Общие сведения
      Вернуться на главную
      1. Справочный центр СОДИС Лаб
      2. SODIS Building FM
      3. Общие сведения

      Информационная безопасность SODIS Building FM

      Информационная безопасность, пентест, надёжность

      Система SODIS Building FM успешно прошла проверку на соответствие требованиям информационной безопасности, включая проведение тестирования на проникновение (пентест). В рамках оценки защищённости были проанализированы ключевые аспекты информационной безопасности:
      • Защита каналов передачи данных (использование протоколов HTTPS, TLS);
      • Контроль доступа пользователей и ролевое разграничение полномочий;
      • Безопасное хранение данных и защита конфиденциальной информации;
      • Устойчивость к распространённым типам атак (в соответствии с OWASP Top 10);
      • Аудит пользовательской активности и журналирование событий безопасности;
      • Безопасность процессов обновления, развёртывания и администрирования системы.
      Пентест был проведён с привлечением независимых специалистов и включал как внешнее, так и внутреннее тестирование. В рамках оценки реализованы следующие этапы:
      • Сканирование периметра и публично доступных интерфейсов системы;
      • Тестирование веб-интерфейса и API на предмет уязвимостей;
      • Анализ обработки ввода данных (включая XSS, SQL-инъекции, CSRF и др.);
      • Проверка конфигураций серверов, контейнеров и компонентов инфраструктуры;
      • Моделирование атак, направленных на обход механизмов авторизации и повышение привилегий.
      Целью пентеста было определение текущего уровня защищённости системы, выявление потенциальных уязвимостей и анализ рисков, связанных с несанкционированным доступом и компрометацией данных.
      Проверка проводилась с использованием как автоматизированных средств анализа уязвимостей, так и ручных техник тестирования, что обеспечило комплексную и достоверную оценку безопасности.
      Результаты тестирования:
      • Факт несанкционированного доступа извне не подтверждён;
      • Попытки обхода авторизационных механизмов не увенчались успехом — реализованные меры защиты сработали корректно;
      • Критические и высокоопасные уязвимости не выявлены;
      • Обнаруженные замечания отнесены к низкоуровневым (в основном — конфигурационного характера) и рекомендованы к устранению в рамках плановых работ по сопровождению;
      • Система в текущей конфигурации соответствует базовым требованиям информационной безопасности, включая положения Федерального закона №152-ФЗ и ГОСТ Р 57580.1-2017.