Аналитический центр

Аналитический центр


Аналитический центр – центр компетенций по информационной безопасности (ИБ), в котором сосредоточены знания и опыт в области современных информационных технологий и лучших мировых практик по обеспечению ИБ. В Центре три направления:

1. Направление аудитов и соответствия требованиям ИБ

Команда направления специализируется на экспертизе организации и управления процессами обеспечения ИБ.

Специалисты направления решают широкий спектр проектных задач:

  • разработку проектов организационно-распорядительных документов в области ИБ;
  • моделирование нарушителя и угроз безопасности информации;
  • аттестации объектов информатизации;
  • оценки соответствия требованиям законодательства РФ в области ИБ;
  • экспертные аудиты ИБ на соответствие лучшим практикам;
  • формирование планов защиты и дорожных карт по реализации мер обеспечения ИБ, консалтинг при проектировании систем обеспечения ИБ;

Специалисты направления участвуют как в реализации, так и в управлении проектами в области защиты персональных данных, коммерческой тайны, государственных информационных систем, критической информационной инфраструктуры, автоматизированных систем управления технологическими процессами, защищаемой информации в финансовых организациях и т.д.

Помимо прочего аналитики направления аудитов и соответствия требованиям ИБ:

  • участвуют в pre-sale (снимают потребность Заказчика, оказывают предварительные консультации по актуальным для Заказчика услугам, планируют будущие проекты);
  • проводят научно-исследовательские работы;
  • публикуют статьи и аналитические записки, обзоры изменений законодательства в области ИБ и экспертные комментарии, ответы на FAQ и другие полезные материалы;
  • участвуют в конференциях по темам ИБ в качестве спикеров, экспертов и модераторов;
  • проходят регулярные обучения и повышения квалификации;
  • выступают в роли авторов обучающих материалов для Заказчиков и образовательных платформ, а также в роли преподавателей в учреждениях высшего профессионального образования;
  • выступают в роли спикеров на вебинарах и в профессиональных сообществах;
  • записывают подкасты, ведут авторские и корпоративные блоги, выступают в качестве экспертов на телевидении и многое другое.

2. Направление Анализа защищённости (или Пентест)

Cпециализируется на проверке безопасности ИТ-инфраструктуры, информационных систем и программных продуктов наших Заказчиков. Наши эксперты выявляют возможные векторы атаки и дают рекомендации, как их предотвратить.

  • 150+ проектов для среднего и крупного бизнеса
  • 7 лет практики
  • 6 зафиксированных уязвимостей нулевого дня
  • 15+ квалифицированных специалистов по анализу защищенности (пентестеров)

Направления, которыми занимаются наши эксперты:

  • Анализ защищённости внешнего периметра и веб-приложений
  • Оценка внутренней безопасности информационной системы
  • Проникновение через беспроводные сети
  • Анализ защищенности от атак типа «отказ в обслуживании»
  • Тестирование методами социальной инженерии

А также наши специалисты:

3. Направление Автоматизации ИБ

Занимается внедрением инструментов автоматизации для комплаенс-контроля, эффективного сдерживания, устранения и расследования кибератак.

Классы решений:

  • SGRC

    Системы класса Security Governance, Risk Management and Compliance (Security GRC) автоматизируют управление информационной безопасностью, рисками и соответствием требованиям законодательства

  • SOAR/ IRP

    Системы класса Security Orchestration, Automation and Response (SOAR) автоматизируют процессы реагирования на инциденты ИБ, обеспечивают оркестрацию средств защиты информации и обогащение данных о событиях безопасности

  • TIP

    Системы класса Threat Intelligence Platform (TIP) обеспечивают обогащение систем управления ИБ данными киберразведки на основе открытых источников и баз данных ведущих игроков рынка

  • Security Awareness

    Решения класса Security Awareness автоматизируют процесс повышения осведомленности персонала в области обеспечения ИБ

Наши специалисты занимаются:

  • Бизнес-аналитикой процессов ИБ и регламентов ИБ Заказчика
  • Проводят презентации и пилоты решений автоматизации ИБ для Заказчика
  • Разрабатывают проектную документацию для решений автоматизации ИБ
  • Внедряют решения автоматизации ИБ Заказчику
  • Интегрируют решения автоматизации ИБ с существующими системами Заказчика
  • Участвуют в пресейл-деятельности: подготовка технико-коммерческих предложений Заказчику и иных необходимых документов
  • Участвуют в маркетинговой деятельности (выставки, презентации, конференции), написание статей

4. Направление Безопасной разработки (DevSecOps)

Занимается внедрением решений по информационной безопасности процессов разработки на всех этапах непрерывного цикла создания программного обеспечения — от сборки до интеграции и развертывания.

Основные направления работы:

  • Аудит процессов разработки

    • Наши эксперты изучают и описывают процессы разработки
    • Составляют перечень инструментов, используемых командой проекта
    • Определяем бизнес-логику процессов разработки
    • Формируем подробный отчёт о состоянии DevOps или DevSecOps с указанием недостатков и потенциальных угроз с точки зрения информационной безопасности
  • Application Security (Безопасность приложений)

    • Анализ защищённости мобильных, web и десктопных приложений белым ящиком
    • Проведение анализа исходного кода, динамического анализа приложения, фаззинг тестирования
    • Эксплуатация, по возможности, найденных уязвимостей
    • Devops/ DevSecOps инженеры

    • Разворачивание, тестирование, поддержка внедрённых решений по безопасности SAST, DAST, OSA/SCA, Container security, ASOC (российские и зарубежные);
    • Развитие собственной платформы безопасности

Наши специалисты непрерывно следят за изменениями отраслевого законодательства, публикуются на профильных площадках, регистрируют выявленные уязвимости в бюллетенях безопасности и проходят необходимую сертификацию.

Осуществляют полный перечень работ по внедрению процессов безопасной разработки.

Занимаются созданием и развитием собственной облачной платформы по непрерывному анализу защищенности приложений Заказчика.