостаточно просто иметь систему защиты, какой бы надежной она нам не казалась, так как нельзя всегда быть уверенным насчет направления и масштаба возможных атак. Теперь чтобы опередить злоумышленника, нужно не только думать, но и действовать как злоумышленник для проверки уровня защиты собственной информационной инфраструктуры. Осуществить подобную проверку призвана услуга пентеста.

Цели пентеста

Пентест помогает выявить слабые места в информационной инфраструктуре, которые могут быть использованы злоумышленниками, а также оценить уровень эффективности существующей политики в сфере ИБ. Помимо этого, пентест — отличный способ проверить готовность специалистов по ИБ к противодействию проникновений.

В задачи пентеста входит:

1. Нахождение, анализ и эксплуатирование уязвимостей в информационной инфраструктуре.
2. Выдача подробных рекомендаций по устранению обнаруженных уязвимостей и, при необходимости, помогает принять профессиональные меры по их устранению.

Тестирование на проникновение регламентируются требованиями международных стандартов по информационной безопасности PCI DSS и ISO 27001, согласно которым пентест проводится ежегодно или после существенных изменений в информационной инфраструктуре.

Также приказы ФСТЭК России № 17, № 21 и № 31 требуют анализировать защищенность информационных систем раз в 3 года или чаще.

Результатом проведения пентеста является отчёт, содержащий в себе все найденные уязвимости системы безопасности, а также содержит рекомендации по их устранению (входит в стоимость пентеста).

Порядок проведения пентеста

1. В первую очередь, проводится исследование ИТ-инфраструктуры организации, которое поможет найти правильный подход к проведению пентеста.
2. Далее проводится интернет-разведка (OSINT-анализ) внешних открытых источников. Боевой OSINT может показать какие данные об организации (логины, пароли, внутренние сервисы и т.д.) хранятся в открытом доступе и доступны абсолютно всем пользователям интернета.
3. Затем, в рамках заданного срока и модели нарушителя определяются все возможные известные уязвимости, недостатки парольной политики, недостатки и тонкости настроек конфигурации внутренней инфраструктуры организации. Имитируются векторы возможных угроз.

По результатам проведения пентеста выдается подробный отчет с описанием выявленных уязвимостей, уровня их критичности и рекомендациями по их устранению.

Стоимость пентеста

Сформировать единую стоимость для пентеста непросто ввиду индивидуального подхода к каждому заказу. Конечная цена может зависеть от таких факторов как:

• Сложности поставленной задачи;
• Архитектуры системы;
• Сроков;
• Ограничений со стороны заказчика;

Для уточнения стоимости пентеста можно всегда получить консультацию у специалистов, оставив заявку на нашем сайте или у партнеров в Вашем регионе.

Как проводится пентест

1. Проведение интернет-разведки по компании клиента по открытым источникам.
2. Проведение тестирования внешних веб-ресурсов, а также внутренней инфраструктуры.
3. Демонтсрация возможных бизнес-риски при успешной атаке злоумышленников.
4. Поиск максимально возможных уязвимостей и векторов атак за ограниченный промежуток времени.
5. Формирование отчета по выполнению пентеста и рекомендации по исправлению уязвимостей.

Как выбрать подрядчика для проведения пентеста

Гарантом качества выполнения пентеста в первую очередь выступают следующие компетенции подрядчика:

• Подрядчик подключится на любом этапе проекта
  Выполнить проекты по защите ИСПДн любой сложности «под ключ», либо подключится к проекту в нужный момент.
• Интеграция в систему
  Дорабатывет вашу имеющуюся систему защиты персональных данных в соответствии с актуальными требованиями законодательства.
• Аудит существующей системы
  Проведет обследование вашей системы, организационно-распорядительной документации, даст рекомендации по доработке системы.
• Лицензии ФСБ и ФСТЭК России
  Имеем соответствующие лицензии подтверждающие свою квалификацию.
• Импортозамещение
  Участвует в государственной программе по импортозамещению, поставляет и настраивает сертифицированное ПО и “железо”.
• Экспертная поддержка
  Оказывает поддержку по любому техническому вопросу.

Где выбрать подрядчика для проведения пентеста

1Софт - это более 700 партнеров по всей России, готовые провести пентест в Вашем регионе. Оставьте заявку или перейдите на страницу "где купить".

Если у вас есть желание проводить пентесты и зарабатываеть на этом, то узнайте больше о направлении 1С:Информационная безопасность - совместный проект фирмы "1С" и Астрал.Безопасность.