+7 (812) 716-14-14 +7 (800) 201-87-02
+7 (812) 716-14-14 +7 (800) 201-87-02

Анализ защищенности КИИ

Описание услуги Результат Стоимость Управление проектом Методология Референсы FAQ

 

Анализ защищённости или тестирование на проникновение (пентест) позволяют получить объективную независимую оценку безопасности ИТ-инфраструктуры. Мы выявляем уязвимости, оцениваем актуальность угроз и проверяем риски несанкционированного доступа к информационным системам. Услуга подходит как для субъектов КИИ, так и для любых организаций с развитой ИТ-инфраструктурой. Услуга помогает выполнить обязательные требования Указа Президента РФ № 250 по оценке защищённости, также закрывает ряд мер группы АУД в соответствии с требованиями Приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (далее — Приказ ФСТЭК России № 239) и предназначена для компаний, являющихся субъектами КИИ.

Почему это актуально?

С каждым годом требования к безопасности объектов КИИ становятся строже, а риски для их владельцев — все выше. Игнорирование или формальный подход к обеспечению безопасности приводит не только к финансовым, но и к уголовным последствиям.

Ключевые причины выполнить анализ защищенности КИИ с привлечением экспертов:
  • Высокие риски для бизнеса в случае кибератак, необходимо быть на шаг впереди атакующих
  • Обязательные требования для субъектов КИИ — Указ Президента РФ № 250 и Приказ ФСТЭК № 239 по оценке защищённости
  • Реальная угроза — ежегодно фиксируется рост кибератак, мошенничества и утечек данных за счет эксплуатации известных уязвимостей
  • Ответственность — за нарушение 187-ФЗ все чаще следуют административные и уголовные дела, все больше реальных судебных прецедентов
  • Дефицит специалистов — внутренним командам часто не хватает ресурсов для полноценной оценки актуальности угроз, связанных с эксплуатацией уязвимостей
  • Устаревшие системы — множество компаний продолжают использовать уязвимое ПО, не осознавая масштаб угроз

 

По состоянию на 2025 год ФСТЭК России инициировала плановые проверки субъектов КИИ на предмет реализации технических и организационных мер по защите информации, о чем направила им соответствующие уведомления. Дальнейшее промедление чревато повышенными рисками административной и уголовной ответственности.   

Для каких организаций актуален анализ защищенности КИИ?

    Для субъектов КИИ, выполняющих требования ФСТЭК России

    Для финансовых и кредитных организаций, выполняющих требования ЦБ РФ

    Для владельцев ГИС, выполняющих требования ФСТЭК России

    Для любой организации, желающей обезопасить себя от киберрисков

Вы получаете

    Выявленные уязвимости и актуальные угрозы с описанием способов их эксплуатации (реализации)

    Оценка осведомленности персонала по вопросами информационной безопасности, которая ложится в основу программы обучения

    Подробные рекомендации по устранению выявленных уязвимостей, в том числе в части конфигурирования технических средств

    Отчет и презентация для руководства с целью обоснования бюджета и численности отдела информационной безопасности, демонстрации ИБ-рисков для бизнеса

    Выполнение требований нормативно-правовых актов, успешное прохождение проверок регуляторами в области ИБ

    Оценка эффективности системы защиты информации

Стартовые пакеты услуг на 2026 год

направлены на выполнение узких задач и получение быстрых результатов и подходят для небольших компаний

  • Анализ защищённости веб-приложения

    119 500 ₽

    Включено:

    • не более 1 (одного) веб-приложения или сайта (один домен)
    • анализ защищенности методом «Черный ящик» (без предоставления учетных записей)
    • отчет о тестировании

    Длительность проекта: 20 рабочих дней

    Формат проекта: дистанционно

    Заказать

  • Тестирование на проникновение внешнего периметра

    119 500 ₽

    Включено:

    • не более 10 (десяти) ip-адресов
    • тестирование на проникновение методом «Черный ящик» (без предоставления учетных записей)
    • отчет о тестировании

    Длительность проекта: 20 рабочих дней

    Формат проекта: дистанционно

    Заказать

  • Тестирование работников методами социальной инженерии

    119 500 ₽

    Включено:

    • массовая рассылка не более 500 писем
    • одна массовая рассылка для всех работников (адреса предоставляет Заказчик)
    • один сценарий рассылки
    • отчет о тестировании
    • презентация для руководства (при необходимости)

    Длительность проекта: 15 рабочих дней

    Формат проекта: дистанционно

    Заказать

  • Инструментальный анализ защищенности внешнего и внутреннего периметра

    119 500 ₽

    Включено:

    • не более 300 (трёхста) ip-адресов
    • анализ защищенности методом «Черный ящик» (без предоставления учетных записей)
    • отчет о тестировании

    Длительность проекта: 15 рабочих дней

    Формат проекта: дистанционно

    Заказать

Комплексные пакеты услуг на 2026 год

направлены на выявление самых актуальных проблем и выполнение нормативных требований 

  • All-in-One

    514 500 ₽

    Включено:

    • внешнее тестирование не более 10 (десяти) ip-адресов
    • социотехническое тестирование не более 50 работников («фишинг» и массовая рассылка)
    • поиск скомпрометированных учетных данных, относящихся к 1 (одному) домену
    • подробный отчет о тестировании
    • рекомендации для повышения уровня защищённости
    • презентация для руководства (при необходимости)

    Длительность проекта: 45 рабочих дней

    Формат проекта: дистанционно

    Заказать

  • All-in-One web

    514 500 ₽

    Включено:

    • детальное тестирование 1 (одного) веб-приложения
    • тестирование бизнес-логики приложения
    • поиск скомпрометированных учетных данных, относящихся к 1 (одному) домену
    • подробный отчет о тестировании
    • рекомендации для повышения уровня защищённости
    • презентация для руководства (при необходимости)

    Длительность проекта: 22 рабочих дня

    Формат проекта: дистанционно

    Заказать

  • Социальная инженерия

    514 500 ₽

    Включено:

    • массовая атака методом «фишинга» на 300 корпоративных адресов
    • таргетированная атака (подделка личности звонящего) не более 30 работников
    • таргетированная атака, осуществляемая методами с физическим участием тестировщиков — не более 1 (одного) адреса
    • инструктаж работников по итогам тестирования
    • подробный отчет о тестировании
    • презентация для руководства (при необходимости)

    Длительность проекта: 45 рабочих дней

    Формат проекта: смешанный

    Заказать

Описание пакетов услуг не является офертой (ст. 435 ГК РФ). Окончательные сроки и условия оказания услуг фиксируются в договоре.

 

Если Вы не нашли подходящий пакет услуг, напишите нам и мы сформируем индивидуальное предложение

 

Как выполняется проект?

Инициализация проекта

После заключения договора и формирования состава проектной команды инициируется установочная встреча в формате видео-конференц-связи, на которой специалисты Альтирикс Групп знакомятся с проектной командой Заказчика и подробно рассказывают о порядке действий в ходе реализации проекта. На каждый проект назначается архитектор проекта, обеспечивающий его качественную реализацию. В обязанности архитектора в том числе входят: организация коммуникаций, постановка задач специалистам, оформление итоговой документации и согласование ее с Заказчиком. На установочной встрече обсуждаются:

  • этапы проекта и сроки;
  • зоны ответственности Альтирикс Групп и Заказчика;
  • форматы взаимодействия и обмена конфиденциальной информацией;
  • другие организационные вопросы в зависимости от специфики проекта и Заказчика.

Выполняется согласование с Заказчиком Плана-графика тестирования на проникновение, включая цели, объем и методы.
Сбор и согласование исходных данных

Выполняется предоставление и согласование Заказчиком:

  • перечня тестируемых IP-адресов, доменов, веб-приложений, беспроводных точек;
  • уровня доступа (черный/серый/белый ящик);
  • списка объектов тестирования.

Подписывается Соглашение о проведении тестирования на проникновение, разрешающего Альтирикс Групп взаимодействовать с объектами методами пентеста и анализа защищенности.
Проведение тестирования

В рамках проекта могут включаться следующие направления (в зависимости от согласованной программы):

1. Внешнее тестирование на проникновение

  • Модель внешнего злоумышленника.
  • Методы: черный/серый ящик.
  • Этапы: разведка; идентификация уязвимостей; эксплуатация уязвимостей.

2. Внутреннее тестирование на проникновение

  • Модель внутреннего нарушителя.
  • Методы: серый/белый ящик.
  • Цели: закрепление в инфраструктуре; эскалация привилегий; доступ к критической информации.

3. Анализ защищенности веб-приложений

  • Методы: черный/серый/белый ящик.
  • Включает: тестирование аутентификации, авторизации, управления сессиями; проверку бизнес-логики и клиента; анализ ошибок, конфигураций, криптографии.

4. Анализ защищенности Wi-Fi-сетей

  • Методы: черный ящик.
  • Этапы: поиск и разведка точек доступа; перехват и дешифровка трафика; внедрение фальшивых точек; атаки на WEP/WPS; DoS-атаки на беспроводной сегмент.

5. Тестирование социальной инженерией

  • Согласованный перечень сотрудников.
  • Методы: массовый фишинг (email); таргетированный фишинг и вишинг; физические атаки: «дорожное яблоко», «задняя дверь», «предлог».
Анализ результатов и оформление документации
 Выполняется объединение результатов всех направлений в итоговый отчет:

  • описание методик и сценариев атак;
  • обнаруженные уязвимости и подтверждение их эксплуатации;
  • уровни риска;
  • рекомендации по устранению выявленных уязвимостей.

Выполняется согласование отчета с Заказчиком.
Завершение проекта Заказчику направляются электронные или бумажные версии документов для ответственного хранения, подписывается Акт выполненных работ/оказанных услуг
Гарантийная поддержка В течение срока гарантийной поддержки специалисты Альтирикс Групп отвечают на запросы Заказчика, связанные с:

  • внесением корректировок в согласованные ранее документы по замечаниям регуляторов;
  • поступлением вопросов/запросов со стороны регулирующих органов.

Методология работ

Вы можете воспользоваться готовым пакетом услуг или подобрать индивидуальный набор услуг в зависимости от стоящей перед Вами задачи. Альтирикс Групп оказывает следующие услуги по направлению тестирования на проникновение:

  • Внешнее и внутреннее тестирование на проникновение
  • Анализ защищенности веб-приложений
  • Социотехническое тестирование работников организации с помощью таргетированной атаки, осуществляемой методами «фишинга» и «вишинга»
  • Поиск скомпрометированных  корпоративных учетных данных
  • Имитация DDoS-атаки
  • Тестирование на проникновение Active Directory
  • Vulnerability management
  • Open source intelligence
  • Поиск уязвимостей нулевого дня

Применяемые Альтирикс Групп методологии тестирования

  • National Institute of Standards and Technology («NIST») SP 800-42
  • ISACA IS auditing procedure «Security assessment-penetration testing and vulnerability analysis
  • The Open Source Security Testing Methodology Manual
  • Technical Guide to Information Security Testing and Assessment from NIST
  • PTES Technical Guidelines
  • A Penetration Testing Model
  • Common Attack Pattern Enumeration and Classification
  • Information Systems Security Assessment Framework
  • Federal Risk and Authorization Management Program
  • MITRE ATT&CK
  • OWASP top 10 web application security risks
  • OWASP mobile top 10
  • OWASP web application penetration checklist
  • OWASP testing guide

Подробнее о видах тестирования

Внешнее тестирование на проникновение

Тестирование должно проводиться со стороны сети Интернет на основании перечня ip-адресов, предоставленных Заказчиком. Режим тестирования – «чёрный ящик», т.е. без предоставления легитимного доступа или «серый ящик», т.е. с частичным предоставлением доступа к информационной инфраструктуре. При проведении внешнего тестирования на проникновение имитируется модель внешнего злоумышленника. Внешнее тестирование на проникновение с использованием технических методов тестирования состоит из следующих этапов работ:

  • внешняя разведка;
  • моделирование угроз и идентификация уязвимостей;
  • эксплуатация выявленных уязвимостей.
Open Source Intelligence (OSINT) OSINT — направление offensive security, включающие в себя поиск, сбор и анализ информации из общедоступных источников, с целью использования данной информации для формирования векторов атак.
При проведении OSINT, выполняются следующие работы:

  • поиск через открытые источники следующей информации: рабочие и личные номера телефонов работников; рабочие и личные электронные почты работников; рабочие и личные аккаунты работников в социальных сетях; документы компании в открытом доступе и их метаданные;
  • упоминания компании на ресурсах средств массовой информации; упоминания на «даркнет» ресурсах; возможная конфиденциальная информация в открытом доступе и т.п.;
  • сбор информации с применением социальной инженерии;
  • формирование возможной штатной структуры компании;
  • формирование перечня найденной финансовой отчетности компании;
  • определение географического местоположения ИТ-инфраструктуры компании;
  • формирование перечня ip-адресов и сервисов, относящихся к компании;
  • поиск партнеров и возможных конкурентов компании;
  • выполнение tracerout для найденных ресурсов компании;
  • сканирование портов у найденных ресурсов компании для формирования перечня используемых служб и сервисов.
Внутреннее тестирование на проникновение

Внутреннее тестирование на проникновении имитирует модель внутреннего нарушителя и проводится методами «серого ящика», т.е. с частичным предоставлением доступа к информационной инфраструктуре или «белого ящика», т.е. с полным предоставлением доступа к информационной инфраструктуре. При внутреннем тестировании на проникновение тестируется определенное количество сервисов, служб, пользовательских и серверных устройств, функционирующих во внутренней сети Заказчика, необходимых для закрепления (закрепление злоумышленника во внутренней сети — процесс, при котором злоумышленник совершает ряд действий, позволяющих ему иметь постоянный несанкционированный доступ к инфраструктуре) тестировщика во внутренней сети Заказчика для компрометации информационных систем, эскалации привилегий, получения доступа к чувствительной информации и т.п.
Тестирование работников методами социальной инженерии

Тестирование методами социальной инженерии основано на особенностях психологии людей и проводится с целью получения доступа к конфиденциальной информации. Тестирование на проникновение с использованием методов социальной инженерии направлено только на работников Заказчика (пользователей и администраторов информационной инфраструктуры). Перед реализацией данного этапа с представителями Заказчика согласуется перечень работников, которых необходимо протестировать методами социальной инженерии. При проведении тестирования работников Заказчика методами социальной инженерии применяются следующие подходы:

  • массовая атака, осуществляемая методом «фишинга» (подделки электронных информационных ресурсов);
  • таргетированная атака, осуществляемая методами «фишинга» и «вишинга» (подделка личности звонящего);
  • таргетированная атака, осуществляемая методами с физическим участием тестировщиков. Физическое участие тестировщиков заключается в непосредственном взаимодействии с работниками Заказчика методами: «Дорожное яблоко» (подбрасывание носителей с вредоносным содержимым на пути следования работников Заказчика), «Задняя дверь» (попытка проникновения в контролируемую зону через открытую, оставленную работниками Заказчика дверь), «Предлог» (кража конфиденциальной информации через личное общение с работником») и т.п.
Анализ защищенности веб-сервисов и веб-приложений

Анализ защищенности веб-сервисов и веб-приложений проводится методами «черного ящика» т.е. без предоставления легитимного доступа к активам веб-приложения, «серого ящика» т.е. с частичным предоставлением легитимного доступа к активам веб-приложения, «белого ящика» т.е. с предоставлением полного доступа к активам веб-приложения, в том числе к исходному коду. Анализ защищенности состоит из следующих этапов:

  • сбор информации о приложении;
  • тестирование конфигурации приложения;
  • тестирование параметров идентификации приложения;
  • тестирование параметров аутентификации приложения;
  • тестирование параметров авторизации приложения;
  • тестирование управления сеансами;
  • проверка достоверности данных;
  • анализ ошибок, получаемых от приложения;
  • анализ криптографических параметров приложения;
  • тестирование бизнес-логики приложения;
  • тестирование параметров приложения на стороне клиента.
Анализ защищенности беспроводных точек доступа

Перед началом работ по тестированию беспроводных сетей с представителями Заказчика согласуется перечень беспроводных точек доступа, подлежащих анализу защищенности. На этапе тестирования беспроводных сетей методом «черного ящика» путем анализа защищенности беспроводных точек доступа выполняются следующие работы:

  • разведка и поиск беспроводных точек доступа, принадлежащих Заказчику;
  • захват трафика и обратного пароля аутентификации;
  • дешифровка хэша перехваченного пароля;
  • нарушение целостности или доступности информации, передаваемой беспроводными точками доступа;
  • внедрение поддельной точки беспроводного доступа;
  • атака на WEP;
  • взлом WPS PIN;
  • атака на беспроводные точки доступа из WAN-сетей;
  • атаки вида «отказ в обслуживании» (DoS Wi-Fi);
  • атаки на специфические сервисы и функции роутеров.

Интересные референсы

    Альтирикс Групп провела штабные киберучения (ШКУ) во одном из крупнейших банков Российской Федерации. Цель проекта: улучшение процессов взаимодействия структурных подразделений при реагировании на кризисные ситуации, связанные с реализацией инцидентов информационной безопасности (ИБ), имеющих «разрушительное» воздействие на инфраструктуру и данные. Для проведения ШКУ специалисты Альтирикс Групп разработали сценарий – моделирование инцидентов ИБ, возникновение которых теоретически возможно в информационной инфраструктуре Заказчика. Смоделированные инциденты ИБ были представлены в виде заданий участникам ШКУ. Для оценки действий участников ШКУ были проанализированы ОРД Заказчика, связанные с процессом выявления, реагирования и устранения инцидентов. Также данные документы анализировались на предмет достаточности описания процесса выявления, реагирования и устранения инцидентов. По итогам ШКУ специалистами Альтирикс Групп были даны подробные рекомендации по выявленным недостаткам в коммуникации и ОРД, устранение которых помогут быстро и качественно реагировать на события ИБ, инциденты ИБ и компьютерные атаки (КА).

    Альтирикс Групп провела расследование компьютерного инцидента в компании занимающейся разработкой программного обеспечения. Были выполнены анализ предоставленных данных и выявление точки входа нарушителя. После выявления точки входа, производился поиск ресурсов, вовлеченных в инцидент, и определялись последствия. После выявления последствий и ресурсов, вовлеченных в инцидент, были даны рекомендации по реагированию на компьютерный инцидент и оказано содействие в устранении последствий. После устранения последствий и устранения уязвимости, позволившей нарушителю проникнуть и информационную инфраструктуры компании, для повышения уровня защищенности был проведен инструментальный анализ защищенности информационной инфраструктуры, по итогам которого, были выявлены критические уязвимости и даны рекомендации по устранению. После того, как были даны рекомендации по устранению выявленных уязвимостей, специалистами Альтирикс Групп было предложено, а клиентом согласовано внедрение средств защиты информации, которые повысили уровень защищенности информационной инфраструктуры.

    Альтирикс Групп провела тестирование на проникновение в ряде компаний и предприятий, занимающихся нефтепереработкой. Работы по тестированию на проникновение были разделены на следующие этапы: Предпроектное обследование, Инструментальный анализ защищенности, Внешнее тестирование на проникновение, Внутреннее тестирование на проникновение (в том числе реализация сценариев «Повышение привилегий до администратора домена», «Получение доступа из корпоративной сети передачи данных в технологический сегмент сети», «Захват файла с сервера или выгрузка из БД», «Попытка проведения платежа или подмены платежных данных», «DoS сервера или сетевой службы»),А нализ наличия и параметров защищенности беспроводных сетей и устройств, Тестирование работников методами социальной инженерии с использованием массовых, таргетированных атак, а также с непосредственным взаимодействием с работниками Заказчика, Анализ защищенности веб-приложения. Итогом выполненных работ стали подробные рекомендации, которые помогут устранить ошибки в конфигурациях информационной инфраструктуры и уязвимости.

    Альтирикс Групп провела анализ защищенности в технологичном партнере и агентстве полного цикла, входящего в экосистему одного из крупнейших банков России. Цель — определить уровень устойчивости ИСПДн к проведению в отношении нее компьютерных атак (КА), совершаемых злоумышленником. Было выполнено: получение информации о внешних ресурсах Заказчика, анализ защищенности веб-приложений, анализ защищенности почтовых серверов, анализ защищенности DNS-серверов, разработка векторов и методов проникновения с учетом анализа полученных данных, попытки тестовой эксплуатации обнаруженных уязвимостей и реализации разработанных векторов атак, автоматическая проверка веб-приложения, проведение ручных проверок и оценка защищённости от атак, поиск раскрытий внутренней информации веб-приложения, поиск любых возможностей (ошибок в реализации механизмов аутентификации, авторизации и разграничения доступа), которые могут нанести вред Заказчику или его клиентам, построение векторов атак, проведение попыток эксплуатации обнаруженных уязвимостей, анализ безопасности исходного кода веб-приложения

Не нашли нужное направление? Напишите нам

    Прикрепить файл

    Разрешенные форматы файлов: jpg, jpeg, png, gif, pdf, doc, docx, ppt, pptx, odt, avi, ogg, m4a, mov, mp3, mp4, mpg, wav, wmv. Размер файла до 10 Мбайт.

    Я согласен с условиями обработки персональных данных
    Я согласен с Политикой конфиденциальности

    Часто задаваемые вопросы

    Что является результатом проекта?

    Основным результатом проекта является Отчет о тестировании, содержащий описание методики проведения тестирования на проникновение; перечень и описание выявленных уязвимостей и угроз информационной безопасности; свидетельства наличия выявленных уязвимостей и угроз; классификацию выявленных уязвимостей и угроз; описание действий, позволивших выявить и эксплуатировать уязвимости; подробные рекомендации по устранению выявленных уязвимостей и угроз информационной безопасности. В зависимости от целей проекта, Отчет может быть дополнен, например, результатами тестирования бизнес-логики приложений, фишинговых атак и т.п.

    Отчет о тестировании позволяет Заказчикам устранить выявленные уязвимости и угрозы информационной безопасности и донести до руководства компании важность обеспечения информационной безопасности.

    Также одним из результатов проекта может являться инструктаж по информационной безопасности, проведённый для работников компании.

    Как организована работа на проекте (взгляд изнутри)?

    Перед началом проекта с Заказчиком согласовываются границы работ в соответствии с техническим заданием. Пошаговую реализацию типового проекта можно укрупненно разбить на следующие этапы:

    •   Формирование рабочей группы, в которую входят работники Заказчика, отвечающие за эксплуатацию тестируемых систем и их безопасность, а также работники Альтирикс Групп, ответственные за реализацию проекта. На каждый проект назначается архитектор проекта, обеспечивающий его качественную реализацию. В обязанности архитектора в том числе входят: организация коммуникаций, постановка задач узкоспециализированным специалистам, оформление итоговой документации и согласование её с Заказчиком.
    • Согласование План-графика и методики тестирования.
    • Тестирование в ходе которого, Заказчик оперативно информируется о найденных критических уязвимостях.
    • Оформление итоговой документации.
    • Инструктаж работников Заказчика и презентация результатов работ руководству (при необходимости).

    В чем разница между тестированием на проникновение, анализом защищенности, киберучениями и Red Teaming?

    Всё вышеперечисленное является методами анализа информационной инфраструктуры компаний с целью оценки её информационной безопасности, но стоит различать такие методы как тестирование на проникновение, анализ защищенности, киберучения, Red Teaming, т.к. в их основе лежат разные способы достижения основной цели.

    При тестировании на проникновение и анализе защищенности делается упор на исследование системы и средств защиты информации. При этом тестировщикам не противостоят подразделения компании, ответственные за обнаружение и предотвращение компьютерных атак. Основной целью данных методов является выявление уязвимостей в системе, которые могут быть использованы злоумышленником. При этом разница между тестированием на проникновение и анализом защищенности заключается в том, что при проведении анализа защищенности в большей степени используются автоматизированные средства обнаружения уязвимостей и их эксплуатации, например, специализированные сканеры и утилиты. При тестировании на проникновении дополнительно выполняется «ручная» обработка найденных уязвимостей. Также при тестировании на проникновение могут быть обнаружены 0-day уязвимости, которые не могут быть обнаружены сканерами, т.к. сканеры оперируют сигнатурами ранее выявленных уязвимостей.

    При киберучениях и Red Teaming делается упор на противодействие атакующей (Red Team) и защищающей (Blue Team) команд, обнаружение актуальных векторов атак и компрометацию наиболее критических активов компании. Основной целью данных методов является определение уровня готовности инфраструктуры и внутренних процессов компании в рамках взаимодействия подразделений по обнаружению и предотвращению кибератак. При этом выделяются штабные киберучения, которые предполагают отработку действий команды защиты в формате круглого стола или геймификации без воздействия на реальную инфраструктуру.

    Сколько времени занимает тестирование на проникновение?

    Альтирикс Групп придерживается индивидуального подхода к решению каждой поставленной перед нами задачи. Основными критериями, позволяющими определить время проведения работ, являются: вид тестирования на проникновение, объемы работ (кол-во ip-адресов, web-приложений, наличие средств защиты информации, и т.д.). В пакетах услуг, представленных на сайте, указано время выполнения типовых задач. Если ни один пакет услуг Вам не подходит, просим Вас связаться с нами и получить опросный лист на основе которого, мы сможем определить точное время выполнения работ по Вашему проекту.

    Что влияет на ценообразование?

    Конечная стоимость проекта зависит от ряда факторов, таких как: вид тестирования на проникновение, объемы работ (кол-во ip-адресов, web-приложений, наличие средств защиты информации, и т.д.), сложности доступа, необходимости очного посещения объекта и т.п. Также цена проекта зависит от количества видов тестирования на проникновение в одном проекте — в случаях когда Вы заказываете индивидуальный проект (например, внешнее тестирование и социотехническое тестирование), отличающийся по параметрам от пакетов услуг, цена всего проекта уменьшается за счёт параллельного выполнения нескольких задач. При заказе нескольких готовых пакетов услуг, представленных на сайте, общая стоимость не уменьшается, т.к. каждый пакет услуг уже оптимизирован и содержит в себе скидку.

    Может ли нарушить работу системы проведение тестирования на проникновение?

    При проведении тестирования на проникновение нельзя дать 100% гарантии, что проводимые тесты не вызовут сбой в работе тестируемой системы, т.к. тесты являются имитациями настоящих компьютерных атак, эксплуатирующих уязвимости системы, но в отличии от настоящих компьютерных атак, устраиваемых злоумышленниками, перед тестировщиками стоит задача минимизации рисков для Заказчика. Для минимизации рисков Альтирикс Групп готова предложить проведение тестирования на проникновение на системах-копиях тестируемой системы или тестирование системы в определенные промежутки времени с наименьшей загруженностью. Также стоит учитывать, что «контролируемая» кибератака позволит Вам с высокой вероятностью избежать какого-либо ущерба и лучше подготовиться к кибератаке, организованной злоумышленниками.

    Какой промежуток времени, наиболее подходящий для проведения тестирования на проникновение?

    Т.к. тестирование на проникновение несет в себе риски сбоя в функционировании тестируемой системы, для проведения тестирования требуется выбирать промежутки времени с наименьшей пользовательской нагрузкой на систему, учитывая время необходимое для восстановления функционирования системы.

    Как определить качество предоставленных услуг?

    Качественно проведенные работы по тестированию на проникновение должны предоставлять подробную информацию о проведенных этапах работ и их итогах. При этом этапы работ должны соответствовать наилучшим мировым практикам в области информационной безопасности. По итогам работ Альтирикс Групп предоставляет подробный отчет с указанием методики проведения работ, с описанием этапов проведения тестирования и с указанием результатов проведенных тестов. Также одним из показателей качества является привлечение к проекту сертифицированных специалистов в международных системах сертификации по анализу защищенности.

    Может ли тестирование на проникновение не выявить уязвимостей в тестируемой системе?

    В тех случаях, когда тестируемая система спроектирована и обслуживается с учетом мировых и российских требований по защите информации, возможно отсутствие уязвимостей, которые можно использовать для компьютерной атаки или блокирование её развития на ранней стадии. На практике это 1 случай из 20. При этом Вы всё-равно получаете подробный Отчет о тестировании с описанием всех векторов и причин, почему атака не была успешной. Такой Отчет может стать хорошим подтверждением компетенций подразделения информационной безопасности в компании и достаточности принимаемых мер по кибербезопасности.

    Что такое уязвимости информационной безопасности?

    Уязвимость по ISO/IEC 27000:2014 — слабость актива или управления, эксплуатация которой приведёт к реализации одной или нескольких угроз.

    Уязвимость по ГОСТ Р 56545-2015 — недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

    Уязвимость программного обеспечения (cwe.mitre.org) — ошибка в программном обеспечении, способная напрямую быть использована хакером для получения доступа к системе или сети.

    Простым примером уязвимости информационной безопасности может служить слабая парольная политика, позволяющая пользователю задавать нестойкие к атакам перебора пароли, например: 1111, user, admin, 1234qwer и т.д.

    Какой ущерб может быть причинён в результате кибератаки?

    По версии АНО «Цифровая экономика»: «Ущерб от киберпреступлений растет почти в геометрической прогрессии. Только в 2018 г., по оценкам Internet Crime Compliant Center, он составлял $2,7 млрд, а к 2022 г. – достигнет $8 млрд. Поэтому вопрос защиты данных рисков становится все более актуальным. Кибератаки в первую очередь «бьют» по бизнесу, который несет убытки от длительных простоев в деятельности из-за недоступности или иных сбоев информационных систем, утраты денег с электронных счетов, штрафов в связи с разглашением персональных данных и других проблем.»

    По версии РБК: «Средняя сумма убытков одной российской компании от кибератак в 2017 году в России составила 299,9 тыс. руб.; в целом по стране потери бизнеса от таких инцидентов оцениваются в 115,97 млрд руб., подсчитал аналитический центр Национального агентства финансовых исследований (НАФИ) на основании опроса, проведенного в ноябре 2017 года среди 500 руководящих сотрудников предприятий в восьми федеральных округах России».

    Другие направления по КИИ

    Мы используем файлы Cookie

    Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее для Вас. Продолжая просматривать данный веб-сайт и его разделы, вы соглашаетесь с Политикой конфиденциальности.