Обсудим ваш проект?
Заполните форму и мы свяжемся с вами!
Информационная безопасность
Разрабатываем ПО для банков, страховых, инвестиционных и ретейл-компаний, где безопасность определяет устойчивость бизнеса. Информационная безопасность встроена в каждый этап разработки — от проектирования архитектуры до сопровождения системы в продакшене.
-
Secure SDLCБезопасность встроена в жизненный цикл разработки -
OWASPСледуем отраслевым рекомендациям и практикам -
2FA + PAMКонтроль доступа к инфраструктуре -
152-ФЗ и ГОСТУчитываем требования финансового сектора
/ Принципы, на которых мы строим разработку
Безопасность
с самого начала
Защиту закладываем в архитектуру на этапе проектирования, когда устранение рисков стоит дешевле всего
Минимум
доступа
доступа
Каждый пользователь, сервис и компонент получает только те права, которые нужны для конкретной задачи
Многоуровневая
защита
защита
Система защищена несколькими независимыми рубежами: при сбое одного остальные продолжают удерживать защиту
Защита данных на всех этапах
Данные защищаются и при передаче, и при хранении — шифрование каналов и чувствительной информации
Постоянный контроль
События безопасности журналируются и отслеживаются, что позволяет быстро замечать аномалии и реагировать на них
/ Безопасная разработка
устраняем причины уязвимостей раньше, чем они попадают в релиз
Моделирование угроз
угрозы и требования к защите моделируются на этапе проектирования архитектуры и учитываются в проектных решениях заранее
Code Review
каждое изменение проходит ревью коллег перед попаданием в основную ветку
Контроль доступов
доступ к репозиториям, средам и инфраструктуре разграничен по принципу минимальных привилегий, а пароли, токены, ключи и строки подключения хранятся вне исходного кода
Контроль зависимостей
состав сторонних библиотек контролируется, риски атак на цепочку поставок (supply chain) учитываются явно
SAST и SCA
статический анализ кода (SAST) и проверка зависимостей (SCA) встроены в конвейеры CI/CD и работают на каждое изменение
Обезличенные данные
в средах разработки и тестирования используются обезличенные или синтетические данные, доступ к боевым данным заказчика ограничен и контролируется
/ Архитектура, устойчивая к атакам
безопасность системы определяется не отдельными средствами защиты, а архитектурными решениями, заложенными в её основу
-
Разделение уровнейданные, бизнес-логика и интерфейсы изолированы и взаимодействуют только через контролируемые границы доверия -
Минимальные привилегиикаждый компонент и пользователь получает строго тот доступ, который необходим для его задачи -
Контроль на стороне сервераклиентское приложение выполняется на устройстве пользователя, вне нашего контроля (недоверенная среда), поэтому все проверки прав доступа и бизнес-правил выполняются на сервере -
Защита от типовых угрозвалидация входных данных, защита от инъекций и XSS, безопасная работа с сессиями в соответствии с рекомендациями OWASP
/ Защита данных заказчика
данные, к которым мы получаем доступ в ходе проектов —
зона особой ответственности
зона особой ответственности
VPN
доступ к инфраструктуре по защищённым каналам
PAM
контроль привилегированных действий
2FA
многофакторная аутентификация
Аппаратные токены
дополнительный уровень защиты
Need-to-Know
разграничение прав по принципу «знать только необходимое»
NDA
организационная защита данных
/ Соответствие законодательству и требованиям регуляторов
мы работаем в правовом поле Российской Федерации и проектируем решения с учётом отраслевых требований к безопасности
- 152-ФЗобработка персональных данных в соответствии с законодательством
- ГОСТ Р 57580для проектов в финансовой сфере учитываем требования Банка России к защите информации
- Территория РФразмещение команды и ресурсов
Порядок обработки персональных данных описан в Политике конфиденциальности
/ Технологическая независимость и импортозамещение
помогаем заказчикам снижать зависимость от зарубежного ПО и переходить на отечественные и открытые технологии
Миграция
с зарубежных платформ
с зарубежных платформ
оказываем услуги импортозамещения на российский и open-source стек
Отсутствие
vendor lock-in
vendor lock-in
проектируем архитектуру так, чтобы избежать привязки к единственному поставщику
Контролируемый переход на новый стек
сохраняем функциональность и безопасность решения в ходе миграции
/ Управление инцидентами
процесс реагирования на инциденты выстроен по понятным этапам:
Обнаружение
мониторинг и фиксация событий безопасности
Локализация
ограничение воздействия и предотвращение распространения
Устранение
ликвидация причины и восстановление штатной работы
Уведомление
своевременное информирование заказчика и совместный разбор
/ Аудит и проверка безопасности ПО
накопленную экспертизу безопасной разработки мы оказываем как отдельную услугу — проверяем программное обеспечение на соответствие принципам безопасности и отраслевым стандартам
- Аудит кода и архитектурыаудит кода и архитектуры на соответствие практикам безопасной разработки (Secure SDLC) и рекомендациям OWASP
- Проверка соответствияоценка соответствия требованиям к защите информации, актуальным для финансового сектора (152-ФЗ, ГОСТ Р 57580)
- Анализ уязвимостейанализ сторонних зависимостей и конфигураций, выявление типовых уязвимостей и слабых мест
- План исправленийрекомендации по устранению найденных рисков и сопровождение исправлений
Оценка любого проекта, который попадает в работу — от 100 000 рублей.
Итоговая стоимость услуг оговаривается индивидуально в зависимости от проекта, подобранной команды и перечня оказываемых услуг.
Итоговая стоимость услуг оговаривается индивидуально в зависимости от проекта, подобранной команды и перечня оказываемых услуг.