Продукт снят с продаж.

Для получения консультации по подбору аналогичного продукта обратитесь через онлайн-консультант, форму обратной связи или отправьте письмо по электронной почте на адрес info@datasystem.ru

Тест на проникновение проводится с использованием методов социальной инженерии (Social Engineering). Основной целью проведения теста является выявление уровня осведомленности персонала Заказчика о требованиях по информационной безопасности. В процессе проведения тестирования определяется реакция пользователей и персонала ответственного за информационную безопасность на организационные методы проникновения, используемые злоумышленниками.
 
Методы социальной инженерии достаточно часто используются злоумышленниками и направлены, как правило, на конечных пользователей. В результате успешной атаки злоумышленник может получить контроль над рабочими станциями, получить конфиденциальные документы Заказчика, использовать ресурсы Заказчика для организации атак на системы других компаний, рассылки спама и пр.
 
Организационные аспекты ИБ являются важнейшей составляющей системы защиты и, часто, обычные пользователи являются самым слабым звеном. Данная услуга позволит выявить те организационные аспекты ИБ, на которые Заказчику следует обратить внимание в первую очередь.
 
Результаты, полученные в ходе оказания данной услуги, могут стать основой для разработки Программы повышения осведомленности (Security Awareness Program), максимально ориентированной на проблемные области, выявленные в ходе тестирования. Данная услуга также может быть полезна для проверки эффективности действующей Программы осведомленности Заказчика.

В общем случае порядок проведения работ следующий:

• С Заказчиком согласовываются методы социальной инженерии, которые будут использованы при проведении теста. Могут быть использованы следующие методы:
  • рассылка почтовых/IM сообщений от имени анонимных пользователей и сотрудников Заказчика, содержащих ссылки на Web-ресурсы с исполняемым кодом, содержащие исполняемый код в теле письма, содержащие просьбу сменить пароли, переслать пароли или свою персональную информацию и пр.;
  • выборочная проверка исполнения политики "чистого стола" (стикеры с паролями, незаблокированные в отсутствие пользователя консоли, наличие конфиденциальных документов в офисе, доступных посетителям, оставленные без присмотра сотовые телефоны и КПК);
  • звонки пользователям от имени ИТ и ИБ персонала с просьбами получения/смены пароля, пересылки конфиденциальных документов и пр.
• Выбор целевых групп пользователей и определение методов тестирования для каждой из групп.
• Проведение теста: рассылка почтовых сообщений, звонки пользователям, выезд в офис Заказчика для проведения исследования.
• Использование полученных в результате предыдущих этапов привилегий для получения несанкционированного доступа к ресурсам Заказчика (см. Технологический тест на проникновение).
• Анализ и консолидация результатов различных тестов.

Результатом работы будет являться отчет, содержащий:

• Выводы для руководства, содержащие общую оценку уровня осведомленности пользователей.
• Методику проведения теста.
• Перечень основных проблемных областей (включая информацию по всем действиям пользователей в каждой целевой группе).
• Рекомендации по устранению выявленных проблемных областей.

Логическим продолжением теста на проникновение могут являться работы:

• Разработка программы повышения осведомленности в области ИБ
• Внедрение системы управления ИБ (СУИБ)