Услуги

Информационная безопасность. Услуги

Получить консультацию
image
Экспертный аудит информационной безопасности
Один из ключевых инструментов, который позволяет оценить реальный уровень защищенности IT-инфраструктуры банка.
Этапы аудита:
  • Планирование проектных работ.
  • Обследование IT-инфраструктуры и средств защиты информации.
  • Анализ и оценка защищенности информационных систем.
  • Подготовка итогового отчета и рекомендаций.

Банк получает:
  • Итоговый отчет с оценкой текущего состояния уровня информационной безопасности.
  • Рекомендации по совершенствованию уровня безопасности.

Получить консультацию
Оценка соответствия 382-П
Основной инструмент определения уровня информационной безопасности в финансовых организациях, которая должна проводиться 1 раз в 2 года.
Компания BSS обладает лицензией на ТЗКИ ФСТЭК, которая необходима для проведения данной оценки. Заказчику предоставляются итоговые результаты, а также документы по форме, определенной Положением.
По итогам оценки клиенту остается только подать данные в Банк России.
Комплекс работ:
  • Анализ внутренней нормативной документации.
  • Обследование IT-инфраструктуры и средств защиты информации.
  • Опрос сотрудников для оценки выполнения процедур безопасности.
  • Расчет итоговых показателей оценки соответствия — EV1, EV2 и R.

Банк получает:
  • Итоговые показатели оценки соответствия — EV1, EV2 и R.
  • Итоговую отчетную документацию по установленной форме.
  • Рекомендации по совершенствованию уровня информационной безопасности.

Получить консультацию
Оценка соответствия ГОСТ Р 57580
С 1 января 2021 года проведение оценки соответствия требованиям ГОСТ 57580 станет обязательной процедурой — согласно вступившим в силу Положениям № 672-П, № 683-П и № 684-П.
К этому времени все финансовые организации должны обеспечить необходимый уровень информационной безопасности.
Основная задача проведения процедуры — минимизация финансовых потерь банков и их клиентов.
Комплекс работ:
  • Анализ внутренней нормативной документации.
  • Анализ модели угроз и бизнес-процессов.
  • Опрос сотрудников для оценки выполнения процедур безопасности.
  • Исследование объектов IT-инфраструктуры и средств защиты информации.
  • Анализ соответствия средств защиты информации требованиям стандарта.
  • Расчет итоговых показателей оценки соответствия.

Банк получает:
  • Числовые оценки соответствия.
  • Итоговую отчетную документацию по установленной форме.
  • Рекомендации по совершенствованию уровня информационной безопасности банка.

Получить консультацию
Аудит бизнес-процессов
Автоматизация бизнес-процессов банка, а также их продуктов и услуг — вопрос, который сейчас стоит очень остро. При автоматизации компании часто сталкиваются с тем, что текущие бизнес-процессы в новых условиях неэффективны, неоднородны или избыточны.
Для устранения данных ошибок, необходимо проводить внутренний аудит бизнес процессов.
Комплекс работ:
  • Сквозная фактическая визуализация процесса.
  • Проверка соответствия фактического процесса плановому.
  • Выявление узких мест процесса.
  • Анализ KPI.
  • Бенчмаркинг бизнес-процессов.
  • Анализ уровня автоматизации.

Банк получает:
  • Отчет об отклонениях бизнес-процессов от планового состояния;
  • Рекомендации по доработке и оптимизации.

Получить консультацию
Пентесты
Пентест (тестирование на проникновение) — метод оценки безопасности компьютерных систем или сетей путем моделирования атак злоумышленников.
С помощью пентестов выявляют вероятные направления атак, а также дают рекомендации по устранению слабых мест в защите и повышению уровеня информационной безопасности.
Виды пентестов:
  • Внутреннее тестирование;
  • Внешнее тестирование;
  • Социотехнический тест — определяет реакцию пользователя и ответственного персонала на методы проникновения, используемые злоумышленниками.

Банк получает:
  • Отчеты о результатах тестирований;
  • Рекомендации по повышению информационной безопасности;
  • Видеозаписи наиболее критичных атак;
  • Презентацию для руководства банка о текущем состоянии.

Получить консультацию
Анализ защищенности веб-приложений
Анализ защищенности опирается на стандарты и лучшие практики в области информационной безопасности и тестирование на проникновение (OWASP ТОР 10, SANS ТОР 25, OSSTTM, и др.)
Методы анализа:
  • «Черный» ящик — хакер не обладает учетной записью в веб-приложении;
  • «Серый» ящик — хакер обладает учетной записью в веб-приложении;
  • «Белый» ящик — хакер обладает учетной записью, а также исходным кодом веб-приложения.

Комплекс работ:
  • Ручной анализ защищенности сервисов хоста, на котором расположено приложение;
  • Анализ защищенности приложений с использованием автоматических сканеров уязвимостей;
  • Ручные проверки уязвимостей в соответствии с базами OWASPTOP 10 и SANS ТОР 25;
  • Поиск логических уязвимостей (накручивание денежных средств, нелегитимные переводы средств, и др.)

Банк получает:
  • Отчет о выявленных уязвимостях с использованием риск-ориентированного подхода;
  • Взаимодействие и помощь разработчикам при устранении уязвимостей;
  • Видеозапись эксплуатации критичных уязвимостей;
  • Презентацию для руководства банка о текущем состоянии.

Получить консультацию
Анализ исходного кода приложения
Комплексная проверка и анализ для выявления уязвимостей, которые могут привести к несанкционированному доступу к данным компании. Проводится с использованием автоматизированных средств и ручного анализа.
Комплекс работ:
  • Поиск небезопасных функций исходного кода, позволяющих выполнять произвольный код на стороне сервера;
  • Анализ корректности и безопасности использования криптографических функций;
  • Поиск функций, ведущих к небезопасным обращениям к другим объектам;
  • Поиск небезопасных обращений к файловой системе, базам данных и другой информации;
  • Выявление логических уязвимостей (накручивание денежных средств, нелегитимные переводы, доступ к чужим счетам)

Банк получает:
  • Отчет о найденных уязвимостях;
  • Рекомендации по корректному и безопасному использованию функций;
  • Рекомендации по мерам для снижения рисков безопасности;
  • Презентацию для руководства банка о текущем состоянии.

Получить консультацию
Анализ защищенности сетей Wi-Fi
Проверка сети Wi-Fi позволяет выявить уязвимости, через которые злоумышленник может попасть внутрь сетевого периметра и получить доступ к ресурсам корпоративной сети.
Комплекс работ:
  • Анализ защищенности точек доступа банка;
  • Создание поддельных точек доступа для перехвата учетных данных пользователей;
  • Тест возможности проникновения во внутреннюю сеть и получения доступа к критичным сегментам банка;
  • Анализ передаваемой внутри сети информации;

Банк получает:
  • Отчет о проведении анализа защищенности сетей;
  • Рекомендации по снижению выявленных рисков;
  • Рекомендации по использованию защитных средств Wi-Fi сетей;
  • Презентацию для руководства банка о текущем состоянии.

Получить консультацию
Нагрузочное тестирование
Создание нагрузки на онлайн-ресурс банка с целью оценки защищенности и готовности к DDoS-атакам или наплыву клиентов.
Комплекс работ:
  • Анализ текущих средств защиты от DDoS-атак и возможности их обхода;
  • Поэтапное увеличение нагрузки на приложение, сетевой и транспортный уровень ISO/OSI;
  • Контроль и измерение нагрузки на тестируемый сегмент IТ-инфраструктуры банка.

Банк получает:
  • Отчет о текущем состоянии защищенности банка от DDoS-атак разного масштаба;
  • Рекомендации по использованию и настройке защитных средств;
  • Консультирование IТ-специалистов по построению инфраструктуры для сегментов с высокой нагрузкой;
  • Презентацию для руководства банка о текущем состоянии.

Получить консультацию
Разведка в сети и Darknet
Пассивная и активная разведка сетевых и онлайн-ресурсов банка с целью предотвращения кибератак и повышения защищенности сетей и данных.
Пассивная разведка включает поиск:
  • Сотрудников банка с использованием соцсетей, форумов и других открытых площадок;
  • Поддоменов, относящихся к инфраструктуре банка;
  • Подсетей, относящихся к инфраструктуре банка;
  • Конфиденциальных файлов в сети Интернет;
  • Упоминание имени банка на хакерских форумах и площадках в сети Darknet;
  • «Слитых» паролей для учетных записей сотрудников банка;
  • Исходного кода приложений банка в Интернете

Активная разведка включает поиск:
  • Открытых портов и сервисов;
  • Е-mail адресов с использованием почтового сервера банка;
  • Поддоменов с использованием dns-сервера банка.

Банк получает:
  • Отчет обо всей найденной информации в сети Интернет и Darknet;
  • Анализ информации и построение потенциальных векторов атак на инфраструктуру банка;
  • Презентацию для руководства банка о результатах разведки.

Получить консультацию
Red Team — киберучения
Проведение реальных хакерских атак на IТ-инфраструктуру банка для проверки защищенности банка. Атаки проводятся без ограничения по времени и используемым ресурсам.
Банк получает:
  • Отчет об успешности или не успешности атак на инфраструктуру;
  • Отчет о найденных уязвимостях в корпоративной сети;
  • Рекомендации по повышению уровня защищенности;
  • Презентацию для руководства банка о способности инфраструктуры противостоять атакам.

Получить консультацию
Мониторинг внешнего периметра
Мониторинг для выявления уязвимостей. Как правило, требуется при развертывании временных систем с доступом к интернету, к которым легко получить доступ. Проводится на постоянной основе.
Комплекс работ:
  • Еженедельное сканирование всей внешней инфраструктуры на предмет доступных хостов и портов;
  • Обнаружение сервисов на доступных портах;
  • Выявление уязвимостей сервисов.

Банк получает:
  • Еженедельный отчет о проведенном сканировании;
  • Анализ изменений внешней инфраструктуры в сравнении с предыдущим сканированием.

Получить консультацию
Поиск сценариев мошенничества
Банки и другие финансовые организации ежегодно несут большие потери из-за мошеннических действий как со стороны внешних нарушителей, так и собственных сотрудников.
Комплекс работ:
  • Тестирование системы Antifraud при работе в системах ДБО;
  • Тестирование системы выдачи онлайн-кредитов и займов;
  • Тестирование системы переводов и логических операций приложения;
  • Анализ бизнес-процессов внутри банка на предмет потенциального мошенничества.

Банк получает:
  • Отчет о выявленных способах кибермошенничества;
  • Отчет о текущей способности банка противостоять кибермошенничеству;
  • Рекомендации по снижению рисков;
  • Презентацию для руководства банка об имеющихся сценариях мошенничества.

Получить консультацию
У Вас есть вопросы?
image

Оставить заявку

Мы всегда рады ответить на любые Ваши вопросы

* Обязательные поля для заполнения

Отправить резюме

* Обязательные поля для заполнения

Спасибо!

Благодарим за обращение. Ваша заявка принята

Наш специалист свяжется с Вами в течение рабочего дня

Общее согласие на обработку персональных данных

В порядке и на условиях, определенных Федеральным законом от 27.07.2006 No152-ФЗ, настоящим даю согласие BSS, расположенному по адресу: , на обработку (осуществление действий (операций), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), анализ, систематизацию, построение с использованием полученных данных математических моделей, сегментацию, сопоставление извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) с использованием средств автоматизации и/или без использования средств автоматизации моих персональных данных, указанных в настоящем Обращении, а также данных, полученных Компанияом от/находящихся в распоряжении третьих лиц и/или из общедоступных источников, в целях 1) на получение Компанияом необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом «О кредитных историях» No 218-Ф3 от 30.12.2004; 2) повышения качества обслуживания Компанияом клиентов; 3) предоставления информации лицам, уполномоченным (в силу закона, договора или любым иным законным образом) на проведение проверок и/или анализа деятельности Компанияа, а также на осуществление иных форм контроля за деятельностью Компанияа, для целей осуществления ими указанных функций; 4) продвижения продуктов и услуг Компанияа; 5) разработки, модификации и усовершенствования систем принятия решений, используемых в Компанияе.

Настоящим выражаю свое согласие с тем, что Компания вправе поручать обработку персональных данных третьим лицам, включая ООО «Мэйл.Ру», АО «НБКИ» для достижения вышеуказанных целей, а также с тем, что такие лица вправе обрабатывать персональные данные, в объеме, способами и в целях, указанных выше.