«Информзащита» использует систему MaxPatrol в рамках услуг по контролю соответствия требованиям регуляторов
Группа компаний «Информзащита» сообщила о том, что Департамент аудита компании «Информзащита» (входит в ГК «Информзащита») широко использует систему MaxPatrol компании Positive Technologies в рамках работ по оценке защищенности и контролю соответствия требованиям регуляторов.
Как отмечается, Одним из важных направлений деятельности компании «Информзащита» является предоставление консалтинговых услуг в области оценки защищенности. Специалисты Департамента аудита обладают обширным опытом проведения подобных работ по различным направлениям: от тестирования на проникновение (penetration testing, pentest) до комплексных аудитов безопасности.
Отдельным направлением деятельности Департамента является предоставление комплекса услуг по управлению соответствием требованиям Payment Card Industry (PCI) Security Council — серии стандартов, относящихся к вопросам безопасности платежных карт и затрагивающих как банки, так и другие организации, принимающие и обрабатывающих платежи с использованием пластиковых карт, пояснили в компании. В рамках этого направления специалисты«Информзащиты» предлагают услуги по ежеквартальному сканированию сетевого периметра (PCI DSS ASV), аудиту на соответствие стандарту (PCI DSS QSA), внутреннему и внешнему тестированию на проникновение, анализу исходных кодов платежных приложений в рамках стандарта PA-DSS. Проведение столь масштабных работ требует использования средств автоматизации. В компании «Информзащита» в качестве основного средства в рамках работ по сканированию защищенности более пяти лет используются продукты российской компании Positive Technologies: сканер безопасности XSpider и система контроля защищенности и соответствия стандартам MaxPatrol.
По отзыву «Информзащиты», систему MaxPatrol отличают широкий набор анализируемых систем и приложений, обширная база знаний и низкий уровень ложных срабатываний. По словам Максима Эмма, директора Департамента аудита, «система MaxPatrol в настоящее время включена в методики и используется сотрудниками Департамента при оказании услуг, связанных с вопросами поиска уязвимостей и сканирования защищенности. Кроме высокого качества анализа, позволяющего снизить затраты на экспертную обработку результатов, MaxPatrol предоставляет отчеты на русском языке, что позволяет удовлетворить требования некоторых регуляторов с одной стороны и потребности заказчиков с другой».
В свою очередь, Сергей Гордейчик, технический директор Positive Technologies, отметил: «Квалифицированные эксперты традиционно являются наиболее требовательными пользователями. С их стороны поступает наибольшее количество запросов на расширение возможностей продуктов, и зачастую эти запросы не терпят отлагательства, поскольку специалисты работают “в поле”, им нужно решать задачи, соблюдать сроки проекта. С другой стороны, подобная обратная связь позволяет значительно повысить качество продукта. Так, рекомендации специалистов ГК “Информзащита” были учтены в модулях анализа веб-приложений, анализа конфигураций систем, контроля целостности и оценки соответствия требованиям PCI DSS».
Примечательно, что в рамках сотрудничества ГК «Информзащита» и Positive Technologies также разработаны типовые проектные решения для выполнения требований 152 ФЗ и PCI DSS, а в MaxPatrol реализована поддержка анализа конфигураций продуктов семейства «Соболь», подчеркнули в компании.
© CNews