ГБУ КО «Калугаинформтех»

Перед нами стояла задача оказания услуг по оценке уровня защищённости информационной инфраструктуры для органа исполнительной власти Калужской области.

КЛИЕНТ

ГБУ КО «Калугаинформтех» — государственное бюджетное учреждение Калужской области, обеспечивающее работу информационных систем органов исполнительной власти региона. Учреждение является технологическим оператором, через инфраструктуру которого проходят значимые информационные потоки. От устойчивости и защищённости этой инфраструктуры зависит функционирование региональных государственных сервисов.

ОТРАСЛЬ

Государственный сектор и региональная цифровая инфраструктура. Особенность отрасли — масштаб и публичность последствий любых инцидентов. Атака на инфраструктуру регионального оператора может затронуть тысячи государственных служащих и сотни тысяч граждан.

ЗАДАЧА

Перед нами стояла задача оказания услуг по оценке уровня защищённости информационной инфраструктуры для органа исполнительной власти Калужской области. Объём задач включал: выявление и консолидацию стратегических рисков; выявление уязвимостей информационной инфраструктуры; выявление недостатков применяемых средств защиты; проверку практической возможности использования уязвимостей; разработку маршрутной карты по модернизации инфраструктуры.

По сути, речь идёт о полноценном пентесте государственной инфраструктуры — как провести пентест в государственном органе так, чтобы получить объективную картину и практически значимые рекомендации, а не формальный отчёт «для галочки».

ПРОБЛЕМАТИКА

  1. Ключевая проблематика заключалась в необходимости получить объективную, основанную на реальных свидетельствах оценку уровня защищённости.
  2. Внутренние оценки и самоаудит, как правило, не дают полной картины: своя команда либо не имеет достаточно времени и инструментов для глубокого анализа, либо неосознанно «затушёвывает» собственные узкие места. Без внешней независимой команды пентестеров с разнопрофильной экспертизой невозможно адекватно описать поверхность атаки.

РЕШЕНИЕ

Для проведения пентеста была сформирована коллаборация пентестеров различных направлений: специалисты по сетевому пентесту, тестированию веб- приложений, анализу защищённости беспроводных сетей, социальной инженерии, анализу внутренней инфраструктуры и Active Directory. 

  1. На первом этапе была проведена работа по консолидации стратегических рисков.
  2. На втором — идентификация уязвимостей.
  3. На третьем — проверка практической возможности их использования с подготовкой proof-of-concept.
  4. На четвёртом — формирование отчётных документов.
  5. На пятом — разработка маршрутной карты по модернизации.

РЕЗУЛЬТАТЫ

Заказчик получил отчётные документы для предоставления Правительству Российской Федерации, ФСТЭК и ФСБ России.

  • Для руководства — получена объективная картина уровня защищённости и обоснованный план действий по его улучшению.
  • Для службы ИБ — получена системная база для аргументации перед руководством, вместо отдельных «индивидуальных мнений» имеется отчёт независимых экспертов.

Отработана модель внешнего независимого пентеста, которая может тиражироваться и на другие региональные органы власти. В перспективе — проведение повторной оценки уровня защищённости для отслеживания динамики и подтверждения результатов модернизации.


Отзывы

5.0

ПАО "Ростелеком"

От лица команды обеспечения информационной безопасности единой сети передачи данных ПАО "Ростелеком" выражаю благодарность команде ООО "КРЕДО-С", которая принимала участие в проведении периодического контроля соответствия системы…

Благодарственное письмо
5.0

ООО "Мултон Партнерс"

ООО «Мултон Партнерс» выражает искреннюю признательность ООО «КРЕДО-С» за профессионализм и ответственный подход оказанных услуг. Хотели бы отметить высокую экспертность команды по тестированию на проникновение за проделанную ими…

Благодарственное письмо
5.0

ПАО "Тамбовский завод "Электроприбор"

Выражаем Вам огромную благодарность за качественно выполненные работы по совершенствованию системы информационной безопасности нашего предприятия. Ваш профессионализм и глубокие знания в совместной работе над проектами помогли…

Благодарственное письмо
5.0

ФГАОУВО "Самарский национальный исследовательский университет имени академика С.П. Королева"

От лица федерального государственного автономного образовательного учреждения высшего образования «Самарский национальный исследовательский университет имени академика С.П. Королева» (Самарский университет) выражаю благодарность…

Благодарственное письмо
5.0

ПАО "Тамбовский завод "Электроприбор"

Публичное акционерное общество «Тамбовский завод «Электроприбор» выражает свою благодарность ООО «КРЕДО-С» за оказание услуг по оценке уровня защищенности информационной инфраструктуры нашего предприятия. Хотим отметить…

Благодарственное письмо

Решаем такие же задачи для вашей инфраструктуры

Обсудим проект, сроки и стоимость под вашу ситуацию.

Обсудить проект →

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва