Все сайты
Digital Design МСК +7 (499) 788-74-94 СПб +7 (812) 346-58-33 Заказать звонок

Услуги информационной безопасности

  1. Обеспечение соответствия информационных систем (ИС) и автоматизированных систем (АС) требованиям регуляторов
  2. Проектирование ИС в защищенном исполнении
  3. Расследование инцидентов ИБ
  4. Построение и внедрение процессов защищенной разработки (DevSecOps)
  5. Построение SOC
  6. Проведение Пентестов и анализа защищенности
  7. Внедрение Системы для централизованной и многофакторной аутентификации и авторизации
  8. Другие услуги и решения от Digital Design
Теги:
1.

Обеспечение соответствия информационных систем (ИС) и автоматизированных систем (АС) требованиям регуляторов

Поможем вашей информационной системе (ИС) и автоматизированным системам (АС) полностью соответствовать актуальным требованиям российского законодательства и стандартов в области информационной безопасности.

1.1 Оценка соответствия требованиям Положений ЦБ и ГОСТ 57580, 15408

  • Положение Банка России от 30 января 2025 г. № 851-П "Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
  • Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
  • Положение Банка России от 17 августа 2023 г. № 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
  • Положение Банка России от 25 июля 2022 г. № 802-П "О требованиях к защите информации в платежной системе Банка России”.
  • Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
  • ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
  • Комплекс стандартов СТО БР ИББС.
  • Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013.

1.2 Информационные системы персональных данных (ИСПДн):

  • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
  • Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

1.3 Государственные информационные системы (ГИС):

  • Федеральный закон РФ от 27.07.2006 №149‑ФЗ «Об информации, информационных технологиях и о защите информации».
  • Постановление Правительства РФ от 06.07.2015 N 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
  • Приказ ФСТЭК России № 17 от 11 февраля 2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  • Приказ ФСБ России N 524 от 24 октября 2022 г «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».

1.4 Объекты критической информационной инфраструктуры (КИИ):

  • Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Постановление Правительства РФ от 08.02.2018 N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений.
  • Приказы ФСТЭК России №235, 236, 239 и др.

1.5 Автоматизированные системы, обрабатывающие конфиденциальную информацию КТ/ ДСП:

  • ФЗ № 98
  • РД АС от НСД
  • СТР-К

1.6 Автоматизированные системы управления технологическими процессами (АСУ ТП):

  • Приказ ФСТЭК России № 31
  • ФЗ №187

1.7 Аттестация Объектов информатизации

  • АРМ, автоматизированных и информационных систем (локальных и распределенных), в том числе государственных информационных систем.
  • Объектов критической информационной инфраструктуры (КИИ) и автоматизированных систем управления технологическими процессами (АСУ ТП).
  • Подготовка и аттестация в соответствии с Приказом ФСТЭК России №77:
    • Оценка имеющихся организационно-распорядительных документов и помощь в подготовке объекта информатизации к аттестационным испытаниям.
    • Разработка программы и методик проведения аттестационных испытаний, строго соответствующих всем актуальным нормативам.
    • Контроль соответствия объектов информатизации нормам, по которым ведется их аттестация.
    • Подготовка всей необходимой отчетной документации, включая протоколы аттестационных испытаний и заключения по их результатам.

Результат: Выдача Аттестата соответствия, официально подтверждающего высокий уровень защиты вашей информационной системы.

2.

Проектирование ИС в защищенном исполнении

Мы решаем комплексные задачи по информационной безопасности, актуальные для любых крупных организаций. Наши услуги включают проектирование, внедрение и техническую поддержку разнообразных решений и систем ИБ, обеспечивающих максимальную защиту ваших данных и инфраструктуры.

Внедрение средств защиты информации (СрЗИ) различных вендоров (Positive Technologies, Kaspersky, Код безопасности, Инфотекс, ГК Астра, F6, Гарда и другие:

  • Защищенный удаленный доступ: Организация безопасного доступа к корпоративным ресурсам для удаленных сотрудников и партнеров.
  • Системы защиты сетей:
    • Системы предотвращения вторжений (IPS/IDS).
    • Межсетевые экраны (FW, NGFW – нового поколения).
    • Системы контроля доступа к сети (NAD).
  • Средства защиты от несанкционированного доступа (НСД) и Защита конечных точек (Endpoint Protection): Комплексная защита рабочих станций и серверов от вредоносного ПО и неавторизованного доступа.
  • Средства криптографической защиты информации (СКЗИ): Шифрование данных для обеспечения конфиденциальности и целостности.
  • Системы защиты от целевых кибератак:
    • Разведка угроз (Threat Intelligence - TI), (Threat Hunting - TH) (Cyber Threat Intelligence - CTI).
  • Системы мониторинга ИБ (SIEM - Security Information and Event Management): Сбор, анализ и корреляция событий безопасности для оперативного выявления и реагирования на угрозы.
  • Системы анализа и контроля защищённости (СКЗ): Постоянный мониторинг уязвимостей и оценка общего уровня защищенности.
  • Системы управления доступом:
    • Управление идентификацией и доступом (IAM - Identity and Access Management).
    • Управление идентификационными данными (IDM - Identity Management).
    • Единая точка входа (SSO - Single Sign-On).
    • Многофакторная аутентификация (MFA - Multi-Factor Authentication) и другие.
  • Системы управления мобильными устройствами (MDM - Mobile Device Management): Безопасное управление корпоративными мобильными устройствами.
  • Защита веб-приложений (WAF/DBFW): Брандмауэры веб-приложений (Web Application Firewall) и брандмауэры баз данных (Database Firewall) для защиты от атак на веб-ресурсы.
  • Средства контроля политик ИБ: Инструменты для автоматизированного контроля выполнения корпоративных политик безопасности.
  • Системы защиты от утечек и контроль действий пользователей/администраторов:
    • Предотвращение утечек данных (DLP - Data Loss Prevention).
    • Управление привилегированным доступом (PIM/PAM/PUM - Privileged Identity Management/Privileged Access Management/Privileged User Management).
3.

Расследование инцидентов ИБ

В случае компрометации ваших систем, наша команда оперативно проведет расследование, локализует угрозу и поможет восстановить работоспособность:

  • Сбор исходных данных: Получение критически важных данных, таких как дампы оперативной памяти (ОЗУ), образы операционных систем (ОС) и виртуальных машин (ВМ).
  • Выявление индикаторов компрометации (IOCs): Идентификация признаков присутствия злоумышленника в системе.
  • Сбор и анализ сэмплов вредоносного ПО (ВПО): Анализ найденных вредоносных программ для понимания их функционала и целей атаки.
  • Локализация и установление точки проникновения: Определение источника и метода первоначального доступа злоумышленника.
  • Формирование отчета о расследовании и рекомендаций: Подробное описание инцидента, выявленных уязвимостей и шагов по предотвращению повторных атак.
  • Разработка Плейбуков по реагированию на инциденты ИБ.
  • Подготовка к восстановлению инфраструктуры: Рекомендации и помощь в безопасном восстановлении поврежденных систем и данных.
4.

Построение и внедрение процессов защищенной разработки (DevSecOps)

Мы интегрируем безопасность на всех этапах жизненного цикла разработки программного обеспечения, реализуя концепцию DevSecOps и Процессов БРПО ( ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования») для создания безопасных и надежных приложений.

Наши практики безопасной разработки включают:

  • Статический анализ кода (SAST - Static Application Security Testing): Выявление уязвимостей в исходном коде без его выполнения.
  • Динамический анализ (DAST - Dynamic Application Security Testing): Анализ безопасности работающего приложения путем имитации атак.
  • Интерактивный анализ (IAST - Interactive Application Security Testing): Комбинированный подход SAST и DAST для более глубокого анализа.
  • Анализ защищенности контейнеров (Container Security - CS): Проверка безопасности используемых докер-образов и контейнерных сред.
  • Компонентный анализ ПО (SCA - Software Composition Analysis): Идентификация и анализ уязвимостей в сторонних библиотеках и компонентах.
  • Анализ библиотек с открытым исходным кодом (OSA - Open Source Analysis): Выявление рисков, связанных с использованием open-source компонентов.
  • Анализ защищенности мобильных приложений (MAST - Mobile Application Security Testing): Специализированный анализ для мобильных платформ.
  • Оркестрация и Корреляция (ASOC - Application Security Orchestration and Correlation): Автоматизация и интеграция инструментов безопасности в CI/CD конвейер.
  • Аудит процессов разработки: Оценка текущих практик и выработка рекомендаций по их улучшению.
  • Сопровождение на всех этапах перехода от DevOps к DevSecOps: Помощь в трансформации и адаптации процессов.
  • Автоматизация процессов безопасной разработки (CI/CD, Ansible): Интеграция безопасности в конвейер непрерывной интеграции и доставки.
  • Внедрение и настройка средств анализа исходного кода ПО: Интеграция SAST/DAST/IAST решений.
  • Разработка концепции защиты сред контейнеризации: Планирование и реализация мер безопасности для контейнерных приложений.
  • Внедрение и настройка средств защиты сред контейнеризации: Конфигурирование инструментов для защиты Kubernetes, Docker и других платформ.
  • Внедрение и настройка решений для управления секретами: Безопасное хранение и управление ключами, паролями и другими конфиденциальными данными.
  • Разработка моделей угроз и документации по безопасной разработке ПО: Создание архитектуры безопасности и регламентирующих документов.
  • Разработка концепции внедрения практик безопасной разработки ПО: Пошаговый план по интеграции DevSecOps в вашу компанию.

Сервис DevSecOps Digital Design:

В соответствии с практиками мы предоставляем Сервис DevSecOps который представляет собой экосистему инструментов для анализа защищенности разрабатываемых продуктов (SAST, SCA, DAST, IAC, ASOC), а также помощи в построении процессов DevOps, консультациями и верификацией результатов специалистом по безопасности Appsec/DevSecOps.

Мы помогаем интегрировать безопасность на всех этапах жизненного цикла ПО, снижая риски уязвимостей и ускоряя выпуск качественных продуктов.

Осуществляем проверку кода при каждом выпуске обновления ПО или с заданной регулярностью, осуществляя сканирование продуктов и приложений, выдаем рекомендации по исправлению и участвуем в процессе разработки безопасного ПО. Также в рамках сервиса поможем в построении процессов DevOps для ускорения выпуска релизов, повысить надежность инфраструктуры и встроить безопасность в каждый этап жизненного цикла продукта.

Для кого может потребоваться сервис DevSecOps Digital Design:

DevSecOps Digital Design это сервис для тех, кто хочет обеспечить безопасность своей разработки, но не имеет собственных ресурсов или компетенций и нуждается в быстром старте, обеспечении безопасности при разработке ПО.

Актуален для тех, кто:

  • Не имеют собственной экспертизы в области DevSecOps или сотрудников в компании. Внедрение безопасной разработки в соответствии с требованиями ГОСТ Р 56939-2024 может оказаться сложной задачей для компаний, не имеющих опыта и специалистов в этой области. Мы помогаем решить эту проблему, предоставляя готовые решения и экспертизу.
  • Сталкиваются с проблемой взаимодействия между службой ИБ и разработчиками. Часто между отделами безопасности и разработки возникают разногласия. Мы выступаем координатором, выстраивая эффективное взаимодействие между обеими сторонами.
  • Ищут быстрого и эффективного решения для обеспечения безопасности своих приложений. Если требуется оперативно включить безопасность в процесс разработки — наш сервис позволяет это сделать без длительных интеграций в процесс разработки с минимальными затратами времени и ресурсов.
  • Сталкиваются с ограничениями по штатным единицам или бюджету. Вместо найма специалистов и перестройки инфраструктуры можно использовать наш сервис как «аутсорсинговую команду по DevSecOps и DevOps».
5.

Построение SOC

5.1 Построение SOC с нуля:

Создадим полноценный центр мониторинга ИБ, способный круглосуточно выявлять и противодействовать кибератакам (на базе отечественных решений или OpenSource).

Наши услуги включают:

  • Оценка текущего состояния: Поймем, какие технологии и компетенции уже есть в вашей компании для построения SOC.
  • Определение ландшафта киберугроз: Идентифицируем специфические угрозы, актуальные для вашей отрасли и инфраструктуры.
  • Формирование целей и задач SOC: Определим ключевые функции и составим детальное описание частных процессов SOC.
  • Разработка дорожной карты: Составим пошаговый план построения SOC с учетом целевого уровня его зрелости.
  • Проектирование SOC: Разработаем техническое задание, эскизный и технический проект на создание SOC, включая эксплуатационную документацию и плейбуки по реагированию на инциденты.
  • Запуск технологических компонентов: Внедрение и настройка SIEM, SOAR, EDR и других необходимых программных продуктов.

    • 5.2 SOC как услуга:

    Мы можем взять на себя функции вашего SOC, предоставляя круглосуточный мониторинг и оперативное реагирование на инциденты в формате сервиса, без необходимости создания собственной инфраструктуры. Это идеальное решение для компаний, которые хотят сосредоточиться на основном бизнесе, не отвлекаясь на сложные задачи ИБ.

    5.3 Компаниям с уже существующим SOC:

    Мы поможем вам усовершенствовать работу вашего SOC, повысить его эффективность и зрелость:

    • Оценка зрелости SOC: Проведем аудит вашего текущего SOC и составим дорожную карту для его развития.
    • Выявление пробелов: Идентифицируем недостающие процессы и технологии, предоставим экспертные консультации.
    • Обогащение технического контента: Предоставим наши собственные наработки (правила корреляции, парсеры и т.д.) для повышения эффективности SIEM.
    • Консультации по сложным инцидентам: Окажем экспертную поддержку вашей команде в расследовании и реагировании на критические инциденты.
    6.

    Проведение Пентестов и анализа защищенности

    Поможем выявить уязвимости в системах, оценить эффективность существующих мер безопасности и готовность команды реагировать на инциденты.

    6.1 Внешнее тестирование на проникновение:

    • Сканирование внешнего сетевого периметра и анализ открытых сервисов.
    • Выявление и эксплуатация уязвимостей для получения первоначального доступа.
    • Закрепление на скомпрометированной системе.
    • Подготовка подробного отчета с описанием найденных уязвимостей, их степени критичности и конкретными рекомендациями по устранению.
    • Предоставление консультаций по устранению уязвимостей.
    • Проведение проверки устранения уязвимостей для подтверждения их закрытия.
    • Подготовка отчета по выявленным уязвимостям.

    6.2 Внутреннее тестирование на проникновение:

    • Глубокое изучение внутренней инфраструктуры компании.
    • Исследование неправильных конфигураций системы, программного обеспечения и сетевых устройств.
    • Попытки захвата объектов инфраструктуры и пользовательских учетных записей.
    • Попытки повышения привилегий и доступа к критически важным информационным системам, включая учетные записи привилегированных пользователей.

    6.3 Фишинг/Оценка осведомленности сотрудников (Phishing Simulation/Security Awareness):

    • Разработка и рассылка персонализированных фишинговых электронных писем пользователям, выявленным в рамках OSINT (Open Source Intelligence).
    • Цель: оценить уровень осведомленности сотрудников в вопросах информационной безопасности и их реакцию на потенциально опасные действия (переход по ссылкам, ввод учетных данных и т.д.).
    • Предоставление отчета и рекомендаций по программам обучения пользователей ИБ.
    7.

    Внедрение Системы для централизованной и многофакторной аутентификации и авторизации

    Цифровой КУПОЛ — Решение объединяет возможности SSO, IDP, MFA и динамического управления ролевыми моделями доступа, обеспечивая безопасный, удобный и централизованный вход во все ИС компании по OpenID/OAuth в соответствии с RFC OpenID/OAuth.

    Что включает система Цифровой КУПОЛ:

    7.1 Централизованное управление доступом и идентификацией

    • Управление учетными записями пользователей в корпоративной среде.
    • Интеграция с LDAP, Active Directory, ЕСИА и другими провайдерами идентификации.
    • Гибкие сценарии авторизации и аутентификации с учетом ролей, подразделений и групп/IP адресов или масок подсетей.

    7.2 Единая точка входа (SSO)

    • Сквозная авторизация пользователей во всех информационных системах поддерживающих OpenID/OAuth.
    • Упрощение процесса входа без снижения уровня безопасности.
    • Поддержка локальных и внешних учетных записей.

    7.3 Многофакторная аутентификация (MFA)

    • Настройка политик MFA: TOTR, push-уведомления, SMS, e-mail, ключи безопасности (FIDO2), УКЭП.
    • Беспарольный вход — без постоянного пароля, с использованием одноразовых кодов или аппаратных ключей.

    7.4 Динамическая ролевая модель

    • Гибкое управление ролями с учетом контекста (время, устройство, местоположение и др.).
    • Автоматическая смена исполнителей ролей и адаптация политик доступа.
    • Масштабируемая модель прав доступа — без избыточного администрирования.

    7.4 Интеграция протоколами аутентификации

    • Поддержка Kerberos, RADIUS и других стандартных протоколов.
    • Простая интеграция в существующую ИТ-инфраструктуру (Установка Цифрового КУПОЛА в Docker или Kubernetes).
    • Аудит текущей инфраструктуры.
    • Разработка модели доступа и сценариев аутентификаци.
    • Развёртывание и настройка Цифрового КУПОЛА.
    • Интеграция с ИС и каталогами пользователей.
    • Обучение персонала и техподдержка.
    8.

    Другие услуги и решения от Digital Design

    Продолжая использовать данный веб-сайт, вы соглашаетесь с Политикой использования файлов cookie и тем,
    что группа компаний Digital Design может использовать файлы cookie для оптимизации работы веб-сайта.