Департамент аудита компании «Информзащита» широко использует систему MaxPatrol

Одним из важных направлений деятельности компании «Информзащита», входящей в Группу компаний (ГК) «Информзащита», является предоставление консалтинговых услуг в области оценки защищенности. Специалисты Департамента аудита обладают обширным опытом проведения подобных работ по различным направлениям: от тестирования на проникновение (penetration testing, pentest) до комплексных аудитов безопасности. В последние годы широко востребованы работы по оценке на соответствие требованиям регуляторов и контролю выполнения стандартов (compliance), таких как 152 ФЗ «О персональных данных», Стандарт Банка России СТО БР ИББС и др. 

Отдельным направлением деятельности Департамента является предоставление комплекса услуг по управлению соответствием требованиям Payment Card Industry (PCI) Security Council — серии стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт. 

В рамках этого направления специалисты компании «Информзащита» предлагают услуги по ежеквартальному сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS. 

Разумеется, проведение столь масштабных работ требует использования средств автоматизации. В компании «Информзащита» в качестве основного средства в рамках работ по сканированию защищенности более пяти лет используются продукты российской компании Positive Technologies: сканер безопасности XSpider и система контроля защищенности и соответствия стандартам MaxPatrol. 

Высокое качество продуктов, широкий набор анализируемых систем и приложений, обширная база знаний и низкий уровень ложных срабатываний делают MaxPatrol наиболее эффективным инструментом из всех, представленных на рынке. 

По словам Максима Эмма, директора Департамента аудита: «Система MaxPatrol в настоящее время включена в методики и используется сотрудниками Департамента при оказании услуг, связанных с вопросами поиска уязвимостей и сканирования защищенности. Кроме высокого качества анализа, позволяющего снизить затраты на экспертную обработку результатов, MaxPatrol предоставляет отчеты на русском языке, что позволяет удовлетворить требования некоторых регуляторов с одной стороны и потребности заказчиков с другой». 

Для производителя системы, российской компании ЗАО «Позитив Текнолоджиз», такая ситуация является не только поводом для гордости, но и определенным вызовом. По словам Сергея Гордейчика, технического директора Positive Technologies: «Квалифицированные эксперты традиционно являются наиболее требовательными пользователями. С их стороны поступает наибольшее количество запросов на расширение возможностей продуктов, и зачастую эти запросы не терпят отлагательства, поскольку специалисты работают «в поле», им нужно решать задачи, соблюдать сроки проекта. С другой стороны, подобная обратная связь позволяет значительно повысить качество продукта. Так, рекомендации специалистов ГК «Информзащита» были учтены в модулях анализа веб-приложений, анализа конфигураций систем, контроля целостности и оценки соответствия требованиям PCI DSS». 

Следует отметить, что в рамках сотрудничества ГК «Информзащита» и компании Positive Technologies также разработаны типовые проектные решения для выполнения требований 152 ФЗ и PCI DSS, а в MaxPatrol реализована поддержка анализа конфигураций продуктов семейства «Соболь». 

Информация о компаниях: 

Компания Positive Technologies - одна из ведущих российских компаний в области информационной безопасности. Основные направления деятельности компании: разработка системы контроля защищенности и соответствия стандартам MaxPatrol и сканера безопасности XSpider; предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru. Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, являются членами международных организаций и активно участвуют в развитии отрасли. 

Компания «Информзащита» - ведущий российский системный интегратор в области информационной безопасности. Компания сконцентрирована на оказании услуг в области консалтинга, аудита и анализа защищенности, проектировании, внедрении, поставке, сопровождении, технической поддержке решений по обеспечению информационной безопасности современных автоматизированных систем любого уровня сложности. Компания «Информзащита» входит в Группу компаний «Информзащита», которая специализируется в области обеспечения информационной безопасности и более 10 лет является лидером российского рынка ИБ. Компания является сертифицированным партнером ряда крупнейших мировых поставщиков решений по безопасности и ведет свою деятельность на основании лицензий ФСТЭК России, ФСБ России, Министерства обороны России и СВР России.