Перейти к содержимому

Аудит ИБ и пентест

Аудит ИБ, пентест и vCISO-консалтинг — соответствие 152-ФЗ, 187-ФЗ КИИ, ISO 27001

Полный цикл услуг по информационной безопасности: наступательное тестирование, соответствие регуляторам (российским и международным), стратегический консалтинг и встраивание ИБ в разработку.

Оставить заявку
01 · Offensive

Наступательная безопасность и тестирование

Эмулируем реальные сценарии атак, чтобы понять, где система действительно ломается — до того, как это найдёт злоумышленник.

  • Тестирование внешнего периметра

    Black-box и grey-box пентест публичных сервисов: оценка экспозиции, эксплуатация уязвимостей, проверка обхода защитного контура.

  • Внутренний пентест

    Сценарии «нарушитель внутри сети» и «компрометация рабочей станции». Латеральное перемещение, эскалация привилегий, путь до критичных активов.

  • Аудит веб-приложений

    OWASP Top 10 плюс бизнес-логика, авторизация, сессии, API. Подходит для финтех-сервисов, кабинетов клиентов, биллинговых платформ.

  • Аудит мобильных приложений

    iOS и Android: статический и динамический анализ, проверка хранения данных, обфускации, защиты от reverse engineering.

  • Социальная инженерия

    Фишинг, претекстинг, vishing. Опционально — физический pentest (попадание на объект, попытка установки устройства).

  • Perimeter Vulnerability Assessment

    Быстрый формат 2–4 недели: инвентаризация активов, анализ конфигураций, точечные рекомендации «быстрых побед» по Парето.

  • Red Team Operations

    Полноценная имитация целевой атаки 8–16 недель. Цель — пройти до заранее согласованных «коронных» активов и измерить реакцию SOC и Blue Team.

  • OSINT и поиск утечек

    Поиск секретов, токенов, внутренней документации в GitHub, Docker Hub, S3-бакетах, теневом интернете (dark web). Опционально — ежеквартальный мониторинг.

  • Аудит исходного кода и поиск закладок

    Ревью кодовой базы и сторонних зависимостей. Защита цепочки поставок ПО: проверка подрядных артефактов и SDK на закладки.

  • Web3, DeFi и аудит смарт-контрактов

    Ручной и инструментальный аудит смарт-контрактов (Solidity, Vyper, Rust), проверка экономики протокола, оценка рисков моста и оракулов, поиск типовых уязвимостей DeFi (reentrancy, MEV, flash-loan, access control).

02 · Compliance

Соответствие и аудит регуляторам

Закрываем требования российских регуляторов и подбираем оптимальный путь для компаний с международной отчётностью.

  • Аудит зрелости ИБ

    Оценка по ISO 27001, ГОСТ Р 57580.1, NIST CSF. Анализ разрывов, дорожная карта устранения, приоритизация по бизнес-риску. При необходимости — план импортозамещения СЗИ (средств защиты информации) с учётом реестра Минцифры.

  • Аудит соответствия 152-ФЗ

    Документы оператора ПДн, журнал учёта, модель угроз, обоснование уровня защищённости. Подготовка к проверкам Роскомнадзора.

  • Аудит соответствия 187-ФЗ (КИИ)

    Категорирование объектов КИИ, согласование с ФСТЭК, требования к подсистемам защиты. Подготовка к надзорным мероприятиям.

  • Финансовый сектор: ЦБ РФ 851-П / 716-П / 802-П / 757-П (НФО), серия ГОСТ Р 57580

    851-П заменил 683-П с 29.03.2025; обязательная регистрация identity-сессий с геолокацией с 01.10.2025. Указание ЦБ № 7219-У от 28.10.2025 — обновлённые требования для НФО (в силу с 01.01.2027). Серия ГОСТ Р 57580: 57580.1-2017 (базовые меры) + 57580.2-2018 (методика оценки соответствия) + 57580.3-2022 (управление риском ИБ-угроз) + 57580.4-2022 (опер. надёжность). Подготовка к проверкам, оценка профиля защищённости, план по достижению целевого уровня.

  • Программа соответствия GDPR

    Для компаний, работающих с гражданами ЕС: инвентаризация данных, DPIA, регламент уведомления об инцидентах, SAR-процесс, DPA с подрядчиками.

  • PCI DSS scoping и подготовка к сертификации

    Определение зоны действия стандарта, gap-анализ, сопровождение до выдачи AoC. Для эквайеров, процессинговых и платёжных компаний.

  • SOC 2 readiness

    Для экспортно ориентированных SaaS-компаний: подготовка контролей Trust Services Criteria и сопровождение Type I / Type II аудита.

  • Аудит anti-fraud процессов

    Ревизия правил, моделей и операционного контура противодействия мошенничеству. Анализ false-positive / false-negative показателей.

  • Аудит процессов безопасности

    Не «есть ли документ», а «что реально выполняется». Доказательная проверка фактического исполнения политик и регламентов.

03 · Strategic

Стратегия и консалтинг

Помогаем руководству перевести безопасность из «технического долга» в управляемую программу с бюджетом, метриками и горизонтом.

  • vCISO и консалтинг для руководства

    Внешний CISO на стороне заказчика: стратегия, согласованная с бизнесом, многолетний инвестиционный план, отчётность для совета директоров.

  • Ревью архитектуры безопасности

    Сегментация, криптография, IAM-архитектура, эталонная архитектура для новых сервисов, архитектурная модель угроз.

  • Программа противодействия инсайдерским угрозам

    Кросс-работа с нашей IDM/PAM-командой: дизайн PAM, UEBA, детектирование эксфильтрации, мониторинг с учётом требований конфиденциальности.

  • Сборка и оценка команды безопасности

    Целевая структура ИБ-функции, профили ролей, ассессмент текущего CISO и ключевых инженеров, план найма и развития.

  • Выбор подрядчиков и оценка третьих сторон

    Подбор и комплексная проверка подрядчиков по ИБ. Программа управления рисками цепочки поставок: SLAs, DPA, контроль исполнения.

  • Независимое экспертное мнение

    Second opinion по существующим инициативам, спорам с подрядчиком, инцидентам. Когда нужен взгляд снаружи без конфликта интересов.

04 · Engineering

Инженерия и операции

Встраиваем безопасность в инженерные практики и операционный контур, чтобы она работала на конвейере, а не «после релиза».

  • Secure SDLC и DevSecOps

    Моделирование угроз, SAST / SCA / DAST в CI/CD, аудит безопасности кода, шаблоны проверок pull-request. Обучение разработчиков под их же стек.

  • Защита цепочки поставок ПО

    Контроль сторонних зависимостей, политики на использование артефактов, проверка подписей сборок, защита билд-окружения.

  • Подготовка к сертификации

    Сопровождение внешних аудиторов и регуляторов на всём цикле — от подачи документов до закрытия замечаний. Включая сертификацию ISO 27001: gap-анализ, разработку политик, Stage 1 и Stage 2 аудит.

  • Мониторинг периметра

    IDS / IPS, защита от DDoS, выстраивание процесса разбора инцидентов первой линии. Интеграция с существующим SOC при наличии.

  • Обучение и tabletop-сценарии

    Тренинги для разработчиков и эксплуатации, штабные учения для топ-менеджмента по сценариям критических инцидентов.

Опыт направления

10+

проектов по аудиту ИБ и пентесту

Более 10 проектов по направлению «Аудит ИБ и пентест» выполнено командой Identigy. В работе задействованы узкие специализации: наступательное тестирование, соответствие регуляторам, secure SDLC, vCISO-консалтинг.

Заказчики и предмет работ по этому направлению не раскрываем — действует NDA. Развёрнутый референс под конкретный сценарий подготовим после подписания соглашения о конфиденциальности.

Почему Identigy

Чем наш подход отличается

  • Безопасность через призму доступа

    Большая часть реальных инцидентов начинается с управления учётными записями. У нас отдельная IDM-команда — мы видим риски, которые пентест без IAM-контекста пропускает.

  • Отчёты на языке бизнеса

    Каждая находка — переведённая в денежный риск и приоритет. Отдельный лист для совета директоров, отдельный — для инженеров с задачами, готовыми к импорту в Jira.

  • Один контракт на весь периметр

    От стратегии до аудита кода — внутри одной команды. Без передачи контекста между консалтинговой и тестовой фирмой.

  • Опыт инфраструктур масштаба миллионов транзакций в сутки

    Банки, ритейл, телеком, финтех. Безопасность, способная выдерживать промышленную нагрузку и регуляторные проверки одновременно.

FAQ

Частые вопросы

Чем пентест отличается от аудита информационной безопасности?

Пентест (тестирование на проникновение) — это активная попытка эксплуатировать уязвимости: специалист действует как реальный злоумышленник, чтобы оценить, что именно «сломается» и насколько далеко удастся пройти. Аудит ИБ — более широкое понятие: анализ политик, архитектуры, документации, контролей и соответствия регуляторным требованиям. Оба инструмента дополняют друг друга: пентест показывает реальный вектор атаки, аудит — системные разрывы в управлении безопасностью.

Как подготовиться к сертификации ISO 27001?

Сертификация ISO 27001 проходит в несколько этапов: gap-анализ текущего состояния СМИБ относительно требований стандарта, разработка недостающих политик и процедур, внедрение контролей Приложения A, внутренний аудит и управление несоответствиями, затем — Stage 1 (документарная проверка аккредитованным органом) и Stage 2 (полевой аудит). Identigy помогает пройти этот цикл: от gap-анализа до сопровождения сертификационного аудита.

Что проверяет аудит по ГОСТ Р 57580?

Серия ГОСТ Р 57580 регулирует операционную надёжность и защиту информации в финансовых организациях. ГОСТ Р 57580.1-2017 задаёт базовые меры защиты информации, ГОСТ Р 57580.2-2018 определяет методику оценки соответствия: организация получает профиль защищённости (уровни 1–4) по 18 процессным направлениям — управление доступом, сегментация, защита информационных потоков, мониторинг, реагирование на инциденты и другие. ЦБ РФ требует подтверждать профиль ежегодно или перед надзорными проверками.

Что такое vCISO и когда он нужен?

vCISO (Virtual CISO, виртуальный директор по информационной безопасности) — внешний эксперт, выполняющий функции CISO на условиях аутсорсинга: стратегия ИБ, взаимодействие с советом директоров, бюджетирование, управление программой безопасности и реагирование на инциденты. Востребован в компаниях, которым нужен зрелый ИБ-руководитель, но полная ставка CISO экономически нецелесообразна, либо как временное решение в период поиска или смены руководителя.