8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Тестирование на проникновение » Экспертиза по анализу защищенности программного обеспечения или IT-системы

Экспертиза по анализу защищенности программного обеспечения или IT-системы

Мы предлагаем:

  • Анализ защищенности мобильных, настольных и серверных приложений;
  • Тестирование методом белого и черного ящика;
  • Анализ уязвимостей инфраструктуры функционирования Вашей IT-системы.

Почему мы:

  • Нашими экспертами проведено более 500 исследований программного обеспечения;
  • Исследования основывается как на ГОСТ/ISO 15408, так и на лучших практиках;
  • Более 10 дипломированных специалистов, осуществляющих деятельность под лицензиями ФСТЭК и ФСБ.
  • Наши эксперты имеют собственные научно-пробированные методики проведения компьютерных экспертиз;
  • Наши эксперты обучали экспертов по проведению компьютерных экспертиз и защите информации (в том числе из стран дальнего и ближнего зарубежья).

Важно:

Работы проводятся без деструктивного воздействия. Эксплуатация уязвимостей строго по согласованию с Заказчиком.»

Экспертиза по анализу защищенности программного обеспечения или IT-системы - услуги RTM Group
Экспертиза по анализу защищенности программного обеспечения или IT-системы - от RTM Group
Узнать стоимость?
Перейти

Эксперты по экспертизе анализа защищенности программного обеспечения или IT-системы

Эксперт по экспертизе анализа защищенности программного обеспечения или IT-системы Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по экспертизе анализа защищенности программного обеспечения или IT-системы Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

В рамках экспертизы по анализу защищенности ПО эксперту необходимо исследовать информационную систему на предмет наличия уязвимостей, а также выявить признаки их эксплуатации (если требуется). В ходе проведения исследования эксперт оценивает критичность обнаруженных уязвимостей и выстраивает причинно-следственную связь между наличием уязвимостей и событием, которое имеет отношение к делу.

Эксперты компании RTM Group готовы дать компетентную и максимально точную оценку уровня защищённости ПО, а также составить заключение для суда, которая поможет Вам взять верх в любом разбирательстве. За всё время работы ни одно наше заключение не было успешно оспорено.

 

Эксперты RTM Group готовы предложить:

  1. Анализ защищенности мобильных, настольных и серверных приложений – сможем ответить на такие вопросы, как «имеются ли уязвимости в исследуемом программном обеспечении? Каким образом могут быть использованы уязвимости? Какие могут быть последствия неустранения обнаруженных уязвимостей?» и многие другие.
  2. Тестирование методом белого и черного ящика – проведём имитационную атаку в условиях, наиболее приближенным к реальным для наиболее достоверного моделирования поведения киберпреступников.
  3. Анализ уязвимостей инфраструктуры функционирования Вашей IT-системы – проведём расследование и точно определим, каким именно образом третьи лица получили несанкционированный доступ в систему. Также проконсультируем касательно профилактических мер во избежание инцидентов в будущем.

Данная услуга подходит, если:

  • Требуется провести расследование инцидента ИБ и получить заключение эксперта для суда;
  • Хотите повысить защищённость бизнеса перед информационными угрозами;
  • Желаете оценить устойчивость вашей системы ИБ к актуальным угрозам;
  • Нужно узнать, какие уязвимости использовали злоумышленники для получения доступа;
  • Реальные атаки на ресурсы компании уже проводились.

Важно!

Все применяемые в рамках оценки защищённости методы (включая имитацию атаки – пентест) являются абсолютно безвредными и используются исключительно с целью сбора статистики о совершении сотрудниками небезопасных с точки зрения защиты информации действий. Все данные заказчика, которые могут получить эксперты в рамках работы, являются строго конфиденциальными и ни при каких обстоятельствах не передаются третьим лицам.

Что получает заказчик:

  1. Заключение квалифицированного эксперта с многолетним опытом, которое можно использовать для доказывания по делу в суде или иных целей.
  2. Оценку готовности системы информационной безопасности к посягательствам злоумышленников и понимание уровня защищённости данных;
  3. Готовые решения от экспертов, позволяющие значительно повысить устойчивость к атакам с использованием уязвимостей ПО;
  4. Увеличение эффективности существующих внутренних регламентов по информационной безопасности или создание нового.

    Нужна консультация?
    Задать вопрос

    Подходы к проведению анализа защищенности

    Принято выделять три основных подхода к проведению анализа защищенности:

    1. Принцип черного ящика. В данном подходе исследователь ничего не знает ни про объект исследования, ни про средства и методы защиты, ни про организационную структуру. Эксперт должен анализировать варианты внешнего проникновения и возможность получения доступа к инфраструктуре и информации. Для этого эксперт может анализировать порты у сетевого оборудования, применять социальную инженерию и пр. В конечном итоге, задача эксперта – получить доступ к инфраструктуре, получить информацию и/или права в информационной системе, например, пароль и логин администратора.
    2. Принцип серого ящика. Предварительно у исследователя есть вводные данные, возможно учетная запись, доступ к проводной сети или Wi-Fi. Эксперт может развивать атаку и получать дополнительные права.
    3. Принцип белого ящика. В рамках данного подхода проводится внутреннее исследование с наличием большого объема первичной информации. При таком анализе защищенности, исследователь видит всю инфраструктуру, понимает, как работает компания и используемые ей системы, может собрать данные о средствах и методах защиты, провести внутреннее сканирование и выявить максимальный объем уязвимостей.

    Пентестом можно назвать только первый подход, когда эксперт работает по принципу черного ящика. Некоторые исследователи также называют пентестом серый ящик.

    Применительно к судебным экспертизам актуален подход белого ящика. Для исследователя важно получить максимальный объем исходных данных, найти и продемонстрировать суду возможность эксплуатации найденных уязвимостей.

    В компании RTM Group накоплен большой опыт проведения судебных экспертиз, экспертами освоены все группы компьютерно-технических экспертиз и нормативных экспертиз по направлению информационной безопасности. Имеется обширная практика работы экспертами, специалистами, а также представителями стороны по делу. Эксперты обладают уникальным опытом участия в судебных процессах, требующих проведения анализа защищенности систем дистанционного банкинга (ДБО) и прочих IT-систем.

    Экспертиза по анализу защищенности позволяет установить и продемонстрировать суду механизм атаки проведенной внутренним или внешним злоумышленником.

     

    Экспертиза по анализу защищенности ИТ-системы позволяет ответить на вопросы:

    • Имеются ли уязвимости в исследуемом программном обеспечении? Каким образом могут быть использованы уязвимости? Описать обнаруженные уязвимости.
    • Какие могут быть последствия неустранения обнаруженных уязвимостей?
    • Какие действия могут быть произведены при наличии обнаруженных уязвимостей?
    • Можно ли подтвердить или опровергнуть проведение анализа защищенности в отношении исследуемых систем в 20ХХ году?
    • Возможно ли совершить операции по счету клиента банка путем использования обнаруженных уязвимостей?
    • Какие действия должны быть совершены для эксплуатации уязвимости?
    • Каким образом были совершены изменения в исследуемой системе, была ли проэксплуатирована уязвимость? Установить авторство изменений.
    • Какие уязвимости системы эксплуатировались для совершения хищения?
      И пр.

    При рассмотрении дел, в которых требуется установить наличие/отсутствие известных уязвимостей и фактов их эксплуатации, необходимо учитывать, что после того как злоумышленник обнаружил конкретные уязвимости, дальнейшие действия злоумышленников направлены исключительно на поиск инструментария, для эксплуатации найденных уязвимостей. Сложность и длительность процедуры поиска инструментария ограничивается только финансовыми возможностями злоумышленников.

    Соответственно наличие уязвимостей уже само по себе является «приглашением» для злоумышленников. Взлом уязвимой системы становится лишь делом времени и экономической целесообразности для злоумышленников.

    Чтобы минимизировать вероятность стать жертвой злоумышленников, возможно проведение анализа защищенности до этапа эксплуатации или в процессе эксплуатации. При этом методики и полнота исследований полностью идентичны судебной экспертизе с той лишь разницей, что результаты исследования полностью передаются заказчику и используются им для предотвращения инцидентов, а не для ликвидации их последствий. Помимо этого, по результатам аудита экспертами может быть вынесен ряд рекомендаций по оптимизации защищенности рабочих мест, программного обеспечения и информационной инфраструктуры Заказчика.

    Принято выделять 2 большие категории злоумышленников:

    • Внутренний злоумышленник
    • Внешний злоумышленник

    К внутренним злоумышленникам относятся сотрудники, клиенты и подрядчики, т.е. те лица, которые могут получить информацию об имеющихся уязвимостях в рамках легальной работы. К внешним злоумышленникам относятся все остальные.

    Как показывает опыт экспертов RTM Group, основная угроза исходит именно от внутренних злоумышленников. Таким образом, экспертиза по анализу защищенности может включать в себя раздел по оценке нормативного обеспечения работы ИТ-систем, а также раздел по существующему разграничению прав доступа.

    В случае проведения экспертизы по анализу защищенности во внесудебном порядке экспертами RTM Group может быть проведена оценка последствий для бизнеса, включая правовые последствия. Это позволяет категорировать уязвимости по уровню угрозы.

     

    Что входит в комплекс экспертиз по анализу защищенности?

    Экспертиза по анализу защищенности представляет собой технический аудит информационной безопасности. В отличие от стандартного аудита, перед началом работ должен быть определен перечень объектов исследований, формализована методика проведения экспертизы, описаны используемые материалы и оборудование.

    В случае проведения судебной экспертизы все необходимые исходные данные, а также формулировки вопросов должны быть достаточными и корректными. Поэтому крайне желательно предварительное привлечение в судебное заседание специалиста еще до назначения судебной экспертизы.

    В зависимости от поставленных вопросов могут применяться различные методики, материалы и оборудование. Информация относительно методик, материалов и оборудования может быть предоставлена суду заранее. Открытость методик, возможность повтора исследования и верификации выводов эксперта, позволяет суду вынести обоснованное решение по рассматриваемому делу.

    Заказать услуги по экспертизе анализа защищенности программного обеспечения или IT-системы

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:




    Оглавление:

    Вопросы, на которые позволяет ответить экспертиза по анализу защищенности ИТ-системы Что входит в комплекс экспертиз по анализу защищенности Заказать экспертизу по анализу защищенности ПО


    Видео по экспертизе анализа защищенности программного обеспечения или IT-системы

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по экспертизе анализа защищенности программного обеспечения или IT-системы

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Информационное письмо для суда

    бесплатно

    Экспертиза по анализу защищенности ПО

    Объем и методика уточняются отдельно.
    При запросе просим указать на возможность получения исходных кодов для исследования, а также приблизительное количество строк кода на каждом из применяемых языков программирования.

    Подробное описание
     

    от 350 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

    В штате нашей компании

    3 лицензии

    ФСТЭК России и ФСБ России

    821-П, 851-П (683-П), 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    100% удовлетворенность заказчиков

    Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

    Наши отзывы по экспертизе анализа защищенности программного обеспечения или IT-системы

    Благодарность от ООО КБ «АРЕСБАНК»
    27.02.2020
    Уважаемый Евгений Олегович! Коммерческий Банк «АРЕСБАНК» общество с ограниченной ответственностью благодарит компанию «РТМ ТЕХНОЛОГИИ» за проведенную оценку соответствия №382- П. Аудит был проведен в рамках действующих требований и показал объективную оценку. Так же, после проведения пентеста, были получены дополнительные рекомендации по защите информации. Спасибо компании «РТМ ТЕХНОЛОГИИ» за проделанную работу. По итогам проведенной проверки мы получили исчерпывающую информацию о защищенности всей системы. Отдельную благодарность выражаем коллективу компании за профессиональный подход к своим обязанностям. Сотрудники работают четко в соответствии с составленным договором, и предоставляют исчерпывающие данные о проверке. Заместитель Председателя Правления А.И. Валов
    Благодарность от ПАО "ТРАНСКАПИТАЛБАНК"
    26.08.2019
    Специалисты ООО «РТМ ТЕХНОЛОГИИ» оказали комплекс услуг по проведению аудита безопасности объектов критической информационной инфраструктуры, а также провели нормативное исследование (экспертизу) функционирования системы ДБО. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Надеемся на сохранение сложившихся позитивных деловых отношений для реализации совместных проектов по информационной безопасности в будущем. С уважением, Начальник департамента информационной безопасности Курило П.А.
    Благодарность от АО «НВКбанк»
    26.08.2019
    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.

    Услуги для вас

    Услуга Пентест — услуги тестирования на проникновение и анализа уязвимостей

    Пентест — услуги тестирования на проникновение и анализа уязвимостей

    - Что следует учесть при выполнении требования Банка России по проведению пентеста на ежегодной основе?
    - Пример технического задания на проведение пентеста по 851-П, 821-П, 757-П
    - Почему RTM Group?
    - Цена проведения пентеста
    Услуга Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    - Где содержится требование проводить оценку (анализ) уязвимостей ПО?
    - Какое ПО нужно оценивать на уязвимости?
    - Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
    - Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
    - Отчет по анализу уязвимостей ПО
    Услуга Компьютерно-техническая экспертиза (КТЭ)

    Компьютерно-техническая экспертиза (КТЭ)

    - Что такое компьютерно-техническая экспертиза (КТЭ)?
    - Содержание заключения по судебной КТЭ
    - Дополнительные услуги КТЭ
    - Основания для производства КТЭ
    - Наша гарантия
    - Цены
    - Заказать компьютерно-техническую экспертизу
    Услуга Организация безопасного рабочего места бухгалтера (защита системы ДБО)

    Организация безопасного рабочего места бухгалтера (защита системы ДБО)

    — Какие нарушения внутри организации создают дополнительные уязвимости системы ДБО?
    — Почему до 2018 года клиентам было сложно доказать вину банка в случае возникновения инцидента?
    — Описание этапов проведения работ по защите системы ДБО
    — Конфиденциальность и гарантии после создания безопасного рабочего места бухгалтера
    Услуга Судебная экспертиза по информационной безопасности (нормативно-техническая экспертиза)

    Судебная экспертиза по информационной безопасности (нормативно-техническая экспертиза)

    — В каких целях необходимо проводить данный вид экспертизы?
    — Примеры судебных нормативных экспертиз по ИБ
    — Примеры нормативно-технических экспертиз по ИБ
    Услуга Экспертизы в спорах по хищению денежных средств через ДБО (Интернет-банк)

    Экспертизы в спорах по хищению денежных средств через ДБО (Интернет-банк)

    — Официальная статистика Банка России по количеству несанкционированных списаний денежных средств
    — Анализ судебной практики по тематике хищения денежных средств через ДБО
    — К каким последствиям привели изменения в области регулирования систем ДБО?

    Продукты и решения для вас

    Anti-DDoS и WAF

    Anti-DDoS и WAF

    Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
    Security Awareness

    Security Awareness

    Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

    Менеджер паролей

    Менеджер паролей

    Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
    Многофакторная аутентификация

    Многофакторная аутентификация

    Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.
    МФУ и печатная техника

    МФУ и печатная техника

    МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    ПК (АРМ)

    ПК (АРМ)

    ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
    Сервер

    Сервер

    Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    СХД

    СХД

    Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
    Удаленный доступ и управление конфигурациями устройств

    Удаленный доступ и управление конфигурациями устройств

    UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья 4 варианта участия IT-эксперта в судебном процессе

    4 варианта участия IT-эксперта в судебном процессе

    — Варианты привлечения экспертов в судебный процесс.
    — Привлечение эксперта в качестве специалиста.
    — Привлечение эксперта для проведения судебной экспертизы.
    — Проведение внесудебной экспертизы.
    — Участие эксперта в качестве представителя стороны по делу.
    — На что в первую очередь обращает внимание суд при выборе эксперта или экспертной организации?
    — Примеры судебных процессов с привлечением IT-специалистов.
    Статья Досудебная экспертиза. Задачи, оценка судом, примеры

    Досудебная экспертиза. Задачи, оценка судом, примеры

    - Что такое досудебная экспертиза?
    - Каково содержание досудебной (внесудебной) экспертизы?
    - Кто предоставляет эксперту материалы для производства досудебной экспертизы?
    - Как суд оценивает заключение досудебной экспертизы?
    - В каких случаях необходима досудебная экспертиза?
    - В чем сходства и отличия судебной и досудебной экспертизы?
    - Особенности досудебных компьютерно-технических экспертиз
    Статья Судебная компьютерно-техническая экспертиза, виды, вопросы

    Судебная компьютерно-техническая экспертиза, виды, вопросы

    В составе СКТЭ можно выделить следующие виды экспертиз:
    - аппаратно-компьютерная экспертиза
    - программно-компьютерная экспертиза
    - информационно-компьютерная экспертиза (данных)
    - компьютерно-сетевая экспертиза
    - нормативно-техническая экспертиза

    FAQ: Часто задаваемые вопросы

    Вы можете оценить защищенность компьютера, на котором установлен клиент банка? Сколько это будет стоить.

    Добрый день.
    Рабочее место с клиентом банка — простейший пример системы — несложная задача для оценщика. Стоимость зависит от срочности проведения работ и необходимости выезда эксперта, составляет от 20 000 рублей.