«Инфосистемы Джет» провели комплексную проверку безопасности приложения для Ancor

2023: Анализ защищенности системы HRFile

Компания «Инфосистемы Джет» провела комплексный анализ защищенности системы кадрового электронного документооборота HRFile, разработанной группой компаний ANCOR. В результате выполненных работ заказчик получил рекомендации по устранению уязвимостей приложения, которые могли привести к утечке персональных данных.

ANCOR — стаффинговая группа, которая предлагает решения в области аутсорсинга HR-функций и бизнес-процессов, рекрутмента и консалтинга. Для ведения кадрового электронного документооборота компания разработала собственное веб-приложение, позволяющее работодателям формировать, передавать и хранить кадровые документы в электронном формате. В приложении обрабатывается большое количество конфиденциальных данных, поэтому перед компанией стояла задача проверить его безопасность и устойчивость к кибератакам.

Для нашей компании ключевое значение имеют бесперебойная работа всех систем и надежная защита персональных данных. Компания ʺИнфосистемы Джетʺ стала тем подрядчиком, который смог комплексно проверить нашу систему на наличие уязвимостей, попутно разъясняя происхождение уязвимостей и чем они могут быть опасны для компании и пользователей, а также дать рекомендации по устранению найденных уязвимостей с учетом специфики работы нашей компании, — сказала Галина Остапова, руководитель службы информационной безопасности ГК ANCOR.

Команда «Инфосистемы Джет» провела комплексный пентест приложения, разработанного заказчиком. В ходе проекта специалисты искали уязвимые места во внешнем периметре, провели тестирование на проникновение всей инфраструктуры веб-приложения и провели тестирование ресурса на устойчивость к DDoS-атакам.

Во время тестирования были обнаружены уязвимости, позволяющие получить доступ к персональным данным пользователей приложения. Также были обнаружены недостатки, эксплуатация которых могла повлечь за собой нарушение доступности приложения.

Поскольку приложение предназначено для работы с персональными данными, было особенно важно проверить защищенность документов и личных данных работников и исполнителей. Компаниям, допускающим утечки конфиденциальной информации, грозят финансовые и репутационные потери, поэтому важно своевременно контролировать защищенность своих продуктов и систем, — пояснил Максим Абрамов, консультант по информационной безопасности «Инфосистемы Джет».

2021: Аудит информационной безопасности

По заказу ANCOR эксперты ИТ-компании «Инфосистемы Джет» провели комплексный аудит информационной безопасности международной стаффинговой группы, приняли участие в улучшении защиты персональных данных и разработали детальную стратегию развития информационной безопасности на ближайшие три года. Об этом «Инфосистемы Джет» сообщили 30 июня 2021 года.

Необходимость пересмотреть подход к обеспечению информационной безопасности в ANCOR возникла из-за нелинейного роста и активной цифровой трансформации компании, а также в результате внедрения ИТ-стратегии с фокусом на использование облачных сервисов.

Ключевое значение для нас имеют бесперебойная работа сервисов и надежная защита персональных данных. Мы хорошо понимаем цену нарушения того и другого. Именно поэтому мы поставили для себя задачу провести комплексный аудит своей информационной безопасности и разработать стратегию развития этого направления. При этом для нас было важно найти подрядчика, который не только смог бы комплексно оценить существующий уровень ИБ, но и имел бы опыт защиты персональных данных. Сочетание таких компетенций нам удалось найти у экспертов «Инфосистемы Джет», – рассказала Галина Остапова, руководитель службы информационной безопасности ANCOR.

Реализация проекта заняла около 6 месяцев и включила в себя два глобальных блока. В рамках первого - специалисты «Инфосистемы Джет» оценили, насколько деятельность ANCOR соответствует требованиям регуляторов в области защиты персональных данных в России (152 ФЗ), на Украине и в Казахстане. Консультанты изучили процессы обработки персональных данных, разработали детальные рекомендации по обеспечению их соответствия требованиям законодательства, в том числе закону «о персональных данных». Также был актуализирован комплект организационно-распорядительных документов. Все это позволило повысить общий уровень защищенности персональных данных и снизить регуляторные риски.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.7 т

Вторым блоком проекта стало проведение экспертного аудита защиты данных. Он охватил корпоративный сегмент информационной инфраструктуры. Специалисты «Инфосистемы Джет» обследовали сетевую и ИТ-инфраструктуру, средства защиты информации, процессы обеспечения информационной безопасности. Особое внимание было уделено практическому анализу защищенности: в этом случае ИБ-специалисты имитировали атаки хакеров, проводя их по разным векторам, чтобы получить всестороннюю оценку того, насколько защищен внутренний и внешний периметр сети, а также способны ли пользователи противостоять фишингу и существуют ли недостатки в веб-ресурсах ANCOR. По итогам работ был дан ряд дополнительных рекомендаций по повышению защищенности ИТ-инфраструктуры компании.

Комплексный аудит в ANCOR — яркий пример проекта, целью которого является не обеспечение информационной безопасности «на бумаге», а достижение реальных результатов, которые напрямую влияют на стабильность бизнеса. Топ-менеджмент компании был заинтересован в объективных результатах, сотрудники активно вовлекались в проект и оперативно предоставляли исчерпывающую информацию и документы, необходимые для аудита, - сказал Александр Морковчин, эксперт информационной безопасности компании «Инфосистемы Джет».

В завершение проекта была разработана стратегии развития информационной безопасности. Был определен целевой уровень ИБ и подготовлен понятный, обоснованный поэтапный план развития этого направления в ANCOR на несколько лет.