Услуги и решения по безопасности
© 2014-2025 Сzics.ru

Мы храним то, что Вы создаете!

+7 (499) 645-55-55
info@czics.ru
Edit Template
Главная
О компании
Новости компании

Компания ЗИКС провела аудит информационной безопасности для организации крупного холдинга

26 мая, 2026

Компания ЗИКС провела аудит информационной безопасности для организации крупного холдинга

Компания ЗИКС завершила проект по аудиту информационной безопасности для одной из организаций, входящей в состав крупного Российского холдинга. Название заказчика и холдинга не раскрываются в связи с требованиями конфиденциальности.

Работы были направлены на оценку текущего состояния системы информационной безопасности, анализ применяемых организационных и технических мер защиты, а также подготовку практических рекомендаций по снижению рисков и повышению уровня защищенности корпоративной ИТ-инфраструктуры.

Проект охватывал как технические аспекты защиты информации, так и организационные процессы: управление доступом, администрирование, работу с носителями информации, реагирование на инциденты, нормативную документацию и вопросы, связанные с критической информационной инфраструктурой.

Цели аудита информационной безопасности

Основной целью проекта стала независимая оценка уровня защищенности информационных ресурсов заказчика.

Перед специалистами ЗИКС стояли следующие задачи:

  • провести обследование информационно-телекоммуникационной инфраструктуры;
  • оценить действующие меры защиты информации;
  • проверить локальную нормативную и распорядительную документацию;
  • проанализировать процессы администрирования и управления доступом;
  • оценить готовность к выявлению и обработке инцидентов информационной безопасности;
  • проверить организацию защиты от внешних и внутренних угроз;
  • рассмотреть вопросы, связанные с критической информационной инфраструктурой;
  • подготовить отчет с выводами и рекомендациями.

Важной частью проекта стала не только фиксация текущего состояния ИБ, но и определение конкретных направлений для дальнейшей доработки системы защиты.

Объект проверки

В рамках аудита рассматривалась корпоративная информационно-телекоммуникационная инфраструктура заказчика.

В периметр оценки вошли:

  • локальные вычислительные сети;
  • серверная инфраструктура;
  • автоматизированные рабочие места пользователей;
  • сетевое оборудование;
  • операционные системы;
  • прикладное программное обеспечение;
  • средства защиты информации;
  • офисное и периферийное оборудование;
  • процессы обработки, хранения и передачи информации;
  • документация, регламентирующая вопросы ИБ.

Такой подход позволил оценить состояние информационной безопасности комплексно — с учетом технической, организационной и нормативной составляющих.

Нормативная база

Аудит проводился с учетом требований российского законодательства и нормативных документов в области защиты информации.

При выполнении работ учитывались положения, связанные с:

  • защитой информации;
  • обработкой персональных данных;
  • коммерческой тайной;
  • обеспечением безопасности критической информационной инфраструктуры;
  • требованиями регуляторов к организационным и техническим мерам защиты.

В том числе при анализе учитывались требования Федеральных законов №149-ФЗ, №152-ФЗ, №98-ФЗ, №187-ФЗ, а также нормативных документов ФСТЭК России.

Этапы проведения аудита

1. Сбор и анализ исходных данных

На первом этапе специалисты ЗИКС собрали и систематизировали информацию об ИТ-инфраструктуре, используемых информационных системах, применяемых средствах защиты и действующих процессах ИБ.

Для этого были подготовлены опросные листы и перечни запрашиваемых материалов. Также проводились консультации и интервью с представителями заказчика для уточнения деталей и получения недостающей информации.

На данном этапе были изучены:

  • структура ИТ-инфраструктуры;
  • перечень используемых информационных систем;
  • применяемые средства защиты информации;
  • действующие политики, регламенты и инструкции;
  • порядок администрирования систем;
  • процессы управления учетными записями;
  • меры антивирусной защиты;
  • порядок резервного копирования;
  • организация физической безопасности;
  • подходы к работе с инцидентами.

2. Анализ организационной модели ИБ

Отдельное внимание было уделено тому, как в организации выстроено управление информационной безопасностью.

Специалисты ЗИКС оценили:

  • распределение ответственности за ИБ;
  • наличие ответственных подразделений и должностных лиц;
  • закрепление функций ИБ во внутренних документах;
  • взаимодействие ИТ-службы, пользователей и специалистов по защите информации;
  • актуальность внутренних регламентов;
  • соответствие формально описанных процессов фактическому порядку работы.

Этот этап позволил оценить, насколько система ИБ управляется не только технически, но и организационно.

3. Проверка нормативной и распорядительной документации

В ходе аудита была проанализирована локальная документация, регулирующая вопросы информационной безопасности.

В частности, рассматривались документы, определяющие:

  • политику информационной безопасности;
  • правила обработки конфиденциальной информации;
  • порядок управления доступом;
  • требования к учетным записям и паролям;
  • порядок администрирования информационных систем;
  • правила использования средств защиты информации;
  • порядок резервного копирования;
  • меры антивирусной защиты;
  • действия при инцидентах ИБ;
  • правила работы с машинными носителями информации;
  • меры физической защиты объектов ИТ-инфраструктуры.

Проверялась не только полнота документации, но и ее актуальность, применимость и соответствие реальным процессам внутри организации.

4. Оценка технических мер защиты информации

Технический блок аудита был направлен на проверку используемых средств защиты и подходов к их эксплуатации.

В рамках этого этапа специалисты ЗИКС оценили:

  • применяемые программные и программно-аппаратные средства защиты;
  • настройки антивирусной защиты;
  • подходы к обновлению программного обеспечения;
  • механизмы разграничения доступа;
  • использование административных и привилегированных учетных записей;
  • защиту каналов передачи данных;
  • контроль установки и обновления программных компонентов;
  • наличие поддержки и актуальных сертификатов для используемых решений.

Отдельно анализировалась корректность эксплуатации средств защиты: наличие решения само по себе не гарантирует достаточный уровень безопасности, если оно настроено формально или не включено в регулярные процессы контроля.

5. Проверка процессов администрирования и управления доступом

Управление доступом — один из ключевых элементов корпоративной ИБ, поэтому данному направлению было уделено особое внимание.

В ходе аудита проверялись:

  • порядок создания, изменения и удаления учетных записей;
  • соответствие выданных прав должностным обязанностям сотрудников;
  • использование принципа минимально необходимых привилегий;
  • контроль административных действий;
  • требования к паролям;
  • порядок работы с привилегированными учетными записями;
  • ведение журналов событий;
  • процедуры резервного копирования и восстановления данных.

По результатам проверки были выделены зоны, требующие дополнительного контроля и регламентации.

6. Оценка защиты от внешних и внутренних угроз

В рамках проекта специалисты ЗИКС рассмотрели меры, направленные на снижение рисков как внешних кибератак, так и внутренних нарушений.

Анализировались:

  • механизмы выявления подозрительной активности;
  • регистрация и обработка событий ИБ;
  • порядок реагирования на инциденты;
  • взаимодействие ответственных подразделений;
  • контроль действий пользователей;
  • процедуры предоставления и отзыва доступа;
  • меры по предотвращению несанкционированного копирования или передачи информации;
  • обучение и инструктаж сотрудников.

Такой анализ позволил оценить не только техническую защищенность инфраструктуры, но и готовность организации действовать при возникновении инцидентов.

7. Проверка работы с носителями информации

Отдельным направлением аудита стала оценка порядка учета, хранения, использования и уничтожения машинных носителей информации.

Специалисты ЗИКС проверили:

  • наличие правил учета носителей;
  • порядок их хранения и передачи;
  • ведение журналов учета;
  • оформление актов уничтожения;
  • процедуры безопасного удаления информации;
  • ограничения на использование съемных накопителей;
  • контроль операций с носителями.

Для организаций, работающих с конфиденциальной информацией, корректная работа с носителями остается важной частью общей системы защиты.

8. Оценка физической безопасности

В рамках аудита также рассматривались меры физической защиты ИТ-инфраструктуры.

Проверялись:

  • организация доступа в помещения с критически важным оборудованием;
  • наличие пропускного режима;
  • применение систем видеонаблюдения;
  • условия размещения серверного и сетевого оборудования;
  • наличие источников бесперебойного питания;
  • системы кондиционирования;
  • средства пожарной сигнализации и пожаротушения;
  • распределение ответственности за эксплуатацию помещений и оборудования.

Физическая безопасность рассматривалась как часть общей системы защиты информации, поскольку нарушения на этом уровне могут напрямую повлиять на доступность и сохранность информационных ресурсов.

9. Анализ вопросов критической информационной инфраструктуры

С учетом специфики деятельности заказчика отдельное внимание было уделено вопросам критической информационной инфраструктуры.

В рамках этого направления были рассмотрены:

  • работа по выявлению объектов КИИ;
  • деятельность комиссии по категорированию;
  • корректность оформленных решений;
  • полнота подготовленной документации;
  • порядок взаимодействия с регулятором;
  • наличие планов мероприятий при установлении уровней опасности компьютерных атак;
  • применяемые меры защиты значимых или потенциально значимых объектов.

Проверка позволила оценить текущее состояние процессов, связанных с выполнением требований законодательства о безопасности КИИ.

Итоговые материалы

По результатам аудита заказчику был передан отчет, включающий:

  • описание проведенных работ;
  • оценку текущего состояния информационной безопасности;
  • выводы по основным направлениям проверки;
  • перечень выявленных недостатков и зон риска;
  • рекомендации по их устранению;
  • предложения по совершенствованию организационных и технических мер защиты;
  • приоритизацию дальнейших действий.

Рекомендации были подготовлены с учетом фактического состояния инфраструктуры и применимости предлагаемых мер на практике.

Результаты проекта

По итогам работ заказчик получил независимую оценку состояния системы информационной безопасности и структурированное понимание того, какие меры необходимо доработать в первую очередь.

В рамках проекта были:

  • обследованы ключевые компоненты ИТ-инфраструктуры;
  • проанализированы действующие процессы ИБ;
  • проверена локальная нормативная документация;
  • оценены технические меры защиты;
  • рассмотрены процессы управления доступом и администрирования;
  • изучены подходы к реагированию на инциденты;
  • проверены вопросы, связанные с КИИ;
  • подготовлены практические рекомендации по повышению уровня защищенности.

Проект позволил заказчику получить основу для дальнейшего планирования мероприятий по развитию системы информационной безопасности и снижению рисков.

О компании ЗИКС

ООО «Компания ЗИКС» — современный системный интегратор, который оказывает полный спектр услуг. Компания проводит аудит, проектирование и разработку необходимой документации, выполняет поставку, внедрение, техническую поддержку и модернизацию комплексных систем защиты информации, технических средств охраны и систем противопожарной защиты. Компания работает 11 лет на рынке безопасности и вошла в ТОП-100 ИБ-компаний России по версии CNews Analytics за 2023 год.

Подробнее о компании на сайте: www.czics.ru
О компании
Города
присутствия
+7 (499) 645-55-55
info@czics.ru
Telegram
Обратная связь
Прокрутить вверх
Услуги и решения по безопасности
© 2014-2025 Сzics.ru