Декабрь 2025

Продолжаем рассказывать о реализованных проектах Компании ЗИКС. Один из наиболее масштабных примеров нашей практики в области Аудита информационной безопасности— комплексный аудит для группы «Норильский Никель».Проект охватил 22 объекта по всей России, включая Норильск, Мончегорск, Красноярск, Мурманск, Архангельск, Санкт-Петербург, Читу и Москву. Работы включали обследование инфраструктуры, проведение инструментального анализа и подготовку дорожной программы модернизации систем ИБ для всей корпоративной структуры. Цели и роль компании ЗИКС Задача проекта заключалась в проведении полнокомплексного аудита информационной безопасности сразу на нескольких уровнях: инфраструктуры объектов; используемых информационных систем; процессов ИТ, ИБ, кадрового и финансового блока; бизнес-процессов, связанных с обработкой данных. Компания ЗИКС выступала ключевым подрядчиком по двум направлениям: обследование инфраструктуры и сбор исходных данных; разработка отчетных документов и программ модернизации ИБ-инфраструктуры. Итогом стала централизованная программа развития систем информационной безопасности, рассчитанная на два года. География и масштаб Проект охватывал 22 объекта, распределённые по всей стране.На каждом из них инженер компании ЗИКС работал лично — проводил интервью, осмотры помещений, сбор данных и инструментальные проверки. Всего выполнено 35 командировок, поскольку на часть объектов приходилось выезжать повторно или направлять несколько специалистов. Этапы работ Проект был разделён на два ключевых этапа. 1. Обследование инфраструктуры Включало: разработку и согласование опросных листов; удалённый сбор исходных данных; анализ полноты предоставленной информации; подготовку перечня недостающих сведений; выезды на объект и проведение очных интервью; инструментальные обследования (пентест инфраструктуры); формирование предварительного отчёта. 2. Разработка программы модернизации После сбора данных специалисты ЗИКС: систематизировали большой массив информации; оценивали зрелость ИБ-процессов; формировали требования к развитой модели защиты; разрабатывали комплексную программу создания централизованной архитектуры ИБ. Сложность проекта и выявленные проблемы По итогам обследований компания ЗИКС обнаружила ключевую особенность инфраструктуры: Полная фрагментированность систем и процессов. На каждом из 22 объектов использовался собственный набор: информационных систем, средств защиты, прикладных сервисов, бизнес-процессов. Присутствовал «зоопарк» решений, в котором системы пересекались лишь фрагментарно.Некоторые подразделения не могли чётко описать собственные бизнес-процессы или принципы работы критичных систем. Это осложняло сбор данных и требовало от специалистов нестандартных подходов к обследованию. Сложные объекты и уникальные системы Особую сложность представляли: распределённые SAP-системы (кадры, бухгалтерия, зарплата), содержащие множество подсистем и установленные на нескольких производственных площадках одновременно; распределённые решения 1С, работающие в едином контуре для разных территорий; информационные системы, связанные с обработкой персональных данных и коммерческой тайны, требующие полного описания и оценки. Каждая из подсистем рассматривалась как самостоятельный объект обследования. Условия работы: режимные объекты и доступ Все крупные площадки Норильского никеля являются режимными, особенно промышленные площадки Норильска и Мончегорска.Для каждого выезда требовались предварительные допуски, заявки и согласования, что значительно увеличивало длительность подготовки. Характерных особенностей было множество: огромные заводские территории, сопоставимые по площади с городами; распределённые ИТ-узлы, расположенные в десятках зданий; необходимость обхода каждого помещения и общения с локальными сотрудниками. Оценка зрелости ИБ и ключевые результаты По результатам обследования уровень зрелости ИБ-процессов на тот момент оценивался как ниже среднего по регионам, в то время, как корпоративный центр в Москве соответствовал всем требованиям по Информационной Безопасности на момент реализации проекта.Главная причина низкого уровня ИБ в регионах — отсутствие централизованного управления и единых стандартов безопасности. Компания ЗИКС разработала для заказчика: комплексную двухлетнюю программу развития систем информационной безопасности; модель централизованного управления средствами защиты; рекомендации по унификации архитектуры ИС и политик безопасности; план внедрения защищённой инфраструктуры с ядром управления в головном офисе. Состав команды В реализации проекта участвовали около 10 специалистов компании ЗИКС, включая ведущих аудиторов, инженеров, аналитиков и специалистов по документации. Сроки реализации Проект занял около 6 месяцев, включая: 3,5 месяца выездов и очных обследований; около 2 месяцев аналитики и подготовки отчетных документов. Уникальный опыт и значение проекта Проект стал самым масштабным аудитом в практике компании ЗИКС.Он объединил сразу несколько уровней сложности: огромная география; режимные производственные объекты; критически важные информационные системы; десятки зданий внутри каждого промышленного комплекса; полностью разнородные архитектуры. Этот кейс позволил команде компании ЗИКС получить уникальный опыт обследования крупной распределённой промышленной инфраструктуры, а заказчику — получить центрированную, управляемую, комплексную систему информационной безопасности. Заключение Аудит информационной безопасности группы «Норильский Никель» стал ключевым проектом, подтверждающим компетенции ЗИКС в комплексной работе с федеральными промышленными компаниями.Достигнутые результаты создали фундамент для формирования современной и централизованной системы информационной безопасности, способной поддерживать развитие корпоративной инфраструктуры на годы вперёд.