Имя автора: Михаил Смотряев

Компания ЗИКС завершила один из самых масштабных инфраструктурных проектов для органов исполнительной власти Москвы — консолидацию доменных структур 16 подведомственных организаций и перенос их в единый домен Active Directory.Работа включала миграцию 7000 учётных записей пользователей, рабочих станций и десятков уникальных информационных систем, задействованных в повседневной деятельности городских учреждений. Задача проекта: единый домен для разнородной инфраструктуры До начала работ каждый подвед правительства Москвы поддерживал собственный домен, с индивидуальными настройками, правилами, сервисами и архитектурой.Такая разобщённость усложняла администрирование, сопровождение, обеспечение кибербезопасности и развитие ИТ-среды. Цель проекта состояла в том, чтобы: объединить все организации в единый домен ДИТ Москвы; перенести учетные записи, рабочие станции и серверные компоненты; адаптировать каждую информационную систему под требования новой службы каталогов; сохранить стабильность всех сервисов на время миграции. Проект стал ключевой частью цифровой трансформации инфраструктуры органов власти. Сложность и масштабы работ По данным интервью с техническим руководителем проекта, объём и структура задач были беспрецедентными:  Центральный проспект 5 7000 рабочих станций с разным составом ПО; 7000 учетных записей пользователей, многие — с зависимостями от внутренних систем; 16 подведов, каждый со своей архитектурой AD; десятки серверных систем, требующих индивидуального анализа и адаптации; необходимость согласования изменений через ДИТ Москвы. Этот проект требовал не просто технической миграции, а глубокого архитектурного понимания каждого учреждения и его ИТ-ландшафта. Почему проект занял полтора года Общая длительность работ составила около 18 месяцев, из которых: 3 месяца — тестовая миграция пилотных подведов (≈2000 учётных записей); 4–5 месяцев — основной этап переноса оставшихся организаций (≈5000 записей); остальное время — согласования, сбор информации, проектирование, подготовка документации. С технической стороны миграция была выполнена строго в срок — задержки возникали только на этапах, связанных с регламентами и организационными процедурами заказчика. Что входило в зону ответственности ЗИКС Согласно материалам интервью, специалисты компании выполняли полный комплекс инженерных работ:  Центральный проспект 5 1. Инвентаризация и анализ инфраструктур сбор данных по рабочим станциям, серверам, доменным структурам и информационным системам; анализ механизма аутентификации, политик безопасности и зависимости сервисов. 2. Проектирование и документация разработка технических решений и проектной документации; формирование планов миграции для каждого учреждения; подготовка регламентов и процедур переноса. 3. Миграция рабочих станций и учётных записей перевод ПК в новый домен; перенос профилей пользователей; корректировка политик, прав и зависимостей. 4. Миграция серверных информационных систем Каждую систему инженеры изучали индивидуально:её назначение, архитектуру, логические связи, сервисные зависимости. Только после этого формировался план переноса и выполнялась адаптация под новый домен. 5. Взаимодействие с подведами и ДИТ Москвы согласование всех изменений; сопровождение технических специалистов на местах; контроль выполнения требований службы каталогов. Главная сложность проекта — миграция информационных систем Если перенос рабочих станций является прогнозируемой задачей, то миграция десятков уникальных информационных систем оказалась самым трудоёмким и критичным этапом. По словам руководителя проекта: «Перенос ИС — это не просто перевести сервер в новый домен. Это анализ архитектуры, сервисов, ролей, внешних зависимостей. Без понимания, как система работает изнутри, её можно легко нарушить». Каждая система требовала полного аудита: структуру БД; используемые сервисы; схемы подключения; доменные привязки; механизмы авторизации. Этот подход обеспечил безошибочный перенос, без остановки критически важных сервисов. Результаты проекта Компания ЗИКС обеспечила: консолидацию 16 подведов в единый домен; миграцию 7000 учётных записей; перевод рабочих станций — физических и виртуальных; перенос всех задействованных информационных систем; документирование всех этапов работ; устойчивую работу инфраструктуры после внедрения. Система функционирует стабильно, а заказчик отметил высокое качество выполнения работ и координации. Значение проекта для цифровой инфраструктуры Москвы Результатом проекта стала сформированная единая доменная структура, которая: упрощает администрирование и сопровождение; повышает безопасность доступа; облегчает интеграцию новых сервисов; сокращает издержки на ИТ-поддержку; обеспечивает единообразие политик безопасности. Работы стали важной частью выстраивания современной централизованной городской ИТ-архитектуры. Профессиональная оценка компании ЗИКС Этот проект подтвердил ключевые компетенции ЗИКС: глубокое понимание архитектуры AD; навыки переноса сложных и уникальных ИС; способность работать одновременно на десятках площадок; высокий уровень инженерной подготовки; корректное соблюдение требований и регламентов ДИТ Москвы; умение выполнять проекты большого масштаба строго в срок. Заключение Проект объединения подведов ДИТ Москвы в единую службу каталогов стал значимым этапом в развитии ИТ-инфраструктуры города.Компания ЗИКС продемонстрировала высокую компетентность, инженерную экспертизу и способность выполнять проекты федерального уровня сложности.

Инфраструктура органов исполнительной власти города Москвы представляет собой распределённую систему с высокой степенью взаимосвязанности сервисов и процессов. В таких условиях любое изменение, затрагивающее авторизацию и доступ пользователей, требует точного проектирования, согласования и строго контролируемого внедрения. Компания ЗИКС реализовала проект по внедрению двухфакторной аутентификации на базе решений Aladdin R.D. JMS / JaCarta, охвативший 7000 рабочих мест и 16 объектов информатизации. Проект стал примером комплексного инженерного подхода, ориентированного на минимизацию влияния на действующую инфраструктуру и обеспечение высокого уровня информационной безопасности. Для выполнения работ была задействована расширенная инженерная группа — порядка 20 специалистов, часть из которых прошла профильную подготовку, включая сотрудничество компании с кафедрой информационной безопасности МИЭТ. Архитектурное проектирование в условиях ограничений Каждое из учреждений, входящих в контур ДИТ Москвы, имеет собственную организацию доменной структуры, особенности администрирования и правила эксплуатации. В этой среде задача заключалась не в унификации инфраструктур, а в формировании архитектурного решения, совместимого с разнородными средами. На этапе обследования специалисты компании ЗИКС провели анализ существующих схем авторизации, политик доступа, AD-структур и взаимодействующих сервисов. Итогом стала единая архитектурная модель JMS, адаптированная под особенности каждого объекта и соответствующая требованиям нормативных документов и эксплуатационных регламентов. Внедрение биометрической идентификации в действующую ИТ-экосистему Реализация проекта включала установку серверных компонентов, развёртывание клиентского ПО, интеграцию с Active Directory и настройку биометрических модулей. Ключевым аспектом стало обеспечение корректной привязки биометрических шаблонов сотрудников к их учётным записям и подтверждение стабильно работающего процесса аутентификации. Регистрация биометрических данных проводилась по установленному регламенту, с обязательной валидацией каждого шаблона. Это обеспечило корректность дальнейшей эксплуатации и исключило риск ошибок при идентификации пользователей. Работа в регламентированных условиях Все изменения, вносимые в систему управления доступом, проходили централизованное согласование с ДИТ Москвы. Проект требовал прозрачности действий, последовательного документирования и строгого соблюдения внутренних регламентов заказчика. Для синхронизации процессов была выстроена система регулярных коммуникаций между инженерами компании ЗИКС и специалистами ИТ-служб учреждений. Такой формат позволил обеспечить контроль изменений и минимизировать риск влияния на работоспособность инфраструктуры. Проведение испытаний и ввод в эксплуатацию После завершения развертывания система прошла несколько циклов тестирования, включающих проверку работоспособности механизмов авторизации, резервных сценариев и устойчивости при нагрузке.По итогам опытной эксплуатации все объекты были переведены на использование двухфакторной аутентификации в штатном режиме. Результаты работы В результате проекта: внедрена единая система двухфакторной аутентификации на базе решений Aladdin R.D.; охвачено 7000 рабочих мест и 16 объектов информатизации; обеспечена корректная интеграция с существующей доменной инфраструктурой; выполнена регистрация биометрических данных сотрудников; задействовано около 20 инженеров, работавших параллельно на объектах; проект реализован в установленные сроки и в соответствии с требованиями ДИТ Москвы. Конкурентные преимущества ЗИКС Проект подтвердил ключевые сильные стороны компании: Оперативность исполнения — параллельная работа инженерных групп позволила выдержать график при большом объёме работ. Конкурентная стоимость — оптимизация процессов обследования, внедрения и документирования обеспечила ценовое преимущество при сохранении высокого качества. Системный инженерный подход — базирующийся на внутренней подготовке специалистов и сотрудничестве с профильными образовательными учреждениями. Профессиональная оценка «Проект подтвердил необходимость точного архитектурного подхода при внедрении систем авторизации в распределённых инфраструктурах.Корректное взаимодействие с ИТ-службами учреждений, детальное обследование и прозрачность всех этапов внедрения позволили обеспечить стабильную работу решения без влияния на текущие процессы»,— отмечает руководитель проекта компании ЗИКС. Заключение Внедрение системы двухфакторной аутентификации на базе решений Aladdin R.D. стало важным этапом развития инфраструктуры информационной безопасности органов исполнительной власти города Москвы.Проект продемонстрировал возможность масштабного и контролируемого внедрения современных средств защиты в действующую ИТ-среду при строгом соблюдении регламентов, требований и эксплуатационных ограничений.

Новый подход к проектированию ИТ-систем, который снижает затраты и ускоряет внедрение Москва, 2025 г. — Компания ЗИКС представляет экспертный обзор принципа Security by Design — современного подхода к построению информационных систем, при котором безопасность закладывается в архитектуру на этапе проектирования, а не добавляется после завершения проекта. Что такое Security by Design Security by Design — это концепция, при которой меры информационной безопасности проектируются и внедряются одновременно с архитектурой системы.Вместо того чтобы «добавлять» защиту в уже готовую инфраструктуру, специалисты по ИБ участвуют в разработке с самого начала. Такой подход позволяет: минимизировать риски уязвимостей на ранних этапах; снизить количество доработок и переработок; обеспечить соответствие требованиям ФСТЭК и других регуляторов; сократить общие затраты на внедрение и эксплуатацию. Почему традиционная модель устарела Классическая практика, при которой безопасность подключается после завершения проектирования, приводит к типичным последствиям: задержкам при вводе в эксплуатацию; необходимости переделки архитектуры; увеличению бюджета и сроков внедрения. По оценке специалистов компании ЗИКС, применение принципов Security by Design позволяет сократить время согласований и внедрения в среднем на 25–30% и существенно уменьшить последующие эксплуатационные расходы. Принципы построения архитектуры по подходу Security by Design Архитектура, построенная по принципу Security by Design, объединяет ИТ и ИБ в единую систему управления рисками.Основные принципы: 1. Принцип минимальных прав (Least Privilege) Каждый пользователь или процесс получает только те права, которые необходимы для выполнения задач. 2. Глубинная защита (Defense in Depth) Безопасность реализуется на нескольких уровнях — сеть, приложения, данные, пользователи. Это повышает устойчивость к атакам. 3. Безопасность по умолчанию (Secure by Default) Системы и сервисы изначально конфигурируются с безопасными настройками. 4. Безопасное поведение при сбое (Fail-Secure) Даже при технических сбоях или отказах система не должна допускать несанкционированного доступа к данным. 5. Моделирование угроз (Threat Modeling) Потенциальные уязвимости и сценарии атак анализируются ещё на этапе проектирования, что позволяет избежать рисков до реализации. 6. Интеграция ИБ и ИТ Команды ИБ и ИТ работают совместно, что обеспечивает баланс между безопасностью и функциональностью. 7. Автоматизация контроля Мониторинг, обновления, аудит и реагирование на инциденты встроены в процессы жизненного цикла системы. Преимущества внедрения Security by Design Компании, внедряющие принципы Security by Design, получают ощутимые преимущества: Снижение издержек на внедрение и поддержку систем безопасности; Ускорение запуска ИТ-проектов за счёт раннего согласования решений; Повышение соответствия нормативным требованиям ФСТЭК и ФСБ; Снижение рисков инцидентов и утечек данных; Повышение доверия со стороны клиентов, партнёров и регуляторов. Мнение экспертов ЗИКС «Security by Design — это не просто методология. Это переход к управляемой модели безопасности, где защита проектируется вместе с инфраструктурой. Такой подход исключает противоречия между ИБ и ИТ, делает систему устойчивой и экономически эффективной»,— отмечает технический директор компании ЗИКС. Заключение Security by Design — это стратегическое направление развития информационной безопасности.Он позволяет организациям перейти от реактивных мер к системному управлению рисками, снижая издержки и ускоряя внедрение решений. Проектируя безопасность вместе с системой, компании создают архитектуру доверия, где информационная безопасность становится фундаментом технологического развития. 📄 О компании ЗИКС ООО «Компания ЗИКС» более 11 лет реализует проекты в области информационной безопасности и защиты критической инфраструктуры.Основные направления деятельности: категорирование и защита объектов КИИ; аудит и проектирование систем информационной безопасности; разработка нормативной и эксплуатационной документации; внедрение отечественных средств защиты информации. Компания работает в соответствии с требованиями ФСТЭК и ФСБ России, обеспечивая полный цикл внедрения решений — от проектирования до сопровождения.

Опыт ЗИКС: как правильно организовать сбор данных, избежать разночтений с регуляторами и пройти категорирование с первого раза Категорирование объектов критической информационной инфраструктуры (КИИ) — один из самых сложных и ответственных этапов в построении системы информационной безопасности. Именно от корректного выполнения этой процедуры зависит, какой класс защиты будет назначен объекту, какие меры безопасности нужно внедрить и как компания будет взаимодействовать с регуляторами. Тем не менее, даже опытные организации часто теряют на этом этапе недели и месяцы, допуская типичные ошибки — от неполного сбора данных до разночтений в формулировках документов. Компания ЗИКС делится практическим опытом, как пройти категорирование быстро, корректно и без возвращения документов «на доработку». Что такое категорирование КИИ и зачем оно нужно Категорирование — это процесс определения значимости объекта КИИ, степени возможных последствий при его нарушении и соответствующего уровня требований к защите.Проще говоря, это отправная точка для построения всей системы безопасности: от класса объекта (К1, К2, К3) зависит набор обязательных мер; без акта категорирования невозможно приступить к проектированию системы защиты; результаты категорирования направляются в ФСТЭК России и могут проверяться при аудите. Категорирование регулируется Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и соответствующими приказами №235 и №239 ФСТЭК России. Где компании теряют время: 5 типичных ошибок 1. Неполный сбор исходных данных Часто организации начинают категорирование без полной картины инфраструктуры: нет актуальных схем, перечней автоматизированных систем, серверов, каналов связи.В итоге документы приходится переделывать после аудита, а согласования сдвигаются на месяцы. 2. Непонимание границ объекта КИИ Ошибка в определении границ приводит к тому, что часть систем «выпадает» из описания или, наоборот, включается лишнее.Регуляторы обращают на это особое внимание: неправильное выделение границ — одна из частых причин возврата материалов на доработку. 3. Формальный подход к оценке последствий Некоторые компании определяют категорию «на глаз», не обосновывая последствия нарушения конфиденциальности, целостности и доступности информации.В результате документы не выдерживают проверки экспертов и регуляторов, а организация вынуждена пересматривать категорию. 4. Отсутствие вовлечения технических специалистов Часто категорирование ведётся только силами отдела ИБ, без участия ИТ, технологов и инженеров.Без понимания реальных процессов и связей система описывается неполно, а модель угроз теряет практическую ценность. 5. Несогласованность с регуляторами Даже корректно оформленный пакет документов может вызвать вопросы, если его структура и термины не соответствуют методическим рекомендациям ФСТЭК.Наличие опытного исполнителя, знакомого с практикой согласований, позволяет сократить этот риск почти до нуля. Как правильно организовать процесс категорирования 1. Подготовительный этап: инвентаризация Необходимо собрать максимум исходных данных: перечень автоматизированных систем, технологических сегментов, серверов, СВТ; архитектуру сетей и схемы взаимодействия; перечень обрабатываемой информации, включая данные, относящиеся к объектам КИИ. Компания ЗИКС применяет практику предварительного обследования, позволяющего выявить все потенциальные объекты защиты до начала формальной процедуры. 2. Определение границ объекта На этом этапе важно разделить технологические и корпоративные сегменты, исключить дублирование, определить, какие системы относятся к критическим.От корректного выделения границ зависит достоверность модели угроз и точность акта категорирования. 3. Оценка последствий и определение категории Проводится анализ возможных последствий нарушения трёх свойств информации (конфиденциальности, целостности, доступности) и их влияния на жизнедеятельность организации и региона.Результаты оформляются в пояснительной записке и акте категорирования. 4. Подготовка документов и согласование Пакет включает: акт категорирования; сведения об объекте КИИ; модель угроз безопасности информации; схему взаимодействия систем; пояснительную записку и рекомендации по классу защищённости. Все документы проходят внутренний нормоконтроль и согласовываются с заказчиком до направления в ФСТЭК. Как избежать разночтений с регуляторами Компания ЗИКС опирается на собственную практику согласования более чем по 50 проектам в энергетике, промышленности и госсекторе.Главное правило — работать строго по методическим рекомендациям ФСТЭК, но с учётом специфики объекта. Ключевые принципы: использовать актуальные версии форм и шаблонов, принятые в надзорных органах; описывать угрозы и последствия понятным языком, без избыточной терминологии; избегать дублирования информации в актах и моделях угроз; фиксировать взаимосвязи систем в графическом виде (L2/L3 схемы, архитектурные диаграммы). Опыт компании ЗИКС За более чем 10 лет работы в области информационной безопасности компания ЗИКС реализовала десятки проектов по категорированию объектов КИИ федерального уровня — от энергетики и транспорта до государственных информационных систем. В числе заказчиков —Департамент информационных технологий города Москвы, ПАО «Ростелеком», ПАО «ГМК «Норильский Никель», Инжиниринговая компания «ГазЭнергоСтрой», ФГУП «ТТЦ Останкино», ПАО «РЖД», ГК «Ростех» и другие. Наш подход к категорированию базируется на принципах: комплексного анализа (включая ИТ, ИБ и технологические процессы); точного документирования всех этапов; минимизации сроков за счёт отлаженных процедур и отсутствия бюрократии внутри команды. Что получает заказчик в результате По итогам проекта заказчик получает: корректно оформленный акт категорирования объекта КИИ; модель угроз с учётом отраслевой специфики; рекомендации по классу защищённости и перечень мер; готовый пакет документов для предоставления в ФСТЭК; основу для последующих этапов — проектирования и внедрения системы защиты. Почему важно пройти категорирование с первого раза Ошибка или формальность на этом этапе приводит к каскаду проблем:проектные решения нужно пересматривать, документы переписывать, сроки внедрения системы защиты сдвигаются, а затраты возрастают. Корректное категорирование позволяет: заранее определить объём работ и бюджет; избежать повторных проверок и предписаний; построить систему защиты, соответствующую реальным рискам. Заключение Категорирование — это не просто формальная процедура, а основа всей системы информационной безопасности.От того, насколько точно и грамотно оно выполнено, зависит, будет ли объект реально защищён или останется уязвимым на уровне проектных документов. Опыт компании ЗИКС показывает: при правильной организации процесса, вовлечении всех подразделений и соблюдении требований ФСТЭК пройти категорирование можно с первого раза, без задержек и доработок.

Как наладить сотрудничество подразделений, сократить конфликты и ускорить внедрение мер безопасности Современные компании всё чаще сталкиваются с ситуацией, когда отдел информационной безопасности (ИБ) и подразделение информационных технологий (ИТ) существуют параллельно — каждый в своей «экосистеме». Один отвечает за защиту, другой — за доступность и стабильность систем.Но без тесного взаимодействия этих направлений даже самая продуманная система защиты не сможет работать эффективно. Конфликт целей: почему ИБ и ИТ не слышат друг друга ИБ-функция в компании направлена на минимизацию рисков и соответствие требованиям законодательства (187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и ФСБ).ИТ — на обеспечение бесперебойной работы сервисов и выполнение задач бизнеса. Отсюда — типичные противоречия: специалисты ИБ ограничивают доступы, а ИТ-команда видит в этом «тормоз» процессов; ИБ требует установки обновлений и контроля уязвимостей, а ИТ опасается сбоев после патчей; при внедрении новых решений приоритеты по безопасности и удобству часто расходятся. Результат — задержки, внутренние конфликты и формальный подход к мерам защиты. Почему формальное внедрение мер не работает Любая система информационной безопасности — это не только средства защиты (СЗИ), но и процессы, которыми управляют люди. Если эти процессы не встроены в ИТ-практику компании, безопасность остаётся «на бумаге». Например: Система антивирусного мониторинга установлена, но отчёты не анализируются. SIEM внедрён, но ИТ-отдел не интегрировал журналы событий. Есть регламент резервного копирования, но фактическая проверка копий не проводится. Без координации между ИБ и ИТ такие меры превращаются в набор разрозненных инструментов, не влияющих на реальный уровень защищённости. Как наладить взаимодействие ИБ и ИТ: практические шаги На практике эффективное сотрудничество строится по трём направлениям: 1. Единая нормативная база Разработка организационно-распорядительной документации (ОРД) и нормативно-методических документов (НМД), где чётко прописано: кто за что отвечает (распределение ролей между ИБ и ИТ); порядок взаимодействия при инцидентах, обновлениях, изменениях инфраструктуры; правила согласования новых систем, интеграций и СЗИ.Без этого регламенты остаются разрозненными, а решения принимаются «по ситуации». 2. Совместное проектирование и внедрение ИБ должно быть вовлечено в проекты с самого начала. Если безопасность подключается уже «на этапе внедрения», появляются задержки и доработки.Компания ЗИКС применяет подход security by design — безопасность проектируется параллельно с ИТ-архитектурой, что позволяет избежать переделок и ускорить согласования. 3. Общая система контроля и ответственности Ключевые метрики ИБ и ИТ должны быть связаны.Например: SLA по устранению уязвимостей; время реакции на инциденты; показатели резервирования и восстановления.Если эти метрики формируются совместно, исчезает “конфликт приоритетов” — обе стороны работают на общую цель. Роль документации в построении взаимодействия Правильно оформленная документация — основа согласованной работы подразделений.К ней относятся: Политика ИБ и положение о подразделении защиты информации; Регламенты администрирования, резервного копирования, реагирования на инциденты; Инструкции пользователей и администраторов; Модели угроз и акты категорирования. Такая база позволяет не только наладить взаимодействие между ИБ и ИТ, но и быть готовыми к проверкам ФСТЭК и ФСБ, внутренним и внешним аудитам. Опыт компании ЗИКС Компания ЗИКС на протяжении более десяти лет реализует проекты в области информационной безопасности, где выстраивание эффективного взаимодействия ИБ и ИТ — одно из ключевых условий успеха. Наш опыт охватывает: разработку организационно-нормативной документации и проектных решений; создание систем защиты КИИ, ГИС и ИСПДн; сопровождение внедрения технических средств защиты и обучение персонала. Мы видим: те заказчики, у которых ИБ и ИТ работают как единая команда, достигают стабильного уровня защищённости, минимизируют количество инцидентов и быстрее проходят проверки регуляторов. Что получает заказчик при грамотной интеграции ИБ и ИТ Согласованная архитектура защиты — безопасность встроена в бизнес-процессы, а не мешает им. Минимум конфликтов между подразделениями. Повышение эффективности: время реакции на угрозы снижается, а внедрение новых решений ускоряется. Соответствие требованиям регуляторов — без переработок и срочных доработок перед проверками. Заключение Без тесного взаимодействия между ИБ и ИТ система защиты остаётся набором инструментов, а не механизмом, способным реально противостоять угрозам.Совместная работа, единые регламенты и понимание целей — основа устойчивой и эффективной информационной безопасности.

Компания ЗИКС более десяти лет реализует проекты в области информационной безопасности для крупнейших государственных структур, инфраструктурных и промышленных предприятий. Одним из ключевых направлений нашей деятельности является разработка проектной, нормативной и эксплуатационной документации, без которой невозможно ни ввод объектов в эксплуатацию, ни соответствие требованиям регуляторов, ни построение систем защиты. Зачем нужна документация Документация по информационной безопасности отвечает сразу на три вопроса: Что защищать? (категорирование и классификация систем). От чего защищать? (модели угроз, регламенты). Какими средствами защищать? (перечень мер, проектные решения). Для заказчика это: основа для построения системы защиты КИИ, ИСПДн и ГИС; гарантия соответствия 187-ФЗ, 152-ФЗ, 149-ФЗ, приказам ФСТЭК и ФСБ; рабочий инструмент для администраторов, операторов и руководителей ИБ. Какие документы мы готовим Компания ЗИКС оказывает услуги по всем основным видам документации: Документы по КИИ Документы по ПДн (ИСПДн)  Документы по ГИС ОРД НМД Проектная и рабочая документация Каждому из этих направлений мы посвятили отдельные публикации на сайте, чтобы заказчик мог глубже изучить состав, сроки и примеры документов. Как мы работаем Структура работ по каждому проекту включает: Обследование объекта — сбор исходных данных, анализ действующих систем. Категорирование и классификация — определение уровня защищённости и значимости. Разработка документации — полный пакет документов (от ОРД до рабочих чертежей). Нормоконтроль и согласование — проверка качества и соответствия. Передача заказчику — комплект документации, готовый к реализации и экспертизе. Сроки — от 1 до 6 месяцев, в зависимости от масштаба. В среднем по проектам мы закрываем задачи быстрее рынка, а иногда и раньше планового дедлайна. Наш опыт За годы работы мы реализовали десятки проектов федерального уровня. Нашими заказчиками стали:Департамент информационных технологий города Москвы, Инжиниринговая компания «ГазЭнергоСтрой», ИД «Коммерсантъ», ПАО «ГМК «Норильский Никель», НПП «АИМ», ОАО «РЖД», ПАО «Ростелеком», ГК «Ростех», «Русь-Телеком», «ТеплоЭнергоПроект», ФГУП «ТТЦ» Останкино, «Севен-Про», Управление делами Президента РФ, ФТС России, «Центр Безопасности Информации». Наши преимущества Конкурентная стоимость — ниже среднерыночных ставок за счёт оптимизированной команды и локализации в Зеленограде. Скорость — отсутствие избыточной бюрократии, внутренние согласования занимают часы, а не недели. Гибкость — мы идём навстречу клиентам: включаем дополнительные документы или задачи без задержки сроков. Опыт федерального уровня — проекты для стратегически важных предприятий и органов власти. Документация по КИИ: зачем она нужна и что в неё входит Что такое КИИ и почему это важно Критическая информационная инфраструктура (КИИ) — это объекты и системы, от которых напрямую зависит работа энергетики, промышленности, транспорта, связи, финансового сектора и государственного управления. Любой сбой в таких системах способен повлечь последствия не только для конкретного предприятия, но и для целого региона или даже страны. Именно поэтому для КИИ установлены жёсткие требования законодательства в части ИБ (187-ФЗ и приказы ФСТЭК), одно из которых — наличие корректно разработанной документации по защите. Без полного комплекта документов невозможно пройти проверку регуляторов или ввести объект в эксплуатацию. Документация фиксирует весь набор мер по безопасности: от организационных правил до конкретных технических решений. Что обычно входит в комплект Полный пакет документации для объектов КИИ обычно включает: Акт категорирования объекта КИИ — определяет значимость системы и уровень требований к её защите. Модель угроз безопасности — описывает потенциальные угрозы и способы их реализации. Перечень организационных и технических мер — конкретные действия и решения для защиты. Технический проект и рабочая документация — схемы, чертежи, пояснительные записки. Эксплуатационные материалы — инструкции администратора и пользователя, методики испытаний, планы резервирования. В зависимости от сложности объекта речь идёт о десятках, а иногда и сотнях документов. Как строится работа Обычно проект делится на два основных этапа: Обследование и анализ. Специалисты выезжают на объект, изучают действующие системы, оценивают возможность интеграции новых решений и собирают исходные данные. По итогам формируется техническое задание и проектные требования. Разработка документации. На основе собранной информации создаётся весь комплект документов — от актов категорирования и моделей угроз до технических проектов и эксплуатационных инструкций. Важно, что каждый документ проходит внутренний нормоконтроль и согласования, а итоговый пакет готов к предъявлению регуляторам. Сроки и масштаб Средний срок реализации проекта по КИИ составляет 3–6 месяцев. Всё зависит от числа систем и масштабов объекта.Например, для крупного энергетического узла может потребоваться подготовить от 50 до 150 документов. Какой результат получает заказчик В итоге организация получает: комплект документации, соответствующий требованиям 187-ФЗ и приказов ФСТЭК; готовность к проверкам без необходимости срочной доработки; основу для построения работающей системы защиты, которая реально снижает риски; возможность без задержек вводить объект в эксплуатацию. Роль компании ЗИКС Компания ЗИКС занимается подготовкой документации по КИИ уже много лет и реализовывала проекты на объектах федерального уровня: от энергетики до промышленности. Наши специалисты умеют работать в условиях ограниченных сроков, сложных цепочек согласований и высоких требований регуляторов. Особенности нашего подхода: гибкость и скорость согласований (внутри компании нет избыточной бюрократии); опыт разработки документации, проходящей Главгосэкспертизу; возможность идти навстречу заказчику, если появляются дополнительные задачи. Документация по ПДн: что это и зачем нужна Почему защита персональных данных важна Персональные данные (ПДн) — это ФИО, паспортные сведения, телефоны, адреса, биометрия и другая информация о человеке. Сегодня почти каждая организация — от школы до банка — работает с ПДн, а значит обязана соблюдать требования Федерального закона № 152-ФЗ «О персональных данных». Нарушение этих требований грозит не только штрафами и проверками со стороны Роскомнадзора, но и репутационными потерями, а также рисками утечки данных клиентов или сотрудников. Чтобы выстроить систему защиты ПДн, необходимо разработать правильный комплект документации. Что входит в документацию по ПДн Полный пакет документов зависит от масштаба организации, но обычно включает: Политику в отношении обработки ПДн — базовый документ, который обязателен для публикации. Модели угроз безопасности ПДн — описание актуальных угроз и способов их реализации. Акты классификации информационных систем ПДн (ИСПДн) — определение уровня защищённости (УЗ-1, УЗ-2, УЗ-3). Акт установления класса защищённости — определяет уровень требований к защите в зависимости от значимости объекта. Перечень организационных мер — регламенты доступа, порядок хранения, уничтожения и передачи данных. Перечень технических мер — выбор средств защиты информации (СЗИ), шифрование, антивирусы, средства контроля доступа. Локальные нормативные акты — должностные инструкции, порядок реагирования на инциденты, регламенты резервного копирования. Технический проект и эксплуатационные документы — схемы, инструкции для администраторов и пользователей. Как строится работа Проект обычно проходит несколько этапов: Обследование — инвентаризация всех информационных систем, где обрабатываются ПДн. Классификация — определение уровня защищённости ИСПДн. Разработка документов — подготовка пакета организационных и технических документов. Согласование — внутренний нормоконтроль и, при

Москва, август 2025 года.Компания ЗИКС завершила работы по разработке проектной и нормативной документации для системы обеспечения информационной безопасности (СОИБ) Якутской ГРЭС-2 (вторая очередь), входящей в состав объектов «РусГидро». Для нас этот проект стал не просто очередной задачей — а подтверждением компетенций команды на объектах федерального уровня. Почему это важно Якутская ГРЭС-2 — стратегический объект, обеспечивающий энергией промышленность и население региона. Она относится к значимым объектам критической информационной инфраструктуры (КИИ), и любые сбои в её работе могут иметь последствия регионального масштаба. Поэтому ключевая цель проекта заключалась в создании полноценной документационной базы по безопасности, соответствующей требованиям 187-ФЗ, 152-ФЗ и приказам ФСТЭК. Как проходил проект Работа велась в сжатые сроки — всего 4 месяца с учетом согласования с Главгосэкспертизы. Несмотря на сложность взаимодействия (длинная цепочка подрядчиков и разница во времени с Якутией), команда ЗИКС смогла организовать процесс так, чтобы разработать полный пакет документов раньше планового дедлайна. Проект включал два этапа: Обследование и анализ. Специалисты актуализировали состояние действующих систем, оценили возможность интеграции новых решений, подготовили техническое задание. Разработка документации. Было создано более 100 документов, включая: акты категорирования, модели угроз, акты установления классов защищённости, технические проекты, схемы (L2/L3, структурные, кабельные), эксплуатационные инструкции, методики испытаний. Весь комплект прошёл нормоконтроль и согласование в Главгосэкспертизе. Вызовы и решения Проекты такого масштаба редко обходятся без сложностей. Разница во времени с Якутском заставляла проводить совещания ночью. Цепочка согласований занимала недели, но в ряде случаев наша команда брала ответственность на себя, чтобы не останавливать процесс. В процессе работ заказчик просил подготовить дополнительные документы, не входившие в ТЗ. Мы пошли навстречу: сделали всё необходимое, не затянув сроки. Эти моменты — показатель нашей гибкости: мы не ограничиваемся формальной работой по договору, а стремимся реально помогать заказчику. Результаты для заказчика Заказчик получил: полный комплект документации для ввода объекта в эксплуатацию и дальнейшей работы; соответствие всем требованиям законодательства РФ; базу для построения реальной, работающей системы защиты КИИ и ИСПДн; проект, закрытый раньше срока. Почему ЗИКС Мы победили в открытом конкурсе благодаря сочетанию: конкурентной цены (ниже московских ставок за счёт базирования в Зеленограде); высокой скорости и отсутствия бюрократии внутри компании; опыта в реализации проектов федерального уровня. В работе участвовала компактная, но сильная команда: 3 проектировщика, руководитель проекта и специалист по нормоконтролю. Голос компании «Для нас важно не просто формально закрыть проект и передать документы. Мы всегда думаем о том, чтобы спроектированная система гарантированно защищала объект КИИ, которым является Якутская ГРЭС-2».

ООО «Компания ЗИКС» примет участие в XXIV Всероссийском форуме «Информационная безопасность. Регулирование. Технологии. Практика. ИнфоБЕРЕГ-2025», который состоится 9-12 сентября 2025 года в городе Сочи. «ИнфоБЕРЕГ-2025» — ведущая площадка для обмена опытом и диалога представителей отрасли, регуляторов и бизнеса. В центре обсуждения — практические вопросы защиты информации в стратегически важных отраслях экономики, государственном секторе и ВПК. Особое внимание в этом году будет уделено внедрению новых требований приказа ФСТЭК №117, вступающих в силу 1 марта 2026 года. Компания ЗИКС представит свой опыт в области модернизации архитектуры информационной безопасности и расскажет о том, как заказчикам уже сегодня выстраивать дорожные карты по переходу на новые стандарты. Среди ключевых направлений — аудит и классификация ИС, управление уязвимостями, внедрение средств NGFW и SIEM, а также подготовка документации и регламентов в соответствии с обновлёнными требованиями. «Наш приоритет — не просто внедрять технологии, а помогать заказчикам комплексно готовиться к новым нормативным требованиям. Приказ №117 задаёт новый уровень зрелости процессов ИБ, и мы готовы сопровождать наших партнёров на каждом этапе: от анализа текущего состояния до промышленной эксплуатации решений», — отметили в пресс-службе компании ЗИКС. Мы приглашаем коллег и партнёров встретиться с нашей командой на форуме.  У вас будет возможность лично пообщаться с директором Компании ЗИКС!

Компания ЗИКС, официальный партнёр Газинформсервиса, приняла участие в партнерском мероприятии GIS DOUBLE X, организованном одним из ведущих российских разработчиков решений в области информационной безопасности. Событие собрало на одной площадке интеграторов, представителей вендора и профессиональное сообщество, обсуждающее ключевые вызовы и возможности на рынке отечественных ИБ-решений. Были затронуты вопросы развития продуктовой линейки, планов по поддержке партнёров, а также кейсы по построению защищённой ИТ-инфраструктуры в организациях различного масштаба.   Позиция компании ЗИКС Компания ЗИКС рассматривает участие в подобных мероприятиях как стратегически важное направление взаимодействия с технологическими партнёрами. Обсуждение технических нюансов, обмен кейсами и участие в рабочих сессиях позволяют глубже интегрировать решения Газинформсервиса в проекты ЗИКС и повышать качество реализуемых ИБ-проектов.   Партнёрство и его возможности Партнёрский статус с Газинформсервисом предоставляет компании ЗИКС: приоритетный доступ к сертифицированным продуктам отечественной разработки; расширение спектра решений в рамках построения комплексной ИБ-архитектуры; техническую и экспертную поддержку в рамках совместных проектов; участие в образовательных и отраслевых инициативах; совместное продвижение лучших практик на рынке. Комментарий компании ЗИКС «Мы высоко ценим партнёрские отношения с Газинформсервисом. Такие мероприятия, как GIS DOUBLE X, позволяют синхронизировать стратегическое и технологическое видение, выстраивать кооперацию и быстрее реагировать на вызовы в сфере информационной безопасности», — прокомментировали в пресс-службе компании ЗИКС.   📩 По вопросам интеграции решений Газинформсервиса и построения защищённой инфраструктуры — обращайтесь к специалистам ЗИКС: info@czics.ru

Компания ЗИКС стала партнёром российского разработчика решений в сфере кибербезопасности R-Vision — одного из ведущих поставщиков отечественных платформ SIEM, SOAR, TIP и GRC. Решения R-Vision используются для мониторинга событий информационной безопасности, автоматизации реагирования на инциденты и управления рисками. Продуктовая линейка компании охватывает ключевые направления построения SOC и централизованного управления безопасностью, включая:– платформу R‑Vision SIEM с высокой производительностью и гибкой архитектурой;– систему автоматизации реагирования на инциденты R‑Vision SOAR;— построение и автоматизация процесса управления уязвимостями R-Vision VM;– модуль управления угрозами R‑Vision TIP;– платформу управления рисками и соответствием R‑Vision SGRC. Продукты компании сертифицированы ФСТЭК России и соответствуют требованиям регуляторов и отраслевых стандартов. Выгоды партнёрстваБлагодаря сотрудничеству с R-Vision, компания ЗИКС расширяет линейку отечественных ИБ-решений для своих заказчиков. Это позволяет предлагать комплексные проекты по построению SOC и автоматизации ИБ-процессов с использованием лучших российских технологий. Клиенты получают доступ к сертифицированным решениям с высоким уровнем поддержки и возможностью гибкой интеграции в существующую инфраструктуру. О компании R-VisionR-Vision — российская компания, специализирующаяся на разработке решений для управления событиями информационной безопасности и ИТ-инфраструктуры. Основана в 2011 году. Входит в число лидеров отечественного рынка в сегменте SIEM и SOAR-решений. Подробнее о компании: https://rvision.ru