ООО «Компания ЗИКС» завершило проект по аудиту удалённых рабочих мест ООО «Институт Развития Информационных Систем» (ИРИС). Целью работ стала оценка текущего уровня защищённости удалённых рабочих мест, анализ внутренней документации заказчика в части информационной безопасности и подготовка практических мер по снижению выявленных рисков.
Проект был выполнен в соответствии с требованиями законодательства Российской Федерации в области защиты информации, персональных данных и коммерческой тайны, включая положения 152-ФЗ, 149-ФЗ, 98-ФЗ, Постановления Правительства РФ №1119 и приказа ФСТЭК России №21.
Состав работ
В рамках проекта были выполнены три ключевых блока работ:
- анализ внутренней документации заказчика на предмет регламентирования информационной безопасности и удалённого доступа;
- аудит удалённых рабочих мест и используемой информационной инфраструктуры;
- разработка организационно-распорядительной и нормативно-методической документации по результатам аудита.
Дополнительно по итогам обследования был подготовлен аналитический отчёт с технической оценкой защищённости, описанием выявленных уязвимостей, их критичности и возможных последствий реализации.
Аудит проводился путём удалённого подключения к рабочим местам заказчика без деструктивного воздействия на инфраструктуру. В ходе работ анализировались операционные системы УРМ, установленное программное обеспечение, журналы событий безопасности, конфигурации средств защиты и возможные векторы атак.
Ключевые результаты аудита
По итогам обследования специалисты компании ЗИКС установили, что работа с удалёнными рабочими местами не была в должной степени регламентирована внутренними документами заказчика. Это создавало ситуацию, при которой отдельные устройства фактически использовались вне единого контура требований безопасности, несмотря на обработку корпоративной информации.
Также было выявлено, что не на всех удалённых рабочих местах применялись необходимые средства защиты информации. Подобная конфигурация повышает риски компрометации данных, в том числе в результате атак вредоносного программного обеспечения, включая вирусы-шифровальщики, а также иных сценариев несанкционированного доступа.
В отчёте по результатам аудита были:
- описаны выявленные недостатки и уязвимости;
- выполнено их ранжирование по степени потенциальной опасности;
- определены возможные последствия эксплуатации уязвимостей;
- подготовлены рекомендации по устранению недостатков;
- сформирована маршрутная карта по модернизации инфраструктуры защиты.
В качестве следующего этапа усиления защиты предложено внедрение на каждое удалённое рабочее место комплекса средств защиты информации, входящих в систему обеспечения информационной безопасности (СОИБ).
Разработка документации
Отдельным результатом проекта стала подготовка комплекта организационно-распорядительной и нормативно-методической документации, необходимой для безопасной эксплуатации удалённых рабочих мест.
В разработанный пакет вошли:
- политика информационной безопасности;
- регламент обновления программного обеспечения;
- регламент антивирусной защиты;
- регламент хранения данных;
- регламент уничтожения данных;
- план внутренних проверок состояния защищённости коммерческой тайны;
- политика реагирования на компьютерные инциденты;
- регламент действий в случае нештатных ситуаций;
- шаблоны приказов и учётных журналов по информационной безопасности.
Особое внимание было уделено регламентации практических процедур работы с УРМ, включая:
- регулярное резервное копирование данных на отчуждаемый носитель с шифрованием;
- своевременное обновление антивирусных баз;
- обязательное обновление программного обеспечения;
- унификацию требований к защите удалённых рабочих мест.
Значение проекта
Реализация проекта позволила заказчику получить объективную оценку текущего состояния защищённости удалённых рабочих мест, определить приоритеты дальнейшей модернизации и сформировать нормативную базу для безопасной организации удалённой работы.
Для организаций, использующих распределённую модель доступа к корпоративным ресурсам, аудит УРМ становится важным инструментом снижения рисков утечки данных, заражения вредоносным ПО и несоответствия требованиям законодательства и внутренних регламентов.
Проект подтверждает компетенции компании ЗИКС в области аудита информационной безопасности, анализа защищённости распределённой инфраструктуры и разработки практико-ориентированных мер по повышению уровня защиты корпоративных ИТ-систем.
