2025

Технические средства охраны (ТСО) — один из самых недооценённых элементов системы безопасности. На практике заказчики часто вспоминают о ТСО либо перед проверкой регулятора, либо после инцидента. В обоих случаях приходится действовать в сжатые сроки, исправлять ошибки и дорабатывать уже внедрённые решения. При этом грамотно выстроенная система ТСО позволяет: снизить риски утечек и инцидентов; выполнить требования регуляторов; избежать переделок и лишних затрат; обеспечить управляемость и прозрачность доступа на объект. Разберём, как заказчику подойти к внедрению ТСО правильно, какие компоненты действительно нужны и как реализовать проект без лишней нагрузки на собственную команду. С чего начинать внедрение ТСО Главная ошибка — начинать с покупки оборудования.Правильный старт — понимание своего объекта и задач. Перед внедрением ТСО заказчику важно ответить на несколько базовых вопросов: какие помещения и зоны требуют защиты; где размещается критичное оборудование и данные; кто и на каких основаниях должен иметь доступ; какие требования применимы к объекту (ПДн, ГИС, КИИ, коммерческая тайна). Именно на этом этапе формируется основа будущей системы. Без него ТСО превращаются в набор разрозненных устройств. Ключевые компоненты системы ТСО, которые действительно нужны Контроль доступа Система контроля и управления доступом — базовый элемент ТСО.Она позволяет: ограничить доступ в помещения и зоны; зафиксировать, кто и когда входил; исключить «лишние» и несанкционированные проходы. Для заказчика важно не просто наличие СКУД, а правильно выстроенная логика доступа: разные уровни, разные роли, разные зоны. Охранная и тревожная сигнализация Этот компонент отвечает за обнаружение попыток несанкционированного проникновения, в том числе вне рабочего времени.Без сигнализации физическая защита объекта фактически не работает. Видеонаблюдение Видеонаблюдение выполняет сразу несколько задач: контроль соблюдения режимов; фиксация событий; разбор инцидентов и спорных ситуаций. Важно, чтобы камеры были установлены не «для галочки», а закрывали именно критичные зоны. Физическая защита помещений Даже самые современные системы неэффективны без базовых инженерных решений: двери с контролируемым доступом; замки; шкафы и стойки для оборудования; ограничение доступа к носителям информации. Централизованное управление и контроль Для заказчика критично, чтобы система ТСО была: управляемой; прозрачной; понятной для эксплуатации. Это достигается за счёт: централизованного управления; журналирования событий; интеграции с ИБ-процессами. Как выстроить ТСО без лишних хлопот С точки зрения заказчика, идеальный сценарий внедрения ТСО выглядит так: без постоянного вовлечения в детали; без необходимости разбираться в нормативных тонкостях; без риска переделок после проверки. Чтобы этого добиться, проект должен идти поэтапно и под ключ. 1. Обследование объекта На этом этапе специалисты: осматривают объект; определяют зоны и уровни доступа; анализируют текущие средства защиты; выявляют пробелы и риски. Заказчик получает понятную картину текущего состояния. 2. Проектирование и согласование Формируется архитектура ТСО: какие компоненты нужны; где они устанавливаются; как управляются и взаимодействуют. Решения подбираются под конкретный объект, а не «по шаблону». 3. Внедрение и настройка Установка оборудования, настройка систем, проверка сценариев доступа и реагирования.На этом этапе важно, чтобы система сразу была готова к эксплуатации, а не требовала доработок «по ходу». 4. Документация и ввод в эксплуатацию Для заказчика это один из самых важных этапов.Именно здесь: оформляются регламенты; описываются зоны и уровни доступа; фиксируется соответствие требованиям. Это снимает риски при проверках и аудитах. Почему заказчику важно работать с профильным подрядчиком ТСО — это не просто инженерный проект. Это часть системы информационной безопасности.Подрядчик должен: понимать требования регуляторов; уметь связывать ТСО с ИБ-процессами; иметь опыт работы с объектами разного масштаба; брать на себя проект «под ключ». В этом случае заказчик получает результат, а не набор оборудования. Что получает заказчик в итоге Грамотно внедрённая система ТСО даёт: понятную и управляемую модель доступа; защиту критичных зон и оборудования; соответствие нормативным требованиям; готовность к проверкам и аудитам; снижение операционных и репутационных рисков. И главное — минимальную нагрузку на собственную команду. Как ЗИКС помогает внедрить ТСО без лишних сложностей Компания ЗИКС сопровождает заказчиков на всех этапах: обследование и анализ объекта; проектирование архитектуры ТСО; внедрение и настройка; подготовка документации; сопровождение и консультации. Мы берём на себя технические, организационные и нормативные вопросы, позволяя заказчику сосредоточиться на основном бизнесе. Вывод ТСО — это не «обязательная формальность», а инструмент реальной защиты.Грамотно внедрённая система начинается с анализа, строится поэтапно и должна быть удобной в эксплуатации. При правильном подходе внедрение ТСО перестаёт быть сложным проектом и превращается в понятный и управляемый процесс, который можно реализовать без лишних хлопот — с надёжным партнёром.

Продолжаем рассказывать о реализованных проектах Компании ЗИКС. Один из наиболее масштабных примеров нашей практики в области Аудита информационной безопасности— комплексный аудит для группы «Норильский Никель».Проект охватил 22 объекта по всей России, включая Норильск, Мончегорск, Красноярск, Мурманск, Архангельск, Санкт-Петербург, Читу и Москву. Работы включали обследование инфраструктуры, проведение инструментального анализа и подготовку дорожной программы модернизации систем ИБ для всей корпоративной структуры. Цели и роль компании ЗИКС Задача проекта заключалась в проведении полнокомплексного аудита информационной безопасности сразу на нескольких уровнях: инфраструктуры объектов; используемых информационных систем; процессов ИТ, ИБ, кадрового и финансового блока; бизнес-процессов, связанных с обработкой данных. Компания ЗИКС выступала ключевым подрядчиком по двум направлениям: обследование инфраструктуры и сбор исходных данных; разработка отчетных документов и программ модернизации ИБ-инфраструктуры. Итогом стала централизованная программа развития систем информационной безопасности, рассчитанная на два года. География и масштаб Проект охватывал 22 объекта, распределённые по всей стране.На каждом из них инженер компании ЗИКС работал лично — проводил интервью, осмотры помещений, сбор данных и инструментальные проверки. Всего выполнено 35 командировок, поскольку на часть объектов приходилось выезжать повторно или направлять несколько специалистов. Этапы работ Проект был разделён на два ключевых этапа. 1. Обследование инфраструктуры Включало: разработку и согласование опросных листов; удалённый сбор исходных данных; анализ полноты предоставленной информации; подготовку перечня недостающих сведений; выезды на объект и проведение очных интервью; инструментальные обследования (пентест инфраструктуры); формирование предварительного отчёта. 2. Разработка программы модернизации После сбора данных специалисты ЗИКС: систематизировали большой массив информации; оценивали зрелость ИБ-процессов; формировали требования к развитой модели защиты; разрабатывали комплексную программу создания централизованной архитектуры ИБ. Сложность проекта и выявленные проблемы По итогам обследований компания ЗИКС обнаружила ключевую особенность инфраструктуры: Полная фрагментированность систем и процессов. На каждом из 22 объектов использовался собственный набор: информационных систем, средств защиты, прикладных сервисов, бизнес-процессов. Присутствовал «зоопарк» решений, в котором системы пересекались лишь фрагментарно.Некоторые подразделения не могли чётко описать собственные бизнес-процессы или принципы работы критичных систем. Это осложняло сбор данных и требовало от специалистов нестандартных подходов к обследованию. Сложные объекты и уникальные системы Особую сложность представляли: распределённые SAP-системы (кадры, бухгалтерия, зарплата), содержащие множество подсистем и установленные на нескольких производственных площадках одновременно; распределённые решения 1С, работающие в едином контуре для разных территорий; информационные системы, связанные с обработкой персональных данных и коммерческой тайны, требующие полного описания и оценки. Каждая из подсистем рассматривалась как самостоятельный объект обследования. Условия работы: режимные объекты и доступ Все крупные площадки Норильского никеля являются режимными, особенно промышленные площадки Норильска и Мончегорска.Для каждого выезда требовались предварительные допуски, заявки и согласования, что значительно увеличивало длительность подготовки. Характерных особенностей было множество: огромные заводские территории, сопоставимые по площади с городами; распределённые ИТ-узлы, расположенные в десятках зданий; необходимость обхода каждого помещения и общения с локальными сотрудниками. Оценка зрелости ИБ и ключевые результаты По результатам обследования уровень зрелости ИБ-процессов на тот момент оценивался как ниже среднего по регионам, в то время, как корпоративный центр в Москве соответствовал всем требованиям по Информационной Безопасности на момент реализации проекта.Главная причина низкого уровня ИБ в регионах — отсутствие централизованного управления и единых стандартов безопасности. Компания ЗИКС разработала для заказчика: комплексную двухлетнюю программу развития систем информационной безопасности; модель централизованного управления средствами защиты; рекомендации по унификации архитектуры ИС и политик безопасности; план внедрения защищённой инфраструктуры с ядром управления в головном офисе. Состав команды В реализации проекта участвовали около 10 специалистов компании ЗИКС, включая ведущих аудиторов, инженеров, аналитиков и специалистов по документации. Сроки реализации Проект занял около 6 месяцев, включая: 3,5 месяца выездов и очных обследований; около 2 месяцев аналитики и подготовки отчетных документов. Уникальный опыт и значение проекта Проект стал самым масштабным аудитом в практике компании ЗИКС.Он объединил сразу несколько уровней сложности: огромная география; режимные производственные объекты; критически важные информационные системы; десятки зданий внутри каждого промышленного комплекса; полностью разнородные архитектуры. Этот кейс позволил команде компании ЗИКС получить уникальный опыт обследования крупной распределённой промышленной инфраструктуры, а заказчику — получить централизованную, управляемую, комплексную систему информационной безопасности. Заключение Аудит информационной безопасности группы «Норильский Никель» стал ключевым проектом, подтверждающим компетенции ЗИКС в комплексной работе с федеральными промышленными компаниями.Достигнутые результаты создали фундамент для формирования современной и централизованной системы информационной безопасности, способной поддерживать развитие корпоративной инфраструктуры на годы вперёд.

Компания ЗИКС завершила один из самых масштабных инфраструктурных проектов для органов исполнительной власти Москвы — консолидацию доменных структур 16 подведомственных организаций и перенос их в единый домен Active Directory.Работа включала миграцию 7000 учётных записей пользователей, рабочих станций и десятков уникальных информационных систем, задействованных в повседневной деятельности городских учреждений. Задача проекта: единый домен для разнородной инфраструктуры До начала работ каждый подвед правительства Москвы поддерживал собственный домен, с индивидуальными настройками, правилами, сервисами и архитектурой.Такая разобщённость усложняла администрирование, сопровождение, обеспечение кибербезопасности и развитие ИТ-среды. Цель проекта состояла в том, чтобы: объединить все организации в единый домен ДИТ Москвы; перенести учетные записи, рабочие станции и серверные компоненты; адаптировать каждую информационную систему под требования новой службы каталогов; сохранить стабильность всех сервисов на время миграции. Проект стал ключевой частью цифровой трансформации инфраструктуры органов власти. Сложность и масштабы работ По данным интервью с техническим руководителем проекта, объём и структура задач были беспрецедентными:  Центральный проспект 5 7000 рабочих станций с разным составом ПО; 7000 учетных записей пользователей, многие — с зависимостями от внутренних систем; 16 подведов, каждый со своей архитектурой AD; десятки серверных систем, требующих индивидуального анализа и адаптации; необходимость согласования изменений через ДИТ Москвы. Этот проект требовал не просто технической миграции, а глубокого архитектурного понимания каждого учреждения и его ИТ-ландшафта. Почему проект занял полтора года Общая длительность работ составила около 18 месяцев, из которых: 3 месяца — тестовая миграция пилотных подведов (≈2000 учётных записей); 4–5 месяцев — основной этап переноса оставшихся организаций (≈5000 записей); остальное время — согласования, сбор информации, проектирование, подготовка документации. С технической стороны миграция была выполнена строго в срок — задержки возникали только на этапах, связанных с регламентами и организационными процедурами заказчика. Что входило в зону ответственности ЗИКС Согласно материалам интервью, специалисты компании выполняли полный комплекс инженерных работ:  Центральный проспект 5 1. Инвентаризация и анализ инфраструктур сбор данных по рабочим станциям, серверам, доменным структурам и информационным системам; анализ механизма аутентификации, политик безопасности и зависимости сервисов. 2. Проектирование и документация разработка технических решений и проектной документации; формирование планов миграции для каждого учреждения; подготовка регламентов и процедур переноса. 3. Миграция рабочих станций и учётных записей перевод ПК в новый домен; перенос профилей пользователей; корректировка политик, прав и зависимостей. 4. Миграция серверных информационных систем Каждую систему инженеры изучали индивидуально:её назначение, архитектуру, логические связи, сервисные зависимости. Только после этого формировался план переноса и выполнялась адаптация под новый домен. 5. Взаимодействие с подведами и ДИТ Москвы согласование всех изменений; сопровождение технических специалистов на местах; контроль выполнения требований службы каталогов. Главная сложность проекта — миграция информационных систем Если перенос рабочих станций является прогнозируемой задачей, то миграция десятков уникальных информационных систем оказалась самым трудоёмким и критичным этапом. По словам руководителя проекта: «Перенос ИС — это не просто перевести сервер в новый домен. Это анализ архитектуры, сервисов, ролей, внешних зависимостей. Без понимания, как система работает изнутри, её можно легко нарушить». Каждая система требовала полного аудита: структуру БД; используемые сервисы; схемы подключения; доменные привязки; механизмы авторизации. Этот подход обеспечил безошибочный перенос, без остановки критически важных сервисов. Результаты проекта Компания ЗИКС обеспечила: консолидацию 16 подведов в единый домен; миграцию 7000 учётных записей; перевод рабочих станций — физических и виртуальных; перенос всех задействованных информационных систем; документирование всех этапов работ; устойчивую работу инфраструктуры после внедрения. Система функционирует стабильно, а заказчик отметил высокое качество выполнения работ и координации. Значение проекта для цифровой инфраструктуры Москвы Результатом проекта стала сформированная единая доменная структура, которая: упрощает администрирование и сопровождение; повышает безопасность доступа; облегчает интеграцию новых сервисов; сокращает издержки на ИТ-поддержку; обеспечивает единообразие политик безопасности. Работы стали важной частью выстраивания современной централизованной городской ИТ-архитектуры. Профессиональная оценка компании ЗИКС Этот проект подтвердил ключевые компетенции ЗИКС: глубокое понимание архитектуры AD; навыки переноса сложных и уникальных ИС; способность работать одновременно на десятках площадок; высокий уровень инженерной подготовки; корректное соблюдение требований и регламентов ДИТ Москвы; умение выполнять проекты большого масштаба строго в срок. Заключение Проект объединения подведов ДИТ Москвы в единую службу каталогов стал значимым этапом в развитии ИТ-инфраструктуры города.Компания ЗИКС продемонстрировала высокую компетентность, инженерную экспертизу и способность выполнять проекты федерального уровня сложности.

Инфраструктура органов исполнительной власти города Москвы представляет собой распределённую систему с высокой степенью взаимосвязанности сервисов и процессов. В таких условиях любое изменение, затрагивающее авторизацию и доступ пользователей, требует точного проектирования, согласования и строго контролируемого внедрения. Компания ЗИКС реализовала проект по внедрению двухфакторной аутентификации на базе решений Aladdin R.D. JMS / JaCarta, охвативший 7000 рабочих мест и 16 объектов информатизации. Проект стал примером комплексного инженерного подхода, ориентированного на минимизацию влияния на действующую инфраструктуру и обеспечение высокого уровня информационной безопасности. Для выполнения работ была задействована расширенная инженерная группа — порядка 20 специалистов, часть из которых прошла профильную подготовку, включая сотрудничество компании с кафедрой информационной безопасности МИЭТ. Архитектурное проектирование в условиях ограничений Каждое из учреждений, входящих в контур ДИТ Москвы, имеет собственную организацию доменной структуры, особенности администрирования и правила эксплуатации. В этой среде задача заключалась не в унификации инфраструктур, а в формировании архитектурного решения, совместимого с разнородными средами. На этапе обследования специалисты компании ЗИКС провели анализ существующих схем авторизации, политик доступа, AD-структур и взаимодействующих сервисов. Итогом стала единая архитектурная модель JMS, адаптированная под особенности каждого объекта и соответствующая требованиям нормативных документов и эксплуатационных регламентов. Внедрение биометрической идентификации в действующую ИТ-экосистему Реализация проекта включала установку серверных компонентов, развёртывание клиентского ПО, интеграцию с Active Directory и настройку биометрических модулей. Ключевым аспектом стало обеспечение корректной привязки биометрических шаблонов сотрудников к их учётным записям и подтверждение стабильно работающего процесса аутентификации. Регистрация биометрических данных проводилась по установленному регламенту, с обязательной валидацией каждого шаблона. Это обеспечило корректность дальнейшей эксплуатации и исключило риск ошибок при идентификации пользователей. Работа в регламентированных условиях Все изменения, вносимые в систему управления доступом, проходили централизованное согласование с ДИТ Москвы. Проект требовал прозрачности действий, последовательного документирования и строгого соблюдения внутренних регламентов заказчика. Для синхронизации процессов была выстроена система регулярных коммуникаций между инженерами компании ЗИКС и специалистами ИТ-служб учреждений. Такой формат позволил обеспечить контроль изменений и минимизировать риск влияния на работоспособность инфраструктуры. Проведение испытаний и ввод в эксплуатацию После завершения развертывания система прошла несколько циклов тестирования, включающих проверку работоспособности механизмов авторизации, резервных сценариев и устойчивости при нагрузке.По итогам опытной эксплуатации все объекты были переведены на использование двухфакторной аутентификации в штатном режиме. Результаты работы В результате проекта: внедрена единая система двухфакторной аутентификации на базе решений Aladdin R.D.; охвачено 7000 рабочих мест и 16 объектов информатизации; обеспечена корректная интеграция с существующей доменной инфраструктурой; выполнена регистрация биометрических данных сотрудников; задействовано около 20 инженеров, работавших параллельно на объектах; проект реализован в установленные сроки и в соответствии с требованиями ДИТ Москвы. Конкурентные преимущества ЗИКС Проект подтвердил ключевые сильные стороны компании: Оперативность исполнения — параллельная работа инженерных групп позволила выдержать график при большом объёме работ. Конкурентная стоимость — оптимизация процессов обследования, внедрения и документирования обеспечила ценовое преимущество при сохранении высокого качества. Системный инженерный подход — базирующийся на внутренней подготовке специалистов и сотрудничестве с профильными образовательными учреждениями. Профессиональная оценка «Проект подтвердил необходимость точного архитектурного подхода при внедрении систем авторизации в распределённых инфраструктурах.Корректное взаимодействие с ИТ-службами учреждений, детальное обследование и прозрачность всех этапов внедрения позволили обеспечить стабильную работу решения без влияния на текущие процессы»,— отмечает руководитель проекта компании ЗИКС. Заключение Внедрение системы двухфакторной аутентификации на базе решений Aladdin R.D. стало важным этапом развития инфраструктуры информационной безопасности органов исполнительной власти города Москвы.Проект продемонстрировал возможность масштабного и контролируемого внедрения современных средств защиты в действующую ИТ-среду при строгом соблюдении регламентов, требований и эксплуатационных ограничений.

Новый подход к проектированию ИТ-систем, который снижает затраты и ускоряет внедрение Москва, 2025 г. — Компания ЗИКС представляет экспертный обзор принципа Security by Design — современного подхода к построению информационных систем, при котором безопасность закладывается в архитектуру на этапе проектирования, а не добавляется после завершения проекта. Что такое Security by Design Security by Design — это концепция, при которой меры информационной безопасности проектируются и внедряются одновременно с архитектурой системы.Вместо того чтобы «добавлять» защиту в уже готовую инфраструктуру, специалисты по ИБ участвуют в разработке с самого начала. Такой подход позволяет: минимизировать риски уязвимостей на ранних этапах; снизить количество доработок и переработок; обеспечить соответствие требованиям ФСТЭК и других регуляторов; сократить общие затраты на внедрение и эксплуатацию. Почему традиционная модель устарела Классическая практика, при которой безопасность подключается после завершения проектирования, приводит к типичным последствиям: задержкам при вводе в эксплуатацию; необходимости переделки архитектуры; увеличению бюджета и сроков внедрения. По оценке специалистов компании ЗИКС, применение принципов Security by Design позволяет сократить время согласований и внедрения в среднем на 25–30% и существенно уменьшить последующие эксплуатационные расходы. Принципы построения архитектуры по подходу Security by Design Архитектура, построенная по принципу Security by Design, объединяет ИТ и ИБ в единую систему управления рисками.Основные принципы: 1. Принцип минимальных прав (Least Privilege) Каждый пользователь или процесс получает только те права, которые необходимы для выполнения задач. 2. Глубинная защита (Defense in Depth) Безопасность реализуется на нескольких уровнях — сеть, приложения, данные, пользователи. Это повышает устойчивость к атакам. 3. Безопасность по умолчанию (Secure by Default) Системы и сервисы изначально конфигурируются с безопасными настройками. 4. Безопасное поведение при сбое (Fail-Secure) Даже при технических сбоях или отказах система не должна допускать несанкционированного доступа к данным. 5. Моделирование угроз (Threat Modeling) Потенциальные уязвимости и сценарии атак анализируются ещё на этапе проектирования, что позволяет избежать рисков до реализации. 6. Интеграция ИБ и ИТ Команды ИБ и ИТ работают совместно, что обеспечивает баланс между безопасностью и функциональностью. 7. Автоматизация контроля Мониторинг, обновления, аудит и реагирование на инциденты встроены в процессы жизненного цикла системы. Преимущества внедрения Security by Design Компании, внедряющие принципы Security by Design, получают ощутимые преимущества: Снижение издержек на внедрение и поддержку систем безопасности; Ускорение запуска ИТ-проектов за счёт раннего согласования решений; Повышение соответствия нормативным требованиям ФСТЭК и ФСБ; Снижение рисков инцидентов и утечек данных; Повышение доверия со стороны клиентов, партнёров и регуляторов. Мнение экспертов ЗИКС «Security by Design — это не просто методология. Это переход к управляемой модели безопасности, где защита проектируется вместе с инфраструктурой. Такой подход исключает противоречия между ИБ и ИТ, делает систему устойчивой и экономически эффективной»,— отмечает технический директор компании ЗИКС. Заключение Security by Design — это стратегическое направление развития информационной безопасности.Он позволяет организациям перейти от реактивных мер к системному управлению рисками, снижая издержки и ускоряя внедрение решений. Проектируя безопасность вместе с системой, компании создают архитектуру доверия, где информационная безопасность становится фундаментом технологического развития. 📄 О компании ЗИКС ООО «Компания ЗИКС» более 11 лет реализует проекты в области информационной безопасности и защиты критической инфраструктуры.Основные направления деятельности: категорирование и защита объектов КИИ; аудит и проектирование систем информационной безопасности; разработка нормативной и эксплуатационной документации; внедрение отечественных средств защиты информации. Компания работает в соответствии с требованиями ФСТЭК и ФСБ России, обеспечивая полный цикл внедрения решений — от проектирования до сопровождения.

25 октября 2025 года в Ханое состоялось подписание Конвенции ООН против киберпреступности (UN Cybercrime Convention) — первого в истории глобального соглашения, направленного на борьбу с преступлениями в киберпространстве и укрепление международного сотрудничества. Документ, разработанный под эгидой Управления ООН по наркотикам и преступности (UNODC), стал результатом многолетних переговоров и объединяет усилия государств в противодействии угрозам, которые давно перестали иметь национальные границы.Инициатором и основным разработчиком Конвенции выступила Российская Федерация, предложившая проект документа и внесшая ключевые положения, легшие в основу итогового текста соглашения. Что представляет собой Конвенция Принята Генеральной Ассамблеей ООН в декабре 2024 года и открыта для подписания с октября 2025 года. Конвенция закрепляет: криминализацию ключевых видов киберпреступлений, включая фишинг, атаки с использованием вредоносного ПО, вымогательство (ransomware) и онлайн-эксплуатацию; создание глобальной сети обмена электронными доказательствами — механизм круглосуточного взаимодействия между странами для расследования киберинцидентов; гармонизацию законодательства: страны-участницы обязуются адаптировать свои нормы под единые международные принципы расследования и пресечения преступлений в цифровой сфере. На сегодняшний день документ подписали более 70 государств, что уже делает его крупнейшим международным соглашением в области кибербезопасности. Почему это событие называют историческим До сих пор каждая страна вырабатывала собственные подходы к реагированию на киберпреступления. Конвенция впервые формирует унифицированную правовую рамку, где обмен доказательствами, расследования и правовая помощь становятся международными по определению. Это не просто политическое заявление, а формирование правового поля для глобального «киберправа», в рамках которого: цифровое пространство признаётся зоной коллективной ответственности; киберпреступления рассматриваются как трансграничные акты, требующие международного реагирования; государства обязуются развивать инфраструктуру кибербезопасности на уровне национальных стратегий. Экспертная оценка Для профессионального сообщества это событие сопоставимо с принятием международных норм в области авиационной или морской безопасности.Впервые вопросы защиты цифровой инфраструктуры закреплены на уровне международного права, а это означает, что: компании, работающие с данными и ИТ-инфраструктурой, будут вовлечены в более жёсткие процедуры контроля и отчётности; расследование инцидентов и утечек может приобретать международный характер, даже если инцидент произошёл на локальном уровне; сотрудничество между государствами приведёт к выработке глобальных стандартов реагирования, что создаст новые ориентиры для корпоративных политик ИБ. Что это значит для отрасли Подписание Конвенции отражает переход от национальных стратегий к глобальной экосистеме цифровой безопасности, где границы между ИТ, ИБ и юриспруденцией постепенно стираются. Мировое сообщество признало: безопасность — это не конкурентное преимущество, а инфраструктура доверия, от которой зависит функционирование экономики, коммуникаций и государственных систем. Итог Подписание Конвенции ООН против киберпреступности — исторический шаг в формировании международной системы цифровой безопасности.Это событие подтверждает: эпоха разрозненных мер защиты заканчивается. Впереди — этап глобальной координации, обмена данными, общих стандартов и коллективной ответственности за безопасность в цифровом пространстве. 📄 Источник: UNODC, Reuters  

О приоритизации мер, типичных ошибках при выборе подрядчика и реальных способах оптимизировать затраты без потери качества Современные компании сталкиваются с противоречием: требования регуляторов к информационной безопасности растут, а бюджеты на ИБ — ограничены. Особенно остро эта проблема стоит для региональных организаций, предприятий госсектора и компаний среднего бизнеса. Многие ошибочно считают, что качественная защита требует крупных инвестиций. Однако практика показывает: эффективную систему ИБ можно выстроить даже при ограниченных ресурсах, если грамотно расставить приоритеты и избежать типичных ошибок. 1. Приоритизация: на что направить ресурсы в первую очередь Главная ошибка многих организаций — стремление «закрыть всё сразу». В результате средства распыляются, а ключевые риски остаются без внимания. Чтобы минимизировать затраты и при этом реально повысить уровень защищённости, важно определить критичные для бизнеса активы и выстроить систему защиты поэтапно. Основные принципы приоритизации: Анализ рисков. Начинать следует с оценки угроз, вероятности их реализации и потенциальных последствий для компании. Фокус на КИИ, ГИС и ИСПДн. При ограниченном бюджете в первую очередь нужно обеспечить выполнение требований законодательства (187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и ФСБ). Пошаговая реализация. Сначала организационные меры — регламенты, контроль доступа, повышение осведомлённости сотрудников. Затем технические — СЗИ, сегментация сети, антивирусная защита, резервное копирование. Такой подход позволяет достигать устойчивых результатов без перегрузки бюджета. 2. Типичные ошибки при выборе подрядчика Сокращение бюджета часто приводит к попытке экономии на исполнителях. На практике это оборачивается дополнительными расходами. Наиболее распространённые ошибки: Выбор по минимальной цене. Подрядчик, не имеющий опыта в проектах с ФСТЭК/ФСБ, может сэкономить на бумаге, но не обеспечить соответствие требованиям регуляторов. Отсутствие комплексного подхода. Некоторые компании берут на себя только поставку СЗИ, игнорируя проектирование, интеграцию и обучение. В итоге защита остаётся формальной. Неполный пакет документации. Без корректно оформленных нормативных документов система не пройдёт проверку и не будет считаться внедрённой. Ключевой критерий выбора — опыт выполнения аналогичных проектов и наличие аккредитации ФСТЭК России. Это гарантирует не только техническую корректность решений, но и юридическую защиту заказчика. 3. Реальные способы оптимизировать затраты Эффективная оптимизация не означает «урезание». Она строится на грамотной организации процессов: Комбинирование организационных и технических мер.Организационные меры (регламенты, инструкции, контроль учётных записей) стоят дешевле, но приносят существенный эффект. Использование отечественных решений.Импортозамещение снижает стоимость владения и облегчает сопровождение. Российские СЗИ и SIEM-системы сегодня сопоставимы по функционалу с зарубежными аналогами. Централизация и повторное использование наработок.Создание единой базы шаблонов документации, процедур и инструкций сокращает время внедрения и стоимость новых проектов. Постепенное внедрение по уровням зрелости.Можно начать с минимально достаточных мер, обеспечивающих соответствие требованиям, и по мере роста компании усиливать защиту. Аутсорсинг отдельных функций.Передача мониторинга или аудита внешнему партнёру позволяет сократить затраты на содержание собственной команды, сохранив контроль качества. 4. Роль документации в управлении бюджетом Документация — не просто формальность, а инструмент планирования и контроля затрат.Корректно оформленные нормативно-методические документы позволяют: чётко определить зоны ответственности и объём работ; избежать дублирования задач между подразделениями; снизить риск перерасхода бюджета при внедрении СЗИ; оптимизировать процесс закупок и согласований. Компания ЗИКС помогает заказчикам разрабатывать и актуализировать полный пакет документации: от политики ИБ и регламентов до актов категорирования и моделей угроз. Это обеспечивает прозрачность и управляемость всего цикла работ. 5. Опыт компании ЗИКС Компания ЗИКС более десяти лет реализует проекты по созданию и сопровождению систем защиты информации в коммерческих организациях и государственных структурах. Наш опыт показывает: Грамотная приоритизация мер позволяет сократить расходы на 20–30% без потери эффективности. Комплексный подход (организационные + технические решения) обеспечивает соответствие требованиям регуляторов с первого раза. Планирование на этапе проектирования помогает избежать внеплановых затрат на этапе внедрения. Мы сопровождаем заказчиков на всех этапах — от аудита и разработки документации до внедрения СЗИ, аттестации и обучения персонала. Заключение Ограниченный бюджет — не препятствие для построения надёжной системы информационной безопасности.Главное — понимать приоритеты, выбирать опытных исполнителей и выстраивать системный подход, где каждая мера приносит измеримый эффект. Компания ЗИКС помогает заказчикам реализовывать проекты по защите информации с оптимальным соотношением стоимости и эффективности, создавая устойчивую основу для цифровой безопасности бизнеса.  

Опыт ЗИКС: как правильно организовать сбор данных, избежать разночтений с регуляторами и пройти категорирование с первого раза Категорирование объектов критической информационной инфраструктуры (КИИ) — один из самых сложных и ответственных этапов в построении системы информационной безопасности. Именно от корректного выполнения этой процедуры зависит, какой класс защиты будет назначен объекту, какие меры безопасности нужно внедрить и как компания будет взаимодействовать с регуляторами. Тем не менее, даже опытные организации часто теряют на этом этапе недели и месяцы, допуская типичные ошибки — от неполного сбора данных до разночтений в формулировках документов. Компания ЗИКС делится практическим опытом, как пройти категорирование быстро, корректно и без возвращения документов «на доработку». Что такое категорирование КИИ и зачем оно нужно Категорирование — это процесс определения значимости объекта КИИ, степени возможных последствий при его нарушении и соответствующего уровня требований к защите.Проще говоря, это отправная точка для построения всей системы безопасности: от класса объекта (К1, К2, К3) зависит набор обязательных мер; без акта категорирования невозможно приступить к проектированию системы защиты; результаты категорирования направляются в ФСТЭК России и могут проверяться при аудите. Категорирование регулируется Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и соответствующими приказами №235 и №239 ФСТЭК России. Где компании теряют время: 5 типичных ошибок 1. Неполный сбор исходных данных Часто организации начинают категорирование без полной картины инфраструктуры: нет актуальных схем, перечней автоматизированных систем, серверов, каналов связи.В итоге документы приходится переделывать после аудита, а согласования сдвигаются на месяцы. 2. Непонимание границ объекта КИИ Ошибка в определении границ приводит к тому, что часть систем «выпадает» из описания или, наоборот, включается лишнее.Регуляторы обращают на это особое внимание: неправильное выделение границ — одна из частых причин возврата материалов на доработку. 3. Формальный подход к оценке последствий Некоторые компании определяют категорию «на глаз», не обосновывая последствия нарушения конфиденциальности, целостности и доступности информации.В результате документы не выдерживают проверки экспертов и регуляторов, а организация вынуждена пересматривать категорию. 4. Отсутствие вовлечения технических специалистов Часто категорирование ведётся только силами отдела ИБ, без участия ИТ, технологов и инженеров.Без понимания реальных процессов и связей система описывается неполно, а модель угроз теряет практическую ценность. 5. Несогласованность с регуляторами Даже корректно оформленный пакет документов может вызвать вопросы, если его структура и термины не соответствуют методическим рекомендациям ФСТЭК.Наличие опытного исполнителя, знакомого с практикой согласований, позволяет сократить этот риск почти до нуля. Как правильно организовать процесс категорирования 1. Подготовительный этап: инвентаризация Необходимо собрать максимум исходных данных: перечень автоматизированных систем, технологических сегментов, серверов, СВТ; архитектуру сетей и схемы взаимодействия; перечень обрабатываемой информации, включая данные, относящиеся к объектам КИИ. Компания ЗИКС применяет практику предварительного обследования, позволяющего выявить все потенциальные объекты защиты до начала формальной процедуры. 2. Определение границ объекта На этом этапе важно разделить технологические и корпоративные сегменты, исключить дублирование, определить, какие системы относятся к критическим.От корректного выделения границ зависит достоверность модели угроз и точность акта категорирования. 3. Оценка последствий и определение категории Проводится анализ возможных последствий нарушения трёх свойств информации (конфиденциальности, целостности, доступности) и их влияния на жизнедеятельность организации и региона.Результаты оформляются в пояснительной записке и акте категорирования. 4. Подготовка документов и согласование Пакет включает: акт категорирования; сведения об объекте КИИ; модель угроз безопасности информации; схему взаимодействия систем; пояснительную записку и рекомендации по классу защищённости. Все документы проходят внутренний нормоконтроль и согласовываются с заказчиком до направления в ФСТЭК. Как избежать разночтений с регуляторами Компания ЗИКС опирается на собственную практику согласования более чем по 50 проектам в энергетике, промышленности и госсекторе.Главное правило — работать строго по методическим рекомендациям ФСТЭК, но с учётом специфики объекта. Ключевые принципы: использовать актуальные версии форм и шаблонов, принятые в надзорных органах; описывать угрозы и последствия понятным языком, без избыточной терминологии; избегать дублирования информации в актах и моделях угроз; фиксировать взаимосвязи систем в графическом виде (L2/L3 схемы, архитектурные диаграммы). Опыт компании ЗИКС За более чем 10 лет работы в области информационной безопасности компания ЗИКС реализовала десятки проектов по категорированию объектов КИИ федерального уровня — от энергетики и транспорта до государственных информационных систем. В числе заказчиков —Департамент информационных технологий города Москвы, ПАО «Ростелеком», ПАО «ГМК «Норильский Никель», Инжиниринговая компания «ГазЭнергоСтрой», ФГУП «ТТЦ Останкино», ПАО «РЖД», ГК «Ростех» и другие. Наш подход к категорированию базируется на принципах: комплексного анализа (включая ИТ, ИБ и технологические процессы); точного документирования всех этапов; минимизации сроков за счёт отлаженных процедур и отсутствия бюрократии внутри команды. Что получает заказчик в результате По итогам проекта заказчик получает: корректно оформленный акт категорирования объекта КИИ; модель угроз с учётом отраслевой специфики; рекомендации по классу защищённости и перечень мер; готовый пакет документов для предоставления в ФСТЭК; основу для последующих этапов — проектирования и внедрения системы защиты. Почему важно пройти категорирование с первого раза Ошибка или формальность на этом этапе приводит к каскаду проблем:проектные решения нужно пересматривать, документы переписывать, сроки внедрения системы защиты сдвигаются, а затраты возрастают. Корректное категорирование позволяет: заранее определить объём работ и бюджет; избежать повторных проверок и предписаний; построить систему защиты, соответствующую реальным рискам. Заключение Категорирование — это не просто формальная процедура, а основа всей системы информационной безопасности.От того, насколько точно и грамотно оно выполнено, зависит, будет ли объект реально защищён или останется уязвимым на уровне проектных документов. Опыт компании ЗИКС показывает: при правильной организации процесса, вовлечении всех подразделений и соблюдении требований ФСТЭК пройти категорирование можно с первого раза, без задержек и доработок.

Как наладить сотрудничество подразделений, сократить конфликты и ускорить внедрение мер безопасности Современные компании всё чаще сталкиваются с ситуацией, когда отдел информационной безопасности (ИБ) и подразделение информационных технологий (ИТ) существуют параллельно — каждый в своей «экосистеме». Один отвечает за защиту, другой — за доступность и стабильность систем.Но без тесного взаимодействия этих направлений даже самая продуманная система защиты не сможет работать эффективно. Конфликт целей: почему ИБ и ИТ не слышат друг друга ИБ-функция в компании направлена на минимизацию рисков и соответствие требованиям законодательства (187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и ФСБ).ИТ — на обеспечение бесперебойной работы сервисов и выполнение задач бизнеса. Отсюда — типичные противоречия: специалисты ИБ ограничивают доступы, а ИТ-команда видит в этом «тормоз» процессов; ИБ требует установки обновлений и контроля уязвимостей, а ИТ опасается сбоев после патчей; при внедрении новых решений приоритеты по безопасности и удобству часто расходятся. Результат — задержки, внутренние конфликты и формальный подход к мерам защиты. Почему формальное внедрение мер не работает Любая система информационной безопасности — это не только средства защиты (СЗИ), но и процессы, которыми управляют люди. Если эти процессы не встроены в ИТ-практику компании, безопасность остаётся «на бумаге». Например: Система антивирусного мониторинга установлена, но отчёты не анализируются. SIEM внедрён, но ИТ-отдел не интегрировал журналы событий. Есть регламент резервного копирования, но фактическая проверка копий не проводится. Без координации между ИБ и ИТ такие меры превращаются в набор разрозненных инструментов, не влияющих на реальный уровень защищённости. Как наладить взаимодействие ИБ и ИТ: практические шаги На практике эффективное сотрудничество строится по трём направлениям: 1. Единая нормативная база Разработка организационно-распорядительной документации (ОРД) и нормативно-методических документов (НМД), где чётко прописано: кто за что отвечает (распределение ролей между ИБ и ИТ); порядок взаимодействия при инцидентах, обновлениях, изменениях инфраструктуры; правила согласования новых систем, интеграций и СЗИ.Без этого регламенты остаются разрозненными, а решения принимаются «по ситуации». 2. Совместное проектирование и внедрение ИБ должно быть вовлечено в проекты с самого начала. Если безопасность подключается уже «на этапе внедрения», появляются задержки и доработки.Компания ЗИКС применяет подход security by design — безопасность проектируется параллельно с ИТ-архитектурой, что позволяет избежать переделок и ускорить согласования. 3. Общая система контроля и ответственности Ключевые метрики ИБ и ИТ должны быть связаны.Например: SLA по устранению уязвимостей; время реакции на инциденты; показатели резервирования и восстановления.Если эти метрики формируются совместно, исчезает “конфликт приоритетов” — обе стороны работают на общую цель. Роль документации в построении взаимодействия Правильно оформленная документация — основа согласованной работы подразделений.К ней относятся: Политика ИБ и положение о подразделении защиты информации; Регламенты администрирования, резервного копирования, реагирования на инциденты; Инструкции пользователей и администраторов; Модели угроз и акты категорирования. Такая база позволяет не только наладить взаимодействие между ИБ и ИТ, но и быть готовыми к проверкам ФСТЭК и ФСБ, внутренним и внешним аудитам. Опыт компании ЗИКС Компания ЗИКС на протяжении более десяти лет реализует проекты в области информационной безопасности, где выстраивание эффективного взаимодействия ИБ и ИТ — одно из ключевых условий успеха. Наш опыт охватывает: разработку организационно-нормативной документации и проектных решений; создание систем защиты КИИ, ГИС и ИСПДн; сопровождение внедрения технических средств защиты и обучение персонала. Мы видим: те заказчики, у которых ИБ и ИТ работают как единая команда, достигают стабильного уровня защищённости, минимизируют количество инцидентов и быстрее проходят проверки регуляторов. Что получает заказчик при грамотной интеграции ИБ и ИТ Согласованная архитектура защиты — безопасность встроена в бизнес-процессы, а не мешает им. Минимум конфликтов между подразделениями. Повышение эффективности: время реакции на угрозы снижается, а внедрение новых решений ускоряется. Соответствие требованиям регуляторов — без переработок и срочных доработок перед проверками. Заключение Без тесного взаимодействия между ИБ и ИТ система защиты остаётся набором инструментов, а не механизмом, способным реально противостоять угрозам.Совместная работа, единые регламенты и понимание целей — основа устойчивой и эффективной информационной безопасности.

Компания ЗИКС более десяти лет реализует проекты в области информационной безопасности для крупнейших государственных структур, инфраструктурных и промышленных предприятий. Одним из ключевых направлений нашей деятельности является разработка проектной, нормативной и эксплуатационной документации, без которой невозможно ни ввод объектов в эксплуатацию, ни соответствие требованиям регуляторов, ни построение систем защиты. Зачем нужна документация Документация по информационной безопасности отвечает сразу на три вопроса: Что защищать? (категорирование и классификация систем). От чего защищать? (модели угроз, регламенты). Какими средствами защищать? (перечень мер, проектные решения). Для заказчика это: основа для построения системы защиты КИИ, ИСПДн и ГИС; гарантия соответствия 187-ФЗ, 152-ФЗ, 149-ФЗ, приказам ФСТЭК и ФСБ; рабочий инструмент для администраторов, операторов и руководителей ИБ. Какие документы мы готовим Компания ЗИКС оказывает услуги по всем основным видам документации: Документы по КИИ Документы по ПДн (ИСПДн)  Документы по ГИС ОРД НМД Проектная и рабочая документация Каждому из этих направлений мы посвятили отдельные публикации на сайте, чтобы заказчик мог глубже изучить состав, сроки и примеры документов. Как мы работаем Структура работ по каждому проекту включает: Обследование объекта — сбор исходных данных, анализ действующих систем. Категорирование и классификация — определение уровня защищённости и значимости. Разработка документации — полный пакет документов (от ОРД до рабочих чертежей). Нормоконтроль и согласование — проверка качества и соответствия. Передача заказчику — комплект документации, готовый к реализации и экспертизе. Сроки — от 1 до 6 месяцев, в зависимости от масштаба. В среднем по проектам мы закрываем задачи быстрее рынка, а иногда и раньше планового дедлайна. Наш опыт За годы работы мы реализовали десятки проектов федерального уровня. Нашими заказчиками стали:Департамент информационных технологий города Москвы, Инжиниринговая компания «ГазЭнергоСтрой», ИД «Коммерсантъ», ПАО «ГМК «Норильский Никель», НПП «АИМ», ОАО «РЖД», ПАО «Ростелеком», ГК «Ростех», «Русь-Телеком», «ТеплоЭнергоПроект», ФГУП «ТТЦ» Останкино, «Севен-Про», Управление делами Президента РФ, ФТС России, «Центр Безопасности Информации». Наши преимущества Конкурентная стоимость — ниже среднерыночных ставок за счёт оптимизированной команды и локализации в Зеленограде. Скорость — отсутствие избыточной бюрократии, внутренние согласования занимают часы, а не недели. Гибкость — мы идём навстречу клиентам: включаем дополнительные документы или задачи без задержки сроков. Опыт федерального уровня — проекты для стратегически важных предприятий и органов власти. Документация по КИИ: зачем она нужна и что в неё входит Что такое КИИ и почему это важно Критическая информационная инфраструктура (КИИ) — это объекты и системы, от которых напрямую зависит работа энергетики, промышленности, транспорта, связи, финансового сектора и государственного управления. Любой сбой в таких системах способен повлечь последствия не только для конкретного предприятия, но и для целого региона или даже страны. Именно поэтому для КИИ установлены жёсткие требования законодательства в части ИБ (187-ФЗ и приказы ФСТЭК), одно из которых — наличие корректно разработанной документации по защите. Без полного комплекта документов невозможно пройти проверку регуляторов или ввести объект в эксплуатацию. Документация фиксирует весь набор мер по безопасности: от организационных правил до конкретных технических решений. Что обычно входит в комплект Полный пакет документации для объектов КИИ обычно включает: Акт категорирования объекта КИИ — определяет значимость системы и уровень требований к её защите. Модель угроз безопасности — описывает потенциальные угрозы и способы их реализации. Перечень организационных и технических мер — конкретные действия и решения для защиты. Технический проект и рабочая документация — схемы, чертежи, пояснительные записки. Эксплуатационные материалы — инструкции администратора и пользователя, методики испытаний, планы резервирования. В зависимости от сложности объекта речь идёт о десятках, а иногда и сотнях документов. Как строится работа Обычно проект делится на два основных этапа: Обследование и анализ. Специалисты выезжают на объект, изучают действующие системы, оценивают возможность интеграции новых решений и собирают исходные данные. По итогам формируется техническое задание и проектные требования. Разработка документации. На основе собранной информации создаётся весь комплект документов — от актов категорирования и моделей угроз до технических проектов и эксплуатационных инструкций. Важно, что каждый документ проходит внутренний нормоконтроль и согласования, а итоговый пакет готов к предъявлению регуляторам. Сроки и масштаб Средний срок реализации проекта по КИИ составляет 3–6 месяцев. Всё зависит от числа систем и масштабов объекта.Например, для крупного энергетического узла может потребоваться подготовить от 50 до 150 документов. Какой результат получает заказчик В итоге организация получает: комплект документации, соответствующий требованиям 187-ФЗ и приказов ФСТЭК; готовность к проверкам без необходимости срочной доработки; основу для построения работающей системы защиты, которая реально снижает риски; возможность без задержек вводить объект в эксплуатацию. Роль компании ЗИКС Компания ЗИКС занимается подготовкой документации по КИИ уже много лет и реализовывала проекты на объектах федерального уровня: от энергетики до промышленности. Наши специалисты умеют работать в условиях ограниченных сроков, сложных цепочек согласований и высоких требований регуляторов. Особенности нашего подхода: гибкость и скорость согласований (внутри компании нет избыточной бюрократии); опыт разработки документации, проходящей Главгосэкспертизу; возможность идти навстречу заказчику, если появляются дополнительные задачи. Документация по ПДн: что это и зачем нужна Почему защита персональных данных важна Персональные данные (ПДн) — это ФИО, паспортные сведения, телефоны, адреса, биометрия и другая информация о человеке. Сегодня почти каждая организация — от школы до банка — работает с ПДн, а значит обязана соблюдать требования Федерального закона № 152-ФЗ «О персональных данных». Нарушение этих требований грозит не только штрафами и проверками со стороны Роскомнадзора, но и репутационными потерями, а также рисками утечки данных клиентов или сотрудников. Чтобы выстроить систему защиты ПДн, необходимо разработать правильный комплект документации. Что входит в документацию по ПДн Полный пакет документов зависит от масштаба организации, но обычно включает: Политику в отношении обработки ПДн — базовый документ, который обязателен для публикации. Модели угроз безопасности ПДн — описание актуальных угроз и способов их реализации. Акты классификации информационных систем ПДн (ИСПДн) — определение уровня защищённости (УЗ-1, УЗ-2, УЗ-3). Акт установления класса защищённости — определяет уровень требований к защите в зависимости от значимости объекта. Перечень организационных мер — регламенты доступа, порядок хранения, уничтожения и передачи данных. Перечень технических мер — выбор средств защиты информации (СЗИ), шифрование, антивирусы, средства контроля доступа. Локальные нормативные акты — должностные инструкции, порядок реагирования на инциденты, регламенты резервного копирования. Технический проект и эксплуатационные документы — схемы, инструкции для администраторов и пользователей. Как строится работа Проект обычно проходит несколько этапов: Обследование — инвентаризация всех информационных систем, где обрабатываются ПДн. Классификация — определение уровня защищённости ИСПДн. Разработка документов — подготовка пакета организационных и технических документов. Согласование — внутренний нормоконтроль и, при