Безопасность сетевой инфраструктуры

«Компания» предоставляет услуги по аудиту информационной безопасности с учетом потребностей и особенностей бизнеса заказчика. Целями проведения аудита могут быть:

• оценка текущего уровня защищенности критичных активов, разработка рекомендаций и плана по обработке рисков ИБ;

• приведение информационной безопасности организации в соответствие требованиям законодательства РФ, международных стандартов, требований акционеров и контрагентов (контрактные/договорные обязательства);

• независимый аудит аутсорсинга (аудит третьей стороны) для оценки принятия должных мер (due care) и должного усердия (due diligence) организации, оказывающей критичные услуги;

• выбор приоритетных направлений (концепция ИБ и стратегия ИБ), формирование портфеля проектов ИБ, формирование бизнес-кейсов и помощь в защите на бюджетном комитете организации;

• улучшение системы управления информационной безопасностью и отдельных процессов и процедур ИБ.

В рамках аудита информационной безопасности проводятся анализ организационно-распорядительной документации в области ИБ; оценка уровня защищенности критичной информации и информационных систем непосредственно на объектах заказчика; тестирование отдельных узлов и информационных ресурсов на уязвимости, в том числе путем выборочной инструментальной проверки и тестовых выборок; идентификация, анализ и высокоуровневое оценивание основных рисков ИБ с помощью сценарного подхода; подготовка рекомендаций по внедрению организационных, административных, технических мер и плана мероприятий на основе проведенного аудита и оценки рисков организации.

По желанию заказчика, планирование аудита ИБ может быть проведено с помощью оценки рисков аудита по экспертной методике компании «Техносерв». В ходе оценки рисков аудита будут оценены риски области аудита, риски выполнения мер безопасности и риски обнаружения уязвимостей в ходе аудита.

Услуги по консалтингу в области международных стандартов ИБ, предоставляемые компанией «Техносерв», актуальны для организаций, владеющих большим количеством критичных для бизнеса информационных ресурсов и рассматривающих обеспечение информационной безопасности как комплексный бизнес-ориентированный процесс, направленный на снижение операционных и управленческих рисков.

Подход к комплексному обеспечению информационной безопасности путем внедрения системы управления информационной безопасностью (СУИБ) и сопутствующих процессов ИБ, реализуемый экспертами «Компании», соответствует общепризнанным международным стандартам в области ИБ, включая семейство стандартов ISO/IEC 2700x (система управления информационной безопасностью) и стандарт 22301 (259991,2) (система обеспечения непрерывности бизнеса).

Соответствие системы управления информационной безопасностью международным стандартам, в том числе ISO/IEC 27001:2013, позволяет гарантировать корректность построения этой системы и эффективность ее работы.

При построении процесса менеджмента рисков информационной безопасности «Компании» следует стандарту ISO/IEC 27005:2011, который содержит подробные рекомендации по менеджменту рисков ИБ. В ходе первичной высокоуровневой оценки рисков «Компании» разрабатывает адаптированную оптимальную методологию оценки рисков ИБ в соответствии со спецификой деятельности заказчика и его бизнес-процессов, категорией рисков ИБ, лучшими практиками в области ИБ, экспертным опытом.

Высокоуровневый анализ существующих рисков информационной безопасности позволяет заказчику определить критические системы, бизнес-подразделения, процессы и сервисы, для которых риски информационной безопасности выше установленного предельного порога.

Заказчик может использовать разработанную и апробированную высокоуровневую методику оценки рисков ИБ в дальнейшем не только в той области, где она применялась экспертами «Компании», но и для других площадок, проектов, информационных систем или бизнеса в целом.

По результатам оценки рисков, проведенной «Компанией», разрабатываются рекомендации по применению взаимоувязанного комплекса организационных и технических мер, направленных на снижение уровня рисков информационной безопасности с предложением экономически обоснованного портфеля проектов ИБ. Дополняя план обработки рисков, рекомендации носят конкретный характер и направлены на максимально полное и эффективное перекрытие всех требований безопасности при разумном минимуме затрат, в том числе по снижению критичных рисков ИБ путем внедрения политик, процедур и технических средств.

Система контроля защищенности предназначена для контроля уровня защиты информационных систем, своевременного выявления уязвимостей и ошибок конфигурирования компонентов ИТинфраструктуры. Комплексное решение, предлагаемое «Компанией», позволяет решить следующие задачи:

• Обеспечение проактивной защиты информационных систем путем автоматического мониторинга состояния уровня защищенности;

• Обеспечение контроля соответствия техническим стандартам (например, ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, NIST, CIS, DoD, PCI DSS) и внутрикорпоративным требованиям;

• Автоматизация процесса инвентаризации и контроля изменений информационных ресурсов;

• Сокращение затрат на аудит и контроль защищенности.

Инструментальная оценка уровня защищенности позволяет оценить текущий уровень защищенности, выявить существующие технические уязвимости и ошибки конфигурирования информационных систем, а также обосновать инвестиции в развитие средств защиты информации.

Специалисты «Компании» обладают сертификатами в области оценки уровня защищенности: EcCouncil CEH (Certified Ethical Hacking); EcCouncil ECSA (Certified Security Analyst) / LPT (Licensed Penetration Testing). По итогам работ заказчику предоставляется отчет с описанием основных выявленных уязвимостей и рекомендации по их устранению.

«Компания» имеет лицензии и аккредитацию на выполнение работ по аттестации объектов информатизации по требованиям безопасности информации. В результате выполнения комплекса организационных и технических мероприятий (аттестационных испытаний) документально подтверждается соответствие системы защиты информации тем требованиям, которые были заявлены в ходе ее создания. Обязательной аттестации подлежат государственные информационные системы, а также информационные системы, обрабатывающие сведения, составляющие государственную тайну, либо данные ограниченного доступа, собственником которых являются госорганы. Ввод в действие таких информационных систем возможен только при наличии аттестата соответствия.

«Компания» выполняет следующие работы:

• обязательную аттестацию объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;

• аттестацию объектов информатизации, предназначенных для обработки информации конфиденциального характера.

В рамках работ по аттестации объектов информатизации «Компании» оказывает следующие услуги:

• оценку соответствияобъекта информатизации требованиям безопасности информации;

• разработку предложений и рекомендаций по приведению объекта информатизации в соответствие требованиям безопасности информации;

• подготовку объекта информатизации к аттестационным испытаниям, в том числе создание или совершенствование существующей системы защиты информации;

• проведение аттестационных испытаний объектов информатизации на соответствие требованиям нормативных документов в области безопасности информации.

 

Создание комплексных систем защиты информации

«Компания» проектирует и создает комплексные системы защиты информации (КСЗИ) на основе результатов анализа рисков информационной безопасности, моделирования угроз, выполнения нормативных требований регуляторов в области информационной безопасности (ФСТЭК России, ФСБ России, Банк России  и т.д.), а также индивидуальных требований заказчиков.

Проектирование и создание КСЗИ осуществляется с учетом ГОСТ 34-й серии, ГОСТ Р 51583 и ГОСТ Р 51624, но при этом подход к проектированию систем защиты может отличаться в зависимости от типа защищаемой информационной системы.

Аналитические исследования показывают, что лучшая и наиболее эффективная защита веб-приложений от угроз и уязвимостей  обеспечивается посредством внедрения решений класса Web Application Firewall (WAF). Решения WAF способны предотвращать атаки, от которых не могут защитить классические межсетевые экраны и системы обнаружения вторжений, при этом они не требуют модификации исходного кода приложения.

«Компания» предоставляет услуги по внедрению решения по защите веб-приложений, которое обеспечивает:

• Достаточно высокий уровень защищенности даже с настройками по умолчанию;

• Возможность сконфигурировать WAF для защиты от специфических типов атак или уязвимостей (например, срочно закрыть уязвимость при отсутствии патча);

• Эффективную защиту от атак класса Brute Force login, Parameter tampering, Session hijacking, Cookie poisoning, Cookie injection, Illegal HTTP encoding (double encoding, malicious encoding), атак на SOAP и XML;

• Сравнительный анализ элементов структуры веб-приложений (поля форм, cookie, параметры др.) с эталонными элементами, хранимыми в профилях;

• Профилирование HTTP, HTTPS и XML-трафика.

При создании решений по защите веб-приложений компания «Техносерв» применяет продукты как российских, так и зарубежных производителей, в том числе Barracuda Networks, Imperva Inc, F5 networks, ЗАО «Позитив Технолоджиз» и др.

Технологии удаленного доступа, высокоскоростные мобильные сети передачи данных, облачные технологии смещают значение определения периметра от физического (который раньше можно было считать границей офиса) в сторону виртуального, где данные организации распределены между имеющейся инфраструктурой, устройствами сотрудников и сервисами сторонних компаний. Такие тенденции не отменяют необходимости защиты периметра, а существенно усложняют его организацию.

«Компания» предлагает комплексные решения по защите периметра сети, включающие в себя шлюзы безопасности, межсетевые экраны и системы обнаружения вторжений. При этом каждый компонент может быть также представлен в качестве отдельного решения. 

В независимости от набора компонентов защиты основной задачей системы остается контроль и управление проходящим через оборудование трафиком. Решения о разрешении или запрещении того или иного трафика могут приниматься на основании простых правил или же могут быть результатом работы набора подсистем, анализирующих такие факторы, как источник, назначение, время, тип данных, аномальную активность, принадлежность к спаму или ботнетам и многим другим факторам.

Для создания систем защиты периметра «Компании» использует продукты мировых лидеров: Cisco Systems, Juniper Networks, Check Point Software Technologies, PaloAlto.

Удаленный доступ – это технология, которая позволяет получать доступ к информационным ресурсам и осуществлять работу с ними из других сетей. Она позволяет снизить затраты на организацию рабочего процесса, а также способствует повышению эффективности использования информационных ресурсов для решения бизнес-задач.

Для обеспечения высокого уровня безопасности корпоративных данных «Компания» реализует защиту технологии удаленного доступа различными методами:

• создания виртуальных защищенных сетей (remote access VPN) c отдельными приложениями (клиентами, в том числе и встроенными в операционные системы), работающими по протоколам (например, IPSec, SSL/TLS, PPP) и с использованием web-технологий (SSL/TLS);

• применения программ эмуляции терминала, использующих протоколы защиты (например, SSH);

• применения приложений удаленного рабочего стола, использующих криптографические алгоритмы в составе стандартизованных (например, RDP, VNC, X.11) и собственных протоколов производителей.

Сфера применения криптографически защищенных каналов связи охватывает все области применения информационных технологий и включает:

• защищенную передачу данных в дата-центрах, территориально распределенных организациях, в системах электронного документооборота и др.;

• защиту голосовых коммуникаций, видеоконференцсвязи и электронной почты, что особенно актуально для центров обработки вызовов, систем корпоративной IP-телефонии, территориально распределенных комплексов видеоконференцсвязи и др.;

• защиту каналов управления и мониторинга. 

В телекоммуникационных сетях криптографическая защита каналов связи организуется на различных уровнях ЭМВОС (OSI): канальный (например, MACSec), сетевой (например, IPSec), транспортный и сеансовый (например, SRTP, TSL/SSL), представления и приложения (например, S/MIME, PPTP). Для организации защищенных каналов связи применяется широкий спектр симметричных криптографических алгоритмов и криптосистем с открытым ключом, а также их комбинации.

Широкое применение получила адаптивная технология виртуальных защищенных сетей (VPN), которая позволяет создать единую защищенную сетевую инфраструктуру на территориально распределенных сетях разнообразных топологий. Решения основываются как на базе сетевого оборудования, так и на выделенных устройствах.

«Компания» предоставляет услуги по организации криптографической защиты каналов связи с целью обеспечения конфиденциальности, целостности и подлинности передаваемых данных, аутентификации узлов и образованных между ними каналов. Компания имеет все необходимые лицензии на осуществление деятельности, связанной с использованием криптографических средств.

Системы защиты баз данных предназначены для пресечения несанкционированного доступа к информации, обрабатываемой в СУБД, а также контроля и фильтрации различных типов взаимодействий между СУБД, пользователями и приложениями, осуществляющими такой доступ. «Компания» реализует проекты по внедрению систем, позволяющих минимизировать риски и возможные финансовые и имиджевые потери заказчика, связанные с хищением информации баз данных.  

Системы защиты баз данных позволяют решить следующие задачи:

• Внедрение механизмов контроля и учета действий пользователей и администраторов, аудита защищаемых баз данных;

• Реализация механизмов аудита и предотвращения несанкционированного доступа к содержимому защищаемых баз данных посредством различных механизмов сканирования;

• Реализация инструментов обнаружения и реагирования на попытки несанкционированного доступа к информации защищаемых баз данных;

• Оперативный контроль состояния защищенности баз данных;

• Приведение состояния защиты инфраструктуры заказчика в соответствие требованиям регуляторов;

• Повышение производительности труда и эффективности работы подразделений компании, отвечающих за обеспечение информационной безопасности, за счет реализуемых в системе механизмов аудита и отчетности.

Внедрение системы контентной фильтрации почтового и веб-трафика позволяет обеспечить защиту корпоративной почты от нежелательных сообщений, блокировку вредоносного ПО и нейтрализацию вирусов в загружаемом контенте, а также способствует повышению эффективности работы персонала благодаря контролю доступа сотрудников в Интернет.

Система решает следующие задачи:

• Обеспечение доступа сотрудников только к тем веб-ресурсам, которые могут потребоваться в рамках выполнения должностных обязанностей;

• Реализация централизованной политики доступа к веб-ресурсам и обеспечение защиты от угроз со стороны сетей общего пользования;

• Минимизация риска повреждения информационных систем вредоносным ПО;

• Минимизация риска утечки конфиденциальной информации;

• Формирование отчетности об инцидентах и деятельности пользователей.

Для реализации системы контентной фильтрации почтового и веб-трафика компания «Техносерв» применяет продукты мировых лидеров в области обеспечения информационной безопасности, в том числе Barracuda Networks, Bluecoat Systems, Cisco Systems, Check Point Software Technologies, McAfee/Intel Security.

«Компанией» накоплен значительный опыт проектов по внедрению систем контентной фильтрации для заказчиков из разных отраслей, в том числе в компаниях с крупными территориально-распределенными сетями передачи данных.

Системы защиты от DoS/DDoS-атак представляют собой реализуемые различными  средствами механизмы обнаружения и нейтрализации атак типа «отказ в обслуживании», направленных на защищаемые информационные ресурсы. С учетом потребностей и специфики бизнеса заказчиков «Компания» реализует два подхода по защите от DDoS-атак, либо комбинирует их:

• установка в составе сетевой инфраструктуры заказчика специализированных программно-аппаратных комплексов, отвечающих за обнаружение и реагирование на DDoS-атаки. Это оборудование осуществляет фильтрацию трафика от нелегитимной активности с сохранением легитимного трафика, что обеспечивает доступность защищаемых ресурсов. Как правило, использование такого подхода подразумевает также установку фильтрующего оборудования также и со стороны провайдера услуг связи для обеспечения гарантированной доступности полосы пропускания канала связи между провайдером и защищаемой сетью компании-заказчика;

• предоставление заказчику специализированного сервиса по фильтрации сетевого трафика на предмет обнаружения DDoS-атак. При таком подходе сетевой трафик заказчика перенаправляется в специализированные центры очистки трафика.

Защита государственных информационных систем (ГИС) осуществляется в рамках выполнения требований действующих нормативных правовых актов Российской Федерации в области информационной безопасности и направлена на предотвращение нарушения конфиденциальности, целостности и доступности государственных информационных ресурсов.

Компетенции «Компании» позволяют не только построить систему защиты информации с нуля при создании ГИС, но и привести в соответствие действующему законодательству информационную систему, уже введенную в эксплуатацию. «Компания» выполняет полный спектр работ от формирования требований к защите информации, содержащейся в ГИС, разработки и внедрения системы защиты информации ГИС до аттестации ГИС по требованиям защиты информации. В рамках проекта также может производиться анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению. В случае если в ГИС происходит обработка персональных данных субъектов, система защиты информации строится с учетом требований законодательства в области защиты персональных данных.

Обладая лицензией на проведение работ по технической защите конфиденциальной информации, «Компания» предлагает комплексное решение по обследованию процессов автоматизированной и неавтоматизированной обработки персональных данных и по созданию комплексной системы защиты персональных данных при их обработке в информационных системах и гарантирует обеспечение защиты персональных данных в полном соответствии с требованиями Федерального Закона «О персональных данных» №152ФЗ от 27 июля 2006 года и подзаконных нормативно-правовых актов.

Защита персональных данных проводится экспертами «Компании» поэтапно и включает в себя:

• формирование требований к защите персональных данных, содержащихся в информационных системах персональных данных, включая классификацию информационной системы по требованиям защиты информации, определение актуальных угроз безопасности персональных данных;

• разработка комплексной системы защиты персональных данных, включая проектирование системы защиты, разработку эксплуатационной документации, разработку проектов организационно-распорядительных документов;

• ввод в эксплуатацию и гарантийное сопровождение комплексной системы защиты персональных данных.

Результатом работ по защите персональных данных заказчика является оптимальный с точки зрения стоимости, качества и снижения бизнес-рисков набор организационно-технических мер, учитывающий специфику организации и риски бизнес-деятельности в случае реализации угроз безопасности персональных данных, а также при имиджевых потерях и нарушении законодательства, включая проверки регуляторов (прокуратура, Роскомнадзор, ФСБ России, ФСТЭК России).

Подход к обеспечению безопасности критических объектов с приоритетом обеспечения доступности и целостности не только информации, но и других материальных и нематериальных активов является нестандартным с точки зрения информационной безопасности. Поэтому «Компания» рассматривает угрозы и меры безопасности не только с точки зрения информационной безопасности, но и кибербезопасности (стандарт ISO/IEC 27032 — Guideline for cybersecurity), а также непрерывности деятельности информационно-коммуникационных систем (ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity, ISO 22301, BS 25777, BS 25999, Комплекс стандартов по безопасности КСИИ).

С точки зрения управления лучших практик информационной безопасности и кибербезопасности для защиты критически важных объектов «Компания» предлагает использовать комплекс   отечественных и международных стандартов в области управления информационной безопасностью, сетевой безопасности, промышленной безопасности и др.

Процесс разработки концепции, стратегии, планирования и построения системы управления информационной безопасности и противодействия киберугрозам неотрывно связан с процессом менеджмента рисков не только информационной безопасности, но и технологических рисков, и поэтому менеджмент рисков является ключевым разделом каждого стандарта и руководства по безопасности АСУТП и критических систем. В качестве базового стандарта предлагается использовать накопленный международный опыт в виде стандартов ISO/IEC 27005 — Information security risk management; ISO 31000:2009 - Principles and Guidelines on Implementation; ISO/IEC 31010:2009 - Risk Management - Risk Assessment Techniques; ISO Guide 73:2009 - Risk Management – Vocabulary.

«Компания» предлагает комплексное решение, объединяющее передовые сетевые технологии в единую систему для управления доступом пользователей к корпоративным сетевым ресурсам. Это позволяет обеспечить защиту критичной для бизнеса информации, минимизировать риски несанкционированного использования информационных систем и возможности умышленного нарушения целостности и доступности данных.

Основой системы управления доступом пользователей к сетевым ресурсам является гибкая политика, позволяющая принимать решения о назначения уровня доступа подключенному пользователю или устройству в зависимости от ряда факторов. Система в реальном времени отслеживает несоответствия рабочей станции пользователя профилю безопасности и блокирует доступ для потенциально опасных устройств.

«Компания» обладает опытом успешных внедрений этой технологии, одним из крупнейших проектов стало создание системы в центральном офисе и 8 филиалах крупной энергетической компании.

«Компания» предлагает комплексное решение, направленное на пресечение несанкционированных действий пользователей, имеющих расширенные права доступа к информационным системам: администраторов, операторов, разработчиков, инженеров сторонних ИТ-служб при аутсорсинге и др. Система управления привилегированными пользователями призвана обеспечить превентивную защиту и минимизировать потенциальный ущерб от злоупотребления полномочиями путем мониторинга привилегированных учетных записей.

Внедрение системы управления привилегированными пользователями позволяет:

• Обеспечить контроль действий привилегированных пользователей по стандартным протоколам управления (RDP, SSH, X11, Telnet, HTTP(S), VNC, VmWare View и другие);

• Записывать административные сессии управления в видео с возможностью дальнейшего поиска по контенту;

• Осуществлять централизованное управление доступом, в том числе для групповых учетных записей;

• Реализовывать авторизацию по методу «4 глаза»;

• Обеспечивать централизованное управление и хранение аутентификационных данных (в том числе паролей);

• Минимизировать угрозы внешних атак, ведущихся с повышением привилегий;

• Обеспечить соответствие требованиям стандартов ИБ (например, PCI DSS, СТО БР ИББС и других);

• Предотвратить возможность сокрытия следов несанкционированных или непрофессиональных действий;

• Оптимизировать процессы администрирования, повысить производительность труда и ответственность ИТ-персонала.

Системы многофакторной аутентификации предназначены для усиления уровня защиты от несанкционированного доступа корпоративных информационных систем. В отличие от однофакторной аутентификации (например, с использованием только пароля) в подобных системах применяются не менее двух аутентификационных факторов.

Многофакторная аутентификация применяется в подсистемах удаленного доступа, виртуальных частных сетях, интернет-банкинге, информационных системах и веб-порталах. Аппаратные идентификаторы также могут использоваться для функций электронной подписи или для контроля физического доступа в помещения при интеграции их с системой контроля и управления доступом (СКУД).

Внедрение систем многофакторной аутентификации позволяет:

• Обеспечить соответствие требованиям международных и отечественных стандартов в области информационной безопасности;

• Обеспечить соответствие требованиям законодательства РФ в области защиты персональных данных и государственных информационных систем;

• Снизить риски, связанные с получением несанкционированного доступа к защищаемым информационным системам.

При создании систем многофакторной аутентификации компания «Техносерв» применяет продукты российских и зарубежных производителей, в портфеле которых имеются как разнообразные средства аутентификации (USB-токены,  смарт-карты,  генераторы одноразовых паролей, гибридные аутентификаторы), так и средства централизованного управления их жизненным циклом. Большинство решений многофакторной аутентификации поддерживают аутентификацию с помощью SMS, программных токенов, мобильных приложений  и  мобильных телефонов, используемых в качестве аппаратного аутентификатора. Кроме того, в  целях аутентификации могут применяться биометрические данные пользователей (отпечатки пальцев, сетчатка глаза и пр.).

Система централизованного мониторинга и управления событиями информационной безопасности (SIEM) позволяет эффективно осуществить централизованный сбор, визуализацию и корреляцию событий информационной безопасности с различных информационных систем и средств защиты информации. Такие системы призваны автоматически выявлять угрозы информационной безопасности и обеспечивать оперативное реагирование на инциденты ИБ. 

«Компания» внедряет системы, решающие комплекс задач по мониторингу и управлению событиями ИБ в целях выхода на новый уровень защищенности информационных систем, в том числе:

• Организация централизованного сбора, анализа и приоритезации сообщений от различных источников (систем обнаружения вторжений, межсетевых экранов, операционных систем, систем контроля и управления доступом, антивирусных систем, систем web-фильтрации, систем контроля утечки данных, различных приложений, баз данных и др.);

• Выявление аномалий в работе систем и предотвращение внутреннего мошенничества;

• Визуализация полученных данных в реальном времени и оповещение об инцидентах ИБ;

• Обеспечение соответствия требованиям стандартов ИБ (PCI DSS, СТО БР ИББС и др.);

• Повышение оперативности и эффективности расследования инцидентов ИБ.

«Компания» обладает всеми необходимыми лицензиями, компетенциями и опытом для проведения работ по защите информации и оценки соответствия требованиям Положения Банка России №382-П, регламентирующего вопросы обеспечения безопасности платежной информации для участников национальной платежной системы. Компания предлагает следующие услуги:

• Проведение оценок соответствия требованиям Положения БР №382-П;

• Проектирование и внедрение технических решений, построение процессов обеспечения и управления информационной безопасностью для обеспечения соответствия участников национальной платежной системы требованиям Положения БР №382-П.

Обеспечение соответствия банковских организаций СТО БР ИББС