Продолжаем рассказывать о реализованных проектах Компании ЗИКС. Один из наиболее масштабных примеров нашей практики в области Аудита информационной безопасности— комплексный аудит для группы «Норильский Никель».
Проект охватил 22 объекта по всей России, включая Норильск, Мончегорск, Красноярск, Мурманск, Архангельск, Санкт-Петербург, Читу и Москву.
Работы включали обследование инфраструктуры, проведение инструментального анализа и подготовку дорожной программы модернизации систем ИБ для всей корпоративной структуры.
Цели и роль компании ЗИКС
Задача проекта заключалась в проведении полнокомплексного аудита информационной безопасности сразу на нескольких уровнях:
- инфраструктуры объектов;
- используемых информационных систем;
- процессов ИТ, ИБ, кадрового и финансового блока;
- бизнес-процессов, связанных с обработкой данных.
Компания ЗИКС выступала ключевым подрядчиком по двум направлениям:
- обследование инфраструктуры и сбор исходных данных;
- разработка отчетных документов и программ модернизации ИБ-инфраструктуры.
Итогом стала централизованная программа развития систем информационной безопасности, рассчитанная на два года.
География и масштаб
Проект охватывал 22 объекта, распределённые по всей стране.
На каждом из них инженер компании ЗИКС работал лично — проводил интервью, осмотры помещений, сбор данных и инструментальные проверки.
Всего выполнено 35 командировок, поскольку на часть объектов приходилось выезжать повторно или направлять несколько специалистов.
Этапы работ
Проект был разделён на два ключевых этапа.
1. Обследование инфраструктуры
Включало:
- разработку и согласование опросных листов;
- удалённый сбор исходных данных;
- анализ полноты предоставленной информации;
- подготовку перечня недостающих сведений;
- выезды на объект и проведение очных интервью;
- инструментальные обследования (пентест инфраструктуры);
- формирование предварительного отчёта.
2. Разработка программы модернизации
После сбора данных специалисты ЗИКС:
- систематизировали большой массив информации;
- оценивали зрелость ИБ-процессов;
- формировали требования к развитой модели защиты;
- разрабатывали комплексную программу создания централизованной архитектуры ИБ.
Сложность проекта и выявленные проблемы
По итогам обследований компания ЗИКС обнаружила ключевую особенность инфраструктуры:
Полная фрагментированность систем и процессов.
На каждом из 22 объектов использовался собственный набор:
- информационных систем,
- средств защиты,
- прикладных сервисов,
- бизнес-процессов.
Присутствовал «зоопарк» решений, в котором системы пересекались лишь фрагментарно.
Некоторые подразделения не могли чётко описать собственные бизнес-процессы или принципы работы критичных систем.
Это осложняло сбор данных и требовало от специалистов нестандартных подходов к обследованию.
Сложные объекты и уникальные системы
Особую сложность представляли:
- распределённые SAP-системы (кадры, бухгалтерия, зарплата), содержащие множество подсистем и установленные на нескольких производственных площадках одновременно;
- распределённые решения 1С, работающие в едином контуре для разных территорий;
- информационные системы, связанные с обработкой персональных данных и коммерческой тайны, требующие полного описания и оценки.
Каждая из подсистем рассматривалась как самостоятельный объект обследования.
Условия работы: режимные объекты и доступ
Все крупные площадки Норильского никеля являются режимными, особенно промышленные площадки Норильска и Мончегорска.
Для каждого выезда требовались предварительные допуски, заявки и согласования, что значительно увеличивало длительность подготовки.
Характерных особенностей было множество:
- огромные заводские территории, сопоставимые по площади с городами;
- распределённые ИТ-узлы, расположенные в десятках зданий;
- необходимость обхода каждого помещения и общения с локальными сотрудниками.
Оценка зрелости ИБ и ключевые результаты
По результатам обследования уровень зрелости ИБ-процессов на тот момент оценивался как ниже среднего по регионам, в то время, как корпоративный центр в Москве соответствовал всем требованиям по Информационной Безопасности на момент реализации проекта.
Главная причина низкого уровня ИБ в регионах — отсутствие централизованного управления и единых стандартов безопасности.
Компания ЗИКС разработала для заказчика:
- комплексную двухлетнюю программу развития систем информационной безопасности;
- модель централизованного управления средствами защиты;
- рекомендации по унификации архитектуры ИС и политик безопасности;
- план внедрения защищённой инфраструктуры с ядром управления в головном офисе.
Состав команды
В реализации проекта участвовали около 10 специалистов компании ЗИКС, включая ведущих аудиторов, инженеров, аналитиков и специалистов по документации.
Сроки реализации
Проект занял около 6 месяцев, включая:
- 3,5 месяца выездов и очных обследований;
- около 2 месяцев аналитики и подготовки отчетных документов.
Уникальный опыт и значение проекта
Проект стал самым масштабным аудитом в практике компании ЗИКС.
Он объединил сразу несколько уровней сложности:
- огромная география;
- режимные производственные объекты;
- критически важные информационные системы;
- десятки зданий внутри каждого промышленного комплекса;
- полностью разнородные архитектуры.
Этот кейс позволил команде компании ЗИКС получить уникальный опыт обследования крупной распределённой промышленной инфраструктуры, а заказчику — получить центрированную, управляемую, комплексную систему информационной безопасности.
Заключение
Аудит информационной безопасности группы «Норильский Никель» стал ключевым проектом, подтверждающим компетенции ЗИКС в комплексной работе с федеральными промышленными компаниями.
Достигнутые результаты создали фундамент для формирования современной и централизованной системы информационной безопасности, способной поддерживать развитие корпоративной инфраструктуры на годы вперёд.
