ЭЛЕФУС
Решения
Защищенность органов власти и госкорпораций обеспечивается в соответствии с законами РФ и ведущими стандартами отрасли
Данные сотрудников и клиентов медучреждений должны быть максимально защищены
Помогаем в создании максимально защищенных решений без уязвимостей
Обеспечение защищенности различных систем и подсистем банковского сектора и финансовых служб

Государственный сектор
Защищенность органов власти и госкорпораций обеспечивается в соответствии с законами РФ и ведущими стандартами отрасли
Государственный сектор стремится сегодня внедрять инновационные технологии во всех значимых сегментах, начиная от управления и заканчивая коммуникацией с гражданами. А это предполагает создание многоступенчатой разветвленной ИТ-инфраструктуры, которая нуждается в надежной защите. Для обеспечения безопасности всех ее компонентов необходимо создавать и поддерживать в рабочем состоянии процессы обеспечения ИБ.
В феврале 2020г. в открытом доступе появились персональные данные 74% населения Израиля, включая имена, адреса, серии и номера удостоверяющих личности документов, номера телефонов, домашние адреса, возраст, пол, а также политические взгляды около 6,5 млн человек. Утечка произошла из-за неправильной настройки приложения для выборов, разработанного партией израильского премьер-министра Биньямина Нетаньяху «Ликуд».
Ключевыми задачами для обеспечения ИБ органов власти и госкорпораций являются следующие:
  • внедрение специальных средств защиты, препятствующих утечкам персональных данных;
  • устранение возможности несанкционированного доступа к ИС госучреждения;
  • разграничение прав доступа пользователей к чувствительным данным;
  • препятствие утечкам, хищению, потере, уничтожению, копированию, изменению, блокировке и разглашению данных;
  • создание банков данных для обеспечения их сохранности, целостности, достоверности и конфиденциальности.

В настоящее время существует ряд международных стандартов и документов, предназначенных для обеспечения ИБ в госсекторе. Основные требования о защите информации, не составляющей государственную тайну и содержащейся в государственных информационных системах изложены в одноименном приказе ФСТЭК России от 11 февраля 2013 г. N 17.
Секретная документация ВВС США была выставлена на продажу на хакерском форуме. Заплатив $150-200, любой мог получить инструкции по обслуживанию ударных дронов MQ-9 Reaper, рекомендации по размещению самодельных бомб, руководство по эксплуатации танка M1 ABRAMS и так далее. Злоумышленник подключился к маршрутизаторам американской авиабазы в Неваде с помощью FTP-пароля по умолчанию и взломал компьютер одного из старших офицеров.
Компания "Элефус" предоставляет полный комплекс услуг компаниям государственной сферы, включая аудит информационной безопасности, моделирование угроза, проектирование и внедрение систем защиты, аттестацию информационной системы. обеспечение безопасности персональных данных, и так далее.

Медицинские организации
Данные сотрудников и клиентов медучреждений должны быть максимально защищены
Медицинские учреждения массово внедряют информационные системы для хранения и обработки данных своих пациентов. И, несмотря на то, что во многих поликлиниках и больницах пока не удалось полностью уйти от бумажных носителей, цифровизация становится повсеместной.

Данные о пациентах и сотрудниках медицинских организаций строго конфиденциальны и особо чувствительны к утечкам. Поэтому их защита должна обеспечиваться на самом высоком уровне. Речь идет не только о сведениях непосредственно о здоровье пациентов, перенесенных ими заболеваниях и операциях, рекомендациях и процедурах, но и о стоимости контрактов с медучреждениями. Финансовая информация клиентов различных клиник находится в фокусе интереса злоумышленников.
В середине февраля 2020 года компания Comparitech обнародовала данные исследования, согласно которым американские медучреждения за пять лет потеряли $157 млн из-за более чем 170 атак вирусов-вымогателей. Специалисты уверены, что эти цифры не отражают истинный размер потерь, поскольку пострадавшие не желают сообщать об инцидентах.
Внедрение и использование информационных систем в медучреждениях без должной заботы об информационной безопасности ставит под угрозу конфиденциальность, целостность и доступность данных, и может обернуться рядом опасных инцидентов. Вот основные угрозы ИБ, которые могут быть реализованы злоумышленниками по отношению к организациям медицинского профиля:
  • несанкционированный доступ к конфиденциальной информации с целью ее хищения
  • заражение вирусами, троянами и другим вредоносным ПО с целью нанесения вреда хранимой информации и/или последующего шантажа с требованием выкупа
  • применение методов социальной инженерии для получения сведений об информационной системе для реализации распределенной целевой атаки
  • внесение неисправностей, уничтожение технических и программно-технических компонентов ИС путем непосредственного физического воздействия.
В 2018г. в Сингапуре хакеры атаковали компьютеры крупнейшей в стране группы медицинских учреждений SingHealth. Злоумышленникам удалось похитить персданные 1,5 млн человек, в том числе нескольких высокопоставленных чиновников. Хакеры получили имена, номера документов, адреса и даты рождения. Такие базы данных высоко ценятся на черном рынке - их стоимость превышает $2тыс.
В настоящее время государственные власти обеспокоены ростом атак на медицинские информационные системы и утечками конфиденциальной информации. Минздравсоцразвития России разработало концепцию создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ), которая регламентирует основные положения информационного обеспечения учреждений здравоохранения. В рамках этого направления всем медучреждениям, осуществляющим внедрение информационных систем, рекомендовано реализовать комплекс мероприятий, позволяющих выполнить требования ФЗ-152 по обработке, хранению и передаче персданных и положения ФЗ-187 «О безопасности критической информационной инфраструктуры РФ» об обеспечении комплексной защиты критической информационной инфраструктуры (КИИ) в ближайшие несколько лет.

Компания "Элефус" предоставляет полный комплекс услуг компаниям медицинской сферы, включая аудит информационной безопасности, моделирование угроза, проектирование и внедрение систем защиты, аттестацию информационной системы. обеспечение безопасности персональных данных, и так далее.

Разработчики информационных систем
Помогаем в создании максимально защищенных решений без уязвимостей
Российские компании из критически важных отраслей экономики, включая банковский сектор, телекоммуникации, медицинскую сферу и промышленность, используют, в основном, программные решения отечественного производства. Многие из них содержат уязвимости разной степени критичности, которые открывают доступ в информационные системы для злоумышленников.
Око­ло 70% при­ложе­ний, используемых компаниями из различных сфер бизнеса, со­дер­жат кри­тичес­кие у­яз­ви­мос­ти, ко­торые поз­во­ля­ют ки­бер­прес­тупни­кам по­лучить дос­туп к кон­фи­ден­ци­аль­ным дан­ным ор­га­низа­ций и поль­зо­вате­лей, а так­же от име­ни жер­твы со­вер­шать в у­яз­ви­мых он­лайн-сер­ви­сах раз­личные опе­рации. К таким выводам пришли специалисты "Ростелеком-Солар" в ходе недавнего исследования.
Любое программное обеспечение, будь это простой вебсайт, мобильное или десктопное приложение, неизбежно содержит уязвимости на разных этапах своего жизненного цикла. Сократить их количество можно, регулярно проводя тестирование и реализуя концепцию SDL (Security Development Lifecycle), содержащую набор практик направленных на повышение безопасности разрабатываемых систем. Российским аналогом SDL является ГОСТ, содержащий перечень действий, которые рекомендуется осуществить на различных этапах жизненного цикла ПО.

Команда "Элефус" предлагает услуги анализа защищенности ПО, тестирования на проникновение, аттестации на соответствие ГОСТ. Наши специалисты сделают все, чтобы устранить уязвимости в ваших системах и повысить их уровень защищенности.

Финансовые организации
Обеспечение защищенности различных систем и подсистем банковского сектора и финансовых служб
Для обеспечения безопасности внешних и внутренних ресурсов организаций банковской сферы рекомендуется регулярное проведение аудита защищенности. В любом банке должно одновременно и бесперебойно функционировать несколько сложных систем и приложений, включая автоматизированную банковскую систему (АБС), систему дистанционного банковского обслуживания (ДБО), различные платежные модули и решения для обслуживания клиентов. Каждое из них может содержать опасные уязвимости, реализация которых открывает доступ к данным и финансовым потокам банка. Злоумышленники могут не только получить доступ к конфиденциальной информации и похитить деньги, но и нарушить работу критичных элементов инфраструктуры, что представляет собой серьезную угрозу бизнесу и репутации.
В 2019 году Россия вновь стала лидером по атакам банковских вирусов. Об этом свидетельствуют отчеты аналитиков "Лаборатории Касперского", согласно которым, более 30% пользователей в мире, которые столкнулись с атаками банковских троянов, проживали в России.
Регулярное проведение аудита защищенности банка позволяет выявить проблемы и слабые места в системе ИБ, объективно оценить степень стойкости информационных ресурсов банка перед проникновением извне. Специалисты "Элефус" предоставляют данную услугу ИБ компаниям финансовой сферы под ключ. Она включает в себя как полную проверку выполнения нормативных актов, так и комплексную оценку защищенности применяемых решений.

В соответствии с пожеланиями заказчика, может быть проведен аудит одной системы, например, ДБО, или осуществлен контроль активов приобретенного банка, проверка вновь открываемого филиала и так далее. Все необходимые условия прописываются в договоре между заказчиком и исполнителем.

Какие стандарты затрагивают организации банковской сферы в РФ?

  • СТО БР ИББС-1.0-2014
  • Письмо Банка России от 24 марта 2014 г. №49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
  • Закон о Критической информационной структуре
  • 152-ФЗ«О персональных данных»
  • PCI DSS
  • ПП № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
  • Положение Банка России от 24 августа 2016-го года №552-П "О требованиях к защите информации в платежной системе Банка России"

А также
  • Требования ФСБ (для обладателей лицензий на криптографию)
  • 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • 63-ФЗ «Об электронной цифровой подписи»
  • 98-ФЗ «О коммерческой тайне»
По результатам прохождения комплексного аудита информационной безопасности заказчик получает от специалистов "Элефус" отчет об уровне защищенности всех элементов своих информационных систем, а также рекомендации по закрытию брешей в ИБ, решению ключевых проблем и дальнейшему развитию инфраструктуры.