Услуги по подготовке к испытаниям ИБ

Анализ исходного кода

Проводим глубокий статический анализ исходного кода с применением специализированного программного обеспечения для анализа безопасности. Выявляем уязвимости типа SQL-инъекций, XSS, переполнения буфера и других критических классов угроз до передачи системы на испытания информационной безопасности.

Что включает услуга

• Статический анализ кода (SAST)
• Выявление уязвимостей OWASP Top 10
• Анализ специализированными инструментами безопасности
• Приоритизация найденных уязвимостей
• Детальные рекомендации по устранению
• Повторная проверка после исправлений

Инструментальное сканирование

Выполняем инструментальное сканирование информационной инфраструктуры с применением специализированных инструментов анализа безопасности. Проверяем сетевые сервисы, конфигурации серверов, прикладное программное обеспечение и базы данных. Результаты сканирования формируют детальную карту уязвимостей с оценкой критичности по шкале CVSS.

Что включает услуга

• Сетевое сканирование инфраструктуры
• Аудит конфигураций серверов и ОС
• Анализ открытых портов и сервисов
• Оценка уязвимостей по шкале CVSS
• Формирование реестра уязвимостей

Нагрузочное тестирование

Моделируем реальные и экстремальные сценарии нагрузки на информационную систему. Определяем максимально допустимое число одновременных пользователей, выявляем узкие места в производительности, проверяем поведение системы при деградации нагрузки. Результаты позволяют обеспечить стабильность системы в рамках испытаний ИБ.

Что включает услуга

• Нагрузочное и стрессовое тестирование
• Моделирование пиковых сценариев
• Анализ времени отклика и пропускной способности
• Выявление узких мест производительности
• Тестирование отказоустойчивости
• Подготовка отчёта с рекомендациями

Разработка технической документации

Формируем комплект технической документации по информационной безопасности в соответствии с требованиями Закона «Об информатизации» и Постановления Правительства №832. Разрабатываем политики ИБ, модели угроз, технические задания, акты классификации и иные документы, необходимые для прохождения испытаний уполномоченными органами. Сопровождаем клиента на всех этапах до получения итогового заключения.

Что включает услуга

• Анкета-вопросник с характеристиками объекта испытаний.
• Электронная копия доверенности на лицо, уполномоченное подписывать договоры, либо документа о назначении руководителя юридического лица.
• Электронная копия технического задания на объект информатизации, согласованного с уполномоченными органами в сфере информатизации и обеспечения информационной безопасности.
• Исходные коды компонентов и модулей объекта испытаний с библиотеками и файлами, необходимыми для успешной компиляции (при необходимости).
• Электронные копии утвержденной технической документации по информационной безопасности объекта информатизации согласно приложению 3 к Правилам (при необходимости).
• Электронная копия документа, подтверждающего полномочия заявителя действовать от имени владельца (собственника) объекта при подаче заявки на проведение испытаний (при необходимости).
• Сопровождение при прохождении испытаний