![sodislab_emb_white.png]](https://help.sodislab.com/hs-fs/hubfs/sodislab_emb_white.png?height=40&name=sodislab_emb_white.png){kind=small}
Информационная безопасность SODIS Building CM
Информационная безопасность, пентест, надёжность
Система SODIS Building CM успешно прошла проверку на соответствие требованиям информационной безопасности, включая проведение тестирования на проникновение (пентест). В рамках оценки защищённости были проанализированы ключевые аспекты информационной безопасности:
- Защита каналов передачи данных (использование протоколов HTTPS, TLS);
- Контроль доступа пользователей и ролевое разграничение полномочий;
- Безопасное хранение данных и защита конфиденциальной информации;
- Устойчивость к распространённым типам атак (в соответствии с OWASP Top 10);
- Аудит пользовательской активности и журналирование событий безопасности;
- Безопасность процессов обновления, развёртывания и администрирования системы.
Пентест был проведён с привлечением независимых специалистов и включал как внешнее, так и внутреннее тестирование. В рамках оценки реализованы следующие этапы:
- Сканирование периметра и публично доступных интерфейсов системы;
- Тестирование веб-интерфейса и API на предмет уязвимостей;
- Анализ обработки ввода данных (включая XSS, SQL-инъекции, CSRF и др.);
- Проверка конфигураций серверов, контейнеров и компонентов инфраструктуры;
- Моделирование атак, направленных на обход механизмов авторизации и повышение привилегий.
Целью пентеста было определение текущего уровня защищённости системы, выявление потенциальных уязвимостей и анализ рисков, связанных с несанкционированным доступом и компрометацией данных.
Проверка проводилась с использованием как автоматизированных средств анализа уязвимостей, так и ручных техник тестирования, что обеспечило комплексную и достоверную оценку безопасности.
Результаты тестирования:
- Факт несанкционированного доступа извне не подтверждён;
- Попытки обхода авторизационных механизмов не увенчались успехом — реализованные меры защиты сработали корректно;
- Критические и высокоопасные уязвимости не выявлены;
- Обнаруженные замечания отнесены к низкоуровневым (в основном — конфигурационного характера) и рекомендованы к устранению в рамках плановых работ по сопровождению;
- Система в текущей конфигурации соответствует базовым требованиям информационной безопасности, включая положения Федерального закона №152-ФЗ и ГОСТ Р 57580.1-2017.