"Во многих компаниях сегодня уже внедрены и функционируют системы, позволяющие контролировать защищенность ИС и их соответствие стандартам. Однако наш опыт показывает, что при всей мощи используемых инструментов многие уязвимости, подчас даже в критичных системах компании, остаются открытыми на протяжении долгого времени, ? рассказывает Владимир Дрюков, руководитель направления аутсорсинга ИБ Центра информационной безопасности компании "Инфосистемы Джет". ? Одна из ключевых причин этого ? крайне непростой и трудоемкий процесс обработки отчета по уязвимостям внутри компании. Также сюда накладывается необходимость контроля и проверки сроков устранения уязвимостей, запуск повторных сканирований и обслуживание систем по контролю уязвимостей. И в совокупности получается, что уровень трудозатрат на реализацию одного из ключевых процессов в обеспечении ИБ компании зачастую превышает реальные возможности собственного подразделения".
Ответом на сложившуюся ситуацию стал запуск сервиса JSOC по контролю защищенности клиентов, обеспечивающего полный цикл управления уязвимостями инфраструктуры компании, который включает:
• первичный анализ и выявление незащищенных систем;
• классификацию уязвимостей в соответствии со спецификой ИТ-архитектуры компании-заказчика и функциональных задач каждой из сканируемых систем;
• подготовку рекомендаций по устранению выявленных уязвимостей (в том числе компенсирующими мерами) и сопровождение процесса их устранения;
• контроль общего индекса защищенности ключевых сервисов.
Данная услуга может предоставляться в "чистом" варианте облачного сервиса (когда оборудование и ПО предоставляются пользователю в аренду) и с использованием уже существующих у компании-клиента средств по контролю защищенности. Для повышения уровня защиты внешнего периметра сервис может быть расширен периодическими тестами на проникновение, выполняемыми ведущими экспертами компании "Инфосистемы Джет" в области эксплуатации уязвимостей и защиты приложений.