2025

Инфраструктура органов исполнительной власти города Москвы представляет собой распределённую систему с высокой степенью взаимосвязанности сервисов и процессов. В таких условиях любое изменение, затрагивающее авторизацию и доступ пользователей, требует точного проектирования, согласования и строго контролируемого внедрения. Компания ЗИКС реализовала проект по внедрению двухфакторной аутентификации на базе решений Aladdin R.D. JMS / JaCarta, охвативший 7000 рабочих мест и 16 объектов информатизации. Проект стал примером комплексного инженерного подхода, ориентированного на минимизацию влияния на действующую инфраструктуру и обеспечение высокого уровня информационной безопасности. Для выполнения работ была задействована расширенная инженерная группа — порядка 20 специалистов, часть из которых прошла профильную подготовку, включая сотрудничество компании с кафедрой информационной безопасности МИЭТ. Архитектурное проектирование в условиях ограничений Каждое из учреждений, входящих в контур ДИТ Москвы, имеет собственную организацию доменной структуры, особенности администрирования и правила эксплуатации. В этой среде задача заключалась не в унификации инфраструктур, а в формировании архитектурного решения, совместимого с разнородными средами. На этапе обследования специалисты компании ЗИКС провели анализ существующих схем авторизации, политик доступа, AD-структур и взаимодействующих сервисов. Итогом стала единая архитектурная модель JMS, адаптированная под особенности каждого объекта и соответствующая требованиям нормативных документов и эксплуатационных регламентов. Внедрение биометрической идентификации в действующую ИТ-экосистему Реализация проекта включала установку серверных компонентов, развёртывание клиентского ПО, интеграцию с Active Directory и настройку биометрических модулей. Ключевым аспектом стало обеспечение корректной привязки биометрических шаблонов сотрудников к их учётным записям и подтверждение стабильно работающего процесса аутентификации. Регистрация биометрических данных проводилась по установленному регламенту, с обязательной валидацией каждого шаблона. Это обеспечило корректность дальнейшей эксплуатации и исключило риск ошибок при идентификации пользователей. Работа в регламентированных условиях Все изменения, вносимые в систему управления доступом, проходили централизованное согласование с ДИТ Москвы. Проект требовал прозрачности действий, последовательного документирования и строгого соблюдения внутренних регламентов заказчика. Для синхронизации процессов была выстроена система регулярных коммуникаций между инженерами компании ЗИКС и специалистами ИТ-служб учреждений. Такой формат позволил обеспечить контроль изменений и минимизировать риск влияния на работоспособность инфраструктуры. Проведение испытаний и ввод в эксплуатацию После завершения развертывания система прошла несколько циклов тестирования, включающих проверку работоспособности механизмов авторизации, резервных сценариев и устойчивости при нагрузке.По итогам опытной эксплуатации все объекты были переведены на использование двухфакторной аутентификации в штатном режиме. Результаты работы В результате проекта: внедрена единая система двухфакторной аутентификации на базе решений Aladdin R.D.; охвачено 7000 рабочих мест и 16 объектов информатизации; обеспечена корректная интеграция с существующей доменной инфраструктурой; выполнена регистрация биометрических данных сотрудников; задействовано около 20 инженеров, работавших параллельно на объектах; проект реализован в установленные сроки и в соответствии с требованиями ДИТ Москвы. Конкурентные преимущества ЗИКС Проект подтвердил ключевые сильные стороны компании: Оперативность исполнения — параллельная работа инженерных групп позволила выдержать график при большом объёме работ. Конкурентная стоимость — оптимизация процессов обследования, внедрения и документирования обеспечила ценовое преимущество при сохранении высокого качества. Системный инженерный подход — базирующийся на внутренней подготовке специалистов и сотрудничестве с профильными образовательными учреждениями. Профессиональная оценка «Проект подтвердил необходимость точного архитектурного подхода при внедрении систем авторизации в распределённых инфраструктурах.Корректное взаимодействие с ИТ-службами учреждений, детальное обследование и прозрачность всех этапов внедрения позволили обеспечить стабильную работу решения без влияния на текущие процессы»,— отмечает руководитель проекта компании ЗИКС. Заключение Внедрение системы двухфакторной аутентификации на базе решений Aladdin R.D. стало важным этапом развития инфраструктуры информационной безопасности органов исполнительной власти города Москвы.Проект продемонстрировал возможность масштабного и контролируемого внедрения современных средств защиты в действующую ИТ-среду при строгом соблюдении регламентов, требований и эксплуатационных ограничений.

Новый подход к проектированию ИТ-систем, который снижает затраты и ускоряет внедрение Москва, 2025 г. — Компания ЗИКС представляет экспертный обзор принципа Security by Design — современного подхода к построению информационных систем, при котором безопасность закладывается в архитектуру на этапе проектирования, а не добавляется после завершения проекта. Что такое Security by Design Security by Design — это концепция, при которой меры информационной безопасности проектируются и внедряются одновременно с архитектурой системы.Вместо того чтобы «добавлять» защиту в уже готовую инфраструктуру, специалисты по ИБ участвуют в разработке с самого начала. Такой подход позволяет: минимизировать риски уязвимостей на ранних этапах; снизить количество доработок и переработок; обеспечить соответствие требованиям ФСТЭК и других регуляторов; сократить общие затраты на внедрение и эксплуатацию. Почему традиционная модель устарела Классическая практика, при которой безопасность подключается после завершения проектирования, приводит к типичным последствиям: задержкам при вводе в эксплуатацию; необходимости переделки архитектуры; увеличению бюджета и сроков внедрения. По оценке специалистов компании ЗИКС, применение принципов Security by Design позволяет сократить время согласований и внедрения в среднем на 25–30% и существенно уменьшить последующие эксплуатационные расходы. Принципы построения архитектуры по подходу Security by Design Архитектура, построенная по принципу Security by Design, объединяет ИТ и ИБ в единую систему управления рисками.Основные принципы: 1. Принцип минимальных прав (Least Privilege) Каждый пользователь или процесс получает только те права, которые необходимы для выполнения задач. 2. Глубинная защита (Defense in Depth) Безопасность реализуется на нескольких уровнях — сеть, приложения, данные, пользователи. Это повышает устойчивость к атакам. 3. Безопасность по умолчанию (Secure by Default) Системы и сервисы изначально конфигурируются с безопасными настройками. 4. Безопасное поведение при сбое (Fail-Secure) Даже при технических сбоях или отказах система не должна допускать несанкционированного доступа к данным. 5. Моделирование угроз (Threat Modeling) Потенциальные уязвимости и сценарии атак анализируются ещё на этапе проектирования, что позволяет избежать рисков до реализации. 6. Интеграция ИБ и ИТ Команды ИБ и ИТ работают совместно, что обеспечивает баланс между безопасностью и функциональностью. 7. Автоматизация контроля Мониторинг, обновления, аудит и реагирование на инциденты встроены в процессы жизненного цикла системы. Преимущества внедрения Security by Design Компании, внедряющие принципы Security by Design, получают ощутимые преимущества: Снижение издержек на внедрение и поддержку систем безопасности; Ускорение запуска ИТ-проектов за счёт раннего согласования решений; Повышение соответствия нормативным требованиям ФСТЭК и ФСБ; Снижение рисков инцидентов и утечек данных; Повышение доверия со стороны клиентов, партнёров и регуляторов. Мнение экспертов ЗИКС «Security by Design — это не просто методология. Это переход к управляемой модели безопасности, где защита проектируется вместе с инфраструктурой. Такой подход исключает противоречия между ИБ и ИТ, делает систему устойчивой и экономически эффективной»,— отмечает технический директор компании ЗИКС. Заключение Security by Design — это стратегическое направление развития информационной безопасности.Он позволяет организациям перейти от реактивных мер к системному управлению рисками, снижая издержки и ускоряя внедрение решений. Проектируя безопасность вместе с системой, компании создают архитектуру доверия, где информационная безопасность становится фундаментом технологического развития. 📄 О компании ЗИКС ООО «Компания ЗИКС» более 11 лет реализует проекты в области информационной безопасности и защиты критической инфраструктуры.Основные направления деятельности: категорирование и защита объектов КИИ; аудит и проектирование систем информационной безопасности; разработка нормативной и эксплуатационной документации; внедрение отечественных средств защиты информации. Компания работает в соответствии с требованиями ФСТЭК и ФСБ России, обеспечивая полный цикл внедрения решений — от проектирования до сопровождения.

25 октября 2025 года в Ханое состоялось подписание Конвенции ООН против киберпреступности (UN Cybercrime Convention) — первого в истории глобального соглашения, направленного на борьбу с преступлениями в киберпространстве и укрепление международного сотрудничества. Документ, разработанный под эгидой Управления ООН по наркотикам и преступности (UNODC), стал результатом многолетних переговоров и объединяет усилия государств в противодействии угрозам, которые давно перестали иметь национальные границы.Инициатором и основным разработчиком Конвенции выступила Российская Федерация, предложившая проект документа и внесшая ключевые положения, легшие в основу итогового текста соглашения. Что представляет собой Конвенция Принята Генеральной Ассамблеей ООН в декабре 2024 года и открыта для подписания с октября 2025 года. Конвенция закрепляет: криминализацию ключевых видов киберпреступлений, включая фишинг, атаки с использованием вредоносного ПО, вымогательство (ransomware) и онлайн-эксплуатацию; создание глобальной сети обмена электронными доказательствами — механизм круглосуточного взаимодействия между странами для расследования киберинцидентов; гармонизацию законодательства: страны-участницы обязуются адаптировать свои нормы под единые международные принципы расследования и пресечения преступлений в цифровой сфере. На сегодняшний день документ подписали более 70 государств, что уже делает его крупнейшим международным соглашением в области кибербезопасности. Почему это событие называют историческим До сих пор каждая страна вырабатывала собственные подходы к реагированию на киберпреступления. Конвенция впервые формирует унифицированную правовую рамку, где обмен доказательствами, расследования и правовая помощь становятся международными по определению. Это не просто политическое заявление, а формирование правового поля для глобального «киберправа», в рамках которого: цифровое пространство признаётся зоной коллективной ответственности; киберпреступления рассматриваются как трансграничные акты, требующие международного реагирования; государства обязуются развивать инфраструктуру кибербезопасности на уровне национальных стратегий. Экспертная оценка Для профессионального сообщества это событие сопоставимо с принятием международных норм в области авиационной или морской безопасности.Впервые вопросы защиты цифровой инфраструктуры закреплены на уровне международного права, а это означает, что: компании, работающие с данными и ИТ-инфраструктурой, будут вовлечены в более жёсткие процедуры контроля и отчётности; расследование инцидентов и утечек может приобретать международный характер, даже если инцидент произошёл на локальном уровне; сотрудничество между государствами приведёт к выработке глобальных стандартов реагирования, что создаст новые ориентиры для корпоративных политик ИБ. Что это значит для отрасли Подписание Конвенции отражает переход от национальных стратегий к глобальной экосистеме цифровой безопасности, где границы между ИТ, ИБ и юриспруденцией постепенно стираются. Мировое сообщество признало: безопасность — это не конкурентное преимущество, а инфраструктура доверия, от которой зависит функционирование экономики, коммуникаций и государственных систем. Итог Подписание Конвенции ООН против киберпреступности — исторический шаг в формировании международной системы цифровой безопасности.Это событие подтверждает: эпоха разрозненных мер защиты заканчивается. Впереди — этап глобальной координации, обмена данными, общих стандартов и коллективной ответственности за безопасность в цифровом пространстве. 📄 Источник: UNODC, Reuters  

О приоритизации мер, типичных ошибках при выборе подрядчика и реальных способах оптимизировать затраты без потери качества Современные компании сталкиваются с противоречием: требования регуляторов к информационной безопасности растут, а бюджеты на ИБ — ограничены. Особенно остро эта проблема стоит для региональных организаций, предприятий госсектора и компаний среднего бизнеса. Многие ошибочно считают, что качественная защита требует крупных инвестиций. Однако практика показывает: эффективную систему ИБ можно выстроить даже при ограниченных ресурсах, если грамотно расставить приоритеты и избежать типичных ошибок. 1. Приоритизация: на что направить ресурсы в первую очередь Главная ошибка многих организаций — стремление «закрыть всё сразу». В результате средства распыляются, а ключевые риски остаются без внимания. Чтобы минимизировать затраты и при этом реально повысить уровень защищённости, важно определить критичные для бизнеса активы и выстроить систему защиты поэтапно. Основные принципы приоритизации: Анализ рисков. Начинать следует с оценки угроз, вероятности их реализации и потенциальных последствий для компании. Фокус на КИИ, ГИС и ИСПДн. При ограниченном бюджете в первую очередь нужно обеспечить выполнение требований законодательства (187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и ФСБ). Пошаговая реализация. Сначала организационные меры — регламенты, контроль доступа, повышение осведомлённости сотрудников. Затем технические — СЗИ, сегментация сети, антивирусная защита, резервное копирование. Такой подход позволяет достигать устойчивых результатов без перегрузки бюджета. 2. Типичные ошибки при выборе подрядчика Сокращение бюджета часто приводит к попытке экономии на исполнителях. На практике это оборачивается дополнительными расходами. Наиболее распространённые ошибки: Выбор по минимальной цене. Подрядчик, не имеющий опыта в проектах с ФСТЭК/ФСБ, может сэкономить на бумаге, но не обеспечить соответствие требованиям регуляторов. Отсутствие комплексного подхода. Некоторые компании берут на себя только поставку СЗИ, игнорируя проектирование, интеграцию и обучение. В итоге защита остаётся формальной. Неполный пакет документации. Без корректно оформленных нормативных документов система не пройдёт проверку и не будет считаться внедрённой. Ключевой критерий выбора — опыт выполнения аналогичных проектов и наличие аккредитации ФСТЭК России. Это гарантирует не только техническую корректность решений, но и юридическую защиту заказчика. 3. Реальные способы оптимизировать затраты Эффективная оптимизация не означает «урезание». Она строится на грамотной организации процессов: Комбинирование организационных и технических мер.Организационные меры (регламенты, инструкции, контроль учётных записей) стоят дешевле, но приносят существенный эффект. Использование отечественных решений.Импортозамещение снижает стоимость владения и облегчает сопровождение. Российские СЗИ и SIEM-системы сегодня сопоставимы по функционалу с зарубежными аналогами. Централизация и повторное использование наработок.Создание единой базы шаблонов документации, процедур и инструкций сокращает время внедрения и стоимость новых проектов. Постепенное внедрение по уровням зрелости.Можно начать с минимально достаточных мер, обеспечивающих соответствие требованиям, и по мере роста компании усиливать защиту. Аутсорсинг отдельных функций.Передача мониторинга или аудита внешнему партнёру позволяет сократить затраты на содержание собственной команды, сохранив контроль качества. 4. Роль документации в управлении бюджетом Документация — не просто формальность, а инструмент планирования и контроля затрат.Корректно оформленные нормативно-методические документы позволяют: чётко определить зоны ответственности и объём работ; избежать дублирования задач между подразделениями; снизить риск перерасхода бюджета при внедрении СЗИ; оптимизировать процесс закупок и согласований. Компания ЗИКС помогает заказчикам разрабатывать и актуализировать полный пакет документации: от политики ИБ и регламентов до актов категорирования и моделей угроз. Это обеспечивает прозрачность и управляемость всего цикла работ. 5. Опыт компании ЗИКС Компания ЗИКС более десяти лет реализует проекты по созданию и сопровождению систем защиты информации в коммерческих организациях и государственных структурах. Наш опыт показывает: Грамотная приоритизация мер позволяет сократить расходы на 20–30% без потери эффективности. Комплексный подход (организационные + технические решения) обеспечивает соответствие требованиям регуляторов с первого раза. Планирование на этапе проектирования помогает избежать внеплановых затрат на этапе внедрения. Мы сопровождаем заказчиков на всех этапах — от аудита и разработки документации до внедрения СЗИ, аттестации и обучения персонала. Заключение Ограниченный бюджет — не препятствие для построения надёжной системы информационной безопасности.Главное — понимать приоритеты, выбирать опытных исполнителей и выстраивать системный подход, где каждая мера приносит измеримый эффект. Компания ЗИКС помогает заказчикам реализовывать проекты по защите информации с оптимальным соотношением стоимости и эффективности, создавая устойчивую основу для цифровой безопасности бизнеса.  

Опыт ЗИКС: как правильно организовать сбор данных, избежать разночтений с регуляторами и пройти категорирование с первого раза Категорирование объектов критической информационной инфраструктуры (КИИ) — один из самых сложных и ответственных этапов в построении системы информационной безопасности. Именно от корректного выполнения этой процедуры зависит, какой класс защиты будет назначен объекту, какие меры безопасности нужно внедрить и как компания будет взаимодействовать с регуляторами. Тем не менее, даже опытные организации часто теряют на этом этапе недели и месяцы, допуская типичные ошибки — от неполного сбора данных до разночтений в формулировках документов. Компания ЗИКС делится практическим опытом, как пройти категорирование быстро, корректно и без возвращения документов «на доработку». Что такое категорирование КИИ и зачем оно нужно Категорирование — это процесс определения значимости объекта КИИ, степени возможных последствий при его нарушении и соответствующего уровня требований к защите.Проще говоря, это отправная точка для построения всей системы безопасности: от класса объекта (К1, К2, К3) зависит набор обязательных мер; без акта категорирования невозможно приступить к проектированию системы защиты; результаты категорирования направляются в ФСТЭК России и могут проверяться при аудите. Категорирование регулируется Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и соответствующими приказами №235 и №239 ФСТЭК России. Где компании теряют время: 5 типичных ошибок 1. Неполный сбор исходных данных Часто организации начинают категорирование без полной картины инфраструктуры: нет актуальных схем, перечней автоматизированных систем, серверов, каналов связи.В итоге документы приходится переделывать после аудита, а согласования сдвигаются на месяцы. 2. Непонимание границ объекта КИИ Ошибка в определении границ приводит к тому, что часть систем «выпадает» из описания или, наоборот, включается лишнее.Регуляторы обращают на это особое внимание: неправильное выделение границ — одна из частых причин возврата материалов на доработку. 3. Формальный подход к оценке последствий Некоторые компании определяют категорию «на глаз», не обосновывая последствия нарушения конфиденциальности, целостности и доступности информации.В результате документы не выдерживают проверки экспертов и регуляторов, а организация вынуждена пересматривать категорию. 4. Отсутствие вовлечения технических специалистов Часто категорирование ведётся только силами отдела ИБ, без участия ИТ, технологов и инженеров.Без понимания реальных процессов и связей система описывается неполно, а модель угроз теряет практическую ценность. 5. Несогласованность с регуляторами Даже корректно оформленный пакет документов может вызвать вопросы, если его структура и термины не соответствуют методическим рекомендациям ФСТЭК.Наличие опытного исполнителя, знакомого с практикой согласований, позволяет сократить этот риск почти до нуля. Как правильно организовать процесс категорирования 1. Подготовительный этап: инвентаризация Необходимо собрать максимум исходных данных: перечень автоматизированных систем, технологических сегментов, серверов, СВТ; архитектуру сетей и схемы взаимодействия; перечень обрабатываемой информации, включая данные, относящиеся к объектам КИИ. Компания ЗИКС применяет практику предварительного обследования, позволяющего выявить все потенциальные объекты защиты до начала формальной процедуры. 2. Определение границ объекта На этом этапе важно разделить технологические и корпоративные сегменты, исключить дублирование, определить, какие системы относятся к критическим.От корректного выделения границ зависит достоверность модели угроз и точность акта категорирования. 3. Оценка последствий и определение категории Проводится анализ возможных последствий нарушения трёх свойств информации (конфиденциальности, целостности, доступности) и их влияния на жизнедеятельность организации и региона.Результаты оформляются в пояснительной записке и акте категорирования. 4. Подготовка документов и согласование Пакет включает: акт категорирования; сведения об объекте КИИ; модель угроз безопасности информации; схему взаимодействия систем; пояснительную записку и рекомендации по классу защищённости. Все документы проходят внутренний нормоконтроль и согласовываются с заказчиком до направления в ФСТЭК. Как избежать разночтений с регуляторами Компания ЗИКС опирается на собственную практику согласования более чем по 50 проектам в энергетике, промышленности и госсекторе.Главное правило — работать строго по методическим рекомендациям ФСТЭК, но с учётом специфики объекта. Ключевые принципы: использовать актуальные версии форм и шаблонов, принятые в надзорных органах; описывать угрозы и последствия понятным языком, без избыточной терминологии; избегать дублирования информации в актах и моделях угроз; фиксировать взаимосвязи систем в графическом виде (L2/L3 схемы, архитектурные диаграммы). Опыт компании ЗИКС За более чем 10 лет работы в области информационной безопасности компания ЗИКС реализовала десятки проектов по категорированию объектов КИИ федерального уровня — от энергетики и транспорта до государственных информационных систем. В числе заказчиков —Департамент информационных технологий города Москвы, ПАО «Ростелеком», ПАО «ГМК «Норильский Никель», Инжиниринговая компания «ГазЭнергоСтрой», ФГУП «ТТЦ Останкино», ПАО «РЖД», ГК «Ростех» и другие. Наш подход к категорированию базируется на принципах: комплексного анализа (включая ИТ, ИБ и технологические процессы); точного документирования всех этапов; минимизации сроков за счёт отлаженных процедур и отсутствия бюрократии внутри команды. Что получает заказчик в результате По итогам проекта заказчик получает: корректно оформленный акт категорирования объекта КИИ; модель угроз с учётом отраслевой специфики; рекомендации по классу защищённости и перечень мер; готовый пакет документов для предоставления в ФСТЭК; основу для последующих этапов — проектирования и внедрения системы защиты. Почему важно пройти категорирование с первого раза Ошибка или формальность на этом этапе приводит к каскаду проблем:проектные решения нужно пересматривать, документы переписывать, сроки внедрения системы защиты сдвигаются, а затраты возрастают. Корректное категорирование позволяет: заранее определить объём работ и бюджет; избежать повторных проверок и предписаний; построить систему защиты, соответствующую реальным рискам. Заключение Категорирование — это не просто формальная процедура, а основа всей системы информационной безопасности.От того, насколько точно и грамотно оно выполнено, зависит, будет ли объект реально защищён или останется уязвимым на уровне проектных документов. Опыт компании ЗИКС показывает: при правильной организации процесса, вовлечении всех подразделений и соблюдении требований ФСТЭК пройти категорирование можно с первого раза, без задержек и доработок.

Как наладить сотрудничество подразделений, сократить конфликты и ускорить внедрение мер безопасности Современные компании всё чаще сталкиваются с ситуацией, когда отдел информационной безопасности (ИБ) и подразделение информационных технологий (ИТ) существуют параллельно — каждый в своей «экосистеме». Один отвечает за защиту, другой — за доступность и стабильность систем.Но без тесного взаимодействия этих направлений даже самая продуманная система защиты не сможет работать эффективно. Конфликт целей: почему ИБ и ИТ не слышат друг друга ИБ-функция в компании направлена на минимизацию рисков и соответствие требованиям законодательства (187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и ФСБ).ИТ — на обеспечение бесперебойной работы сервисов и выполнение задач бизнеса. Отсюда — типичные противоречия: специалисты ИБ ограничивают доступы, а ИТ-команда видит в этом «тормоз» процессов; ИБ требует установки обновлений и контроля уязвимостей, а ИТ опасается сбоев после патчей; при внедрении новых решений приоритеты по безопасности и удобству часто расходятся. Результат — задержки, внутренние конфликты и формальный подход к мерам защиты. Почему формальное внедрение мер не работает Любая система информационной безопасности — это не только средства защиты (СЗИ), но и процессы, которыми управляют люди. Если эти процессы не встроены в ИТ-практику компании, безопасность остаётся «на бумаге». Например: Система антивирусного мониторинга установлена, но отчёты не анализируются. SIEM внедрён, но ИТ-отдел не интегрировал журналы событий. Есть регламент резервного копирования, но фактическая проверка копий не проводится. Без координации между ИБ и ИТ такие меры превращаются в набор разрозненных инструментов, не влияющих на реальный уровень защищённости. Как наладить взаимодействие ИБ и ИТ: практические шаги На практике эффективное сотрудничество строится по трём направлениям: 1. Единая нормативная база Разработка организационно-распорядительной документации (ОРД) и нормативно-методических документов (НМД), где чётко прописано: кто за что отвечает (распределение ролей между ИБ и ИТ); порядок взаимодействия при инцидентах, обновлениях, изменениях инфраструктуры; правила согласования новых систем, интеграций и СЗИ.Без этого регламенты остаются разрозненными, а решения принимаются «по ситуации». 2. Совместное проектирование и внедрение ИБ должно быть вовлечено в проекты с самого начала. Если безопасность подключается уже «на этапе внедрения», появляются задержки и доработки.Компания ЗИКС применяет подход security by design — безопасность проектируется параллельно с ИТ-архитектурой, что позволяет избежать переделок и ускорить согласования. 3. Общая система контроля и ответственности Ключевые метрики ИБ и ИТ должны быть связаны.Например: SLA по устранению уязвимостей; время реакции на инциденты; показатели резервирования и восстановления.Если эти метрики формируются совместно, исчезает “конфликт приоритетов” — обе стороны работают на общую цель. Роль документации в построении взаимодействия Правильно оформленная документация — основа согласованной работы подразделений.К ней относятся: Политика ИБ и положение о подразделении защиты информации; Регламенты администрирования, резервного копирования, реагирования на инциденты; Инструкции пользователей и администраторов; Модели угроз и акты категорирования. Такая база позволяет не только наладить взаимодействие между ИБ и ИТ, но и быть готовыми к проверкам ФСТЭК и ФСБ, внутренним и внешним аудитам. Опыт компании ЗИКС Компания ЗИКС на протяжении более десяти лет реализует проекты в области информационной безопасности, где выстраивание эффективного взаимодействия ИБ и ИТ — одно из ключевых условий успеха. Наш опыт охватывает: разработку организационно-нормативной документации и проектных решений; создание систем защиты КИИ, ГИС и ИСПДн; сопровождение внедрения технических средств защиты и обучение персонала. Мы видим: те заказчики, у которых ИБ и ИТ работают как единая команда, достигают стабильного уровня защищённости, минимизируют количество инцидентов и быстрее проходят проверки регуляторов. Что получает заказчик при грамотной интеграции ИБ и ИТ Согласованная архитектура защиты — безопасность встроена в бизнес-процессы, а не мешает им. Минимум конфликтов между подразделениями. Повышение эффективности: время реакции на угрозы снижается, а внедрение новых решений ускоряется. Соответствие требованиям регуляторов — без переработок и срочных доработок перед проверками. Заключение Без тесного взаимодействия между ИБ и ИТ система защиты остаётся набором инструментов, а не механизмом, способным реально противостоять угрозам.Совместная работа, единые регламенты и понимание целей — основа устойчивой и эффективной информационной безопасности.

Компания ЗИКС более десяти лет реализует проекты в области информационной безопасности для крупнейших государственных структур, инфраструктурных и промышленных предприятий. Одним из ключевых направлений нашей деятельности является разработка проектной, нормативной и эксплуатационной документации, без которой невозможно ни ввод объектов в эксплуатацию, ни соответствие требованиям регуляторов, ни построение систем защиты. Зачем нужна документация Документация по информационной безопасности отвечает сразу на три вопроса: Что защищать? (категорирование и классификация систем). От чего защищать? (модели угроз, регламенты). Какими средствами защищать? (перечень мер, проектные решения). Для заказчика это: основа для построения системы защиты КИИ, ИСПДн и ГИС; гарантия соответствия 187-ФЗ, 152-ФЗ, 149-ФЗ, приказам ФСТЭК и ФСБ; рабочий инструмент для администраторов, операторов и руководителей ИБ. Какие документы мы готовим Компания ЗИКС оказывает услуги по всем основным видам документации: Документы по КИИ Документы по ПДн (ИСПДн)  Документы по ГИС ОРД НМД Проектная и рабочая документация Каждому из этих направлений мы посвятили отдельные публикации на сайте, чтобы заказчик мог глубже изучить состав, сроки и примеры документов. Как мы работаем Структура работ по каждому проекту включает: Обследование объекта — сбор исходных данных, анализ действующих систем. Категорирование и классификация — определение уровня защищённости и значимости. Разработка документации — полный пакет документов (от ОРД до рабочих чертежей). Нормоконтроль и согласование — проверка качества и соответствия. Передача заказчику — комплект документации, готовый к реализации и экспертизе. Сроки — от 1 до 6 месяцев, в зависимости от масштаба. В среднем по проектам мы закрываем задачи быстрее рынка, а иногда и раньше планового дедлайна. Наш опыт За годы работы мы реализовали десятки проектов федерального уровня. Нашими заказчиками стали:Департамент информационных технологий города Москвы, Инжиниринговая компания «ГазЭнергоСтрой», ИД «Коммерсантъ», ПАО «ГМК «Норильский Никель», НПП «АИМ», ОАО «РЖД», ПАО «Ростелеком», ГК «Ростех», «Русь-Телеком», «ТеплоЭнергоПроект», ФГУП «ТТЦ» Останкино, «Севен-Про», Управление делами Президента РФ, ФТС России, «Центр Безопасности Информации». Наши преимущества Конкурентная стоимость — ниже среднерыночных ставок за счёт оптимизированной команды и локализации в Зеленограде. Скорость — отсутствие избыточной бюрократии, внутренние согласования занимают часы, а не недели. Гибкость — мы идём навстречу клиентам: включаем дополнительные документы или задачи без задержки сроков. Опыт федерального уровня — проекты для стратегически важных предприятий и органов власти. Документация по КИИ: зачем она нужна и что в неё входит Что такое КИИ и почему это важно Критическая информационная инфраструктура (КИИ) — это объекты и системы, от которых напрямую зависит работа энергетики, промышленности, транспорта, связи, финансового сектора и государственного управления. Любой сбой в таких системах способен повлечь последствия не только для конкретного предприятия, но и для целого региона или даже страны. Именно поэтому для КИИ установлены жёсткие требования законодательства в части ИБ (187-ФЗ и приказы ФСТЭК), одно из которых — наличие корректно разработанной документации по защите. Без полного комплекта документов невозможно пройти проверку регуляторов или ввести объект в эксплуатацию. Документация фиксирует весь набор мер по безопасности: от организационных правил до конкретных технических решений. Что обычно входит в комплект Полный пакет документации для объектов КИИ обычно включает: Акт категорирования объекта КИИ — определяет значимость системы и уровень требований к её защите. Модель угроз безопасности — описывает потенциальные угрозы и способы их реализации. Перечень организационных и технических мер — конкретные действия и решения для защиты. Технический проект и рабочая документация — схемы, чертежи, пояснительные записки. Эксплуатационные материалы — инструкции администратора и пользователя, методики испытаний, планы резервирования. В зависимости от сложности объекта речь идёт о десятках, а иногда и сотнях документов. Как строится работа Обычно проект делится на два основных этапа: Обследование и анализ. Специалисты выезжают на объект, изучают действующие системы, оценивают возможность интеграции новых решений и собирают исходные данные. По итогам формируется техническое задание и проектные требования. Разработка документации. На основе собранной информации создаётся весь комплект документов — от актов категорирования и моделей угроз до технических проектов и эксплуатационных инструкций. Важно, что каждый документ проходит внутренний нормоконтроль и согласования, а итоговый пакет готов к предъявлению регуляторам. Сроки и масштаб Средний срок реализации проекта по КИИ составляет 3–6 месяцев. Всё зависит от числа систем и масштабов объекта.Например, для крупного энергетического узла может потребоваться подготовить от 50 до 150 документов. Какой результат получает заказчик В итоге организация получает: комплект документации, соответствующий требованиям 187-ФЗ и приказов ФСТЭК; готовность к проверкам без необходимости срочной доработки; основу для построения работающей системы защиты, которая реально снижает риски; возможность без задержек вводить объект в эксплуатацию. Роль компании ЗИКС Компания ЗИКС занимается подготовкой документации по КИИ уже много лет и реализовывала проекты на объектах федерального уровня: от энергетики до промышленности. Наши специалисты умеют работать в условиях ограниченных сроков, сложных цепочек согласований и высоких требований регуляторов. Особенности нашего подхода: гибкость и скорость согласований (внутри компании нет избыточной бюрократии); опыт разработки документации, проходящей Главгосэкспертизу; возможность идти навстречу заказчику, если появляются дополнительные задачи. Документация по ПДн: что это и зачем нужна Почему защита персональных данных важна Персональные данные (ПДн) — это ФИО, паспортные сведения, телефоны, адреса, биометрия и другая информация о человеке. Сегодня почти каждая организация — от школы до банка — работает с ПДн, а значит обязана соблюдать требования Федерального закона № 152-ФЗ «О персональных данных». Нарушение этих требований грозит не только штрафами и проверками со стороны Роскомнадзора, но и репутационными потерями, а также рисками утечки данных клиентов или сотрудников. Чтобы выстроить систему защиты ПДн, необходимо разработать правильный комплект документации. Что входит в документацию по ПДн Полный пакет документов зависит от масштаба организации, но обычно включает: Политику в отношении обработки ПДн — базовый документ, который обязателен для публикации. Модели угроз безопасности ПДн — описание актуальных угроз и способов их реализации. Акты классификации информационных систем ПДн (ИСПДн) — определение уровня защищённости (УЗ-1, УЗ-2, УЗ-3). Акт установления класса защищённости — определяет уровень требований к защите в зависимости от значимости объекта. Перечень организационных мер — регламенты доступа, порядок хранения, уничтожения и передачи данных. Перечень технических мер — выбор средств защиты информации (СЗИ), шифрование, антивирусы, средства контроля доступа. Локальные нормативные акты — должностные инструкции, порядок реагирования на инциденты, регламенты резервного копирования. Технический проект и эксплуатационные документы — схемы, инструкции для администраторов и пользователей. Как строится работа Проект обычно проходит несколько этапов: Обследование — инвентаризация всех информационных систем, где обрабатываются ПДн. Классификация — определение уровня защищённости ИСПДн. Разработка документов — подготовка пакета организационных и технических документов. Согласование — внутренний нормоконтроль и, при

Москва, август 2025 года.Компания ЗИКС завершила работы по разработке проектной и нормативной документации для системы обеспечения информационной безопасности (СОИБ) Якутской ГРЭС-2 (вторая очередь), входящей в состав объектов «РусГидро». Для нас этот проект стал не просто очередной задачей — а подтверждением компетенций команды на объектах федерального уровня. Почему это важно Якутская ГРЭС-2 — стратегический объект, обеспечивающий энергией промышленность и население региона. Она относится к значимым объектам критической информационной инфраструктуры (КИИ), и любые сбои в её работе могут иметь последствия регионального масштаба. Поэтому ключевая цель проекта заключалась в создании полноценной документационной базы по безопасности, соответствующей требованиям 187-ФЗ, 152-ФЗ и приказам ФСТЭК. Как проходил проект Работа велась в сжатые сроки — всего 4 месяца с учетом согласования с Главгосэкспертизы. Несмотря на сложность взаимодействия (длинная цепочка подрядчиков и разница во времени с Якутией), команда ЗИКС смогла организовать процесс так, чтобы разработать полный пакет документов раньше планового дедлайна. Проект включал два этапа: Обследование и анализ. Специалисты актуализировали состояние действующих систем, оценили возможность интеграции новых решений, подготовили техническое задание. Разработка документации. Было создано более 100 документов, включая: акты категорирования, модели угроз, акты установления классов защищённости, технические проекты, схемы (L2/L3, структурные, кабельные), эксплуатационные инструкции, методики испытаний. Весь комплект прошёл нормоконтроль и согласование в Главгосэкспертизе. Вызовы и решения Проекты такого масштаба редко обходятся без сложностей. Разница во времени с Якутском заставляла проводить совещания ночью. Цепочка согласований занимала недели, но в ряде случаев наша команда брала ответственность на себя, чтобы не останавливать процесс. В процессе работ заказчик просил подготовить дополнительные документы, не входившие в ТЗ. Мы пошли навстречу: сделали всё необходимое, не затянув сроки. Эти моменты — показатель нашей гибкости: мы не ограничиваемся формальной работой по договору, а стремимся реально помогать заказчику. Результаты для заказчика Заказчик получил: полный комплект документации для ввода объекта в эксплуатацию и дальнейшей работы; соответствие всем требованиям законодательства РФ; базу для построения реальной, работающей системы защиты КИИ и ИСПДн; проект, закрытый раньше срока. Почему ЗИКС Мы победили в открытом конкурсе благодаря сочетанию: конкурентной цены (ниже московских ставок за счёт базирования в Зеленограде); высокой скорости и отсутствия бюрократии внутри компании; опыта в реализации проектов федерального уровня. В работе участвовала компактная, но сильная команда: 3 проектировщика, руководитель проекта и специалист по нормоконтролю. Голос компании «Для нас важно не просто формально закрыть проект и передать документы. Мы всегда думаем о том, чтобы спроектированная система гарантированно защищала объект КИИ, которым является Якутская ГРЭС-2».

Есть проекты, которые становятся вехами не только для компании, но и для всей отрасли. Для нас таким стала Свободненская теплоэлектростанция — стратегический объект программы «Сила Сибири» и первая в России полностью автоматизированная ТЭС. «Сила Сибири» — один из крупнейших энергетических проектов России: более 3 000 км магистрального газопровода ежегодно поставляют до 38 млрд м³ газа в регионы Восточной Сибири и страны АТР. Свободненская ТЭС — ключевое звено этой цепочки, обеспечивающее энергией компрессорные станции и критические узлы газотранспортной системы. От стабильности её работы зависит весь восточный маршрут поставок: любой сбой способен привести не только к многомиллионным потерям, но и к остановке стратегически важной инфраструктуры целого региона. Поэтому создание комплексной системы информационной и инженерной безопасности стало критически важным условием ввода объекта в эксплуатацию. Команда ЗИКС реализовала проект, от которого напрямую зависит бесперебойность поставок и выполнение международных обязательств России.Так началась история одного из самых масштабных проектов Компании ЗИКС. От старта до вызова федерального уровня В проекте участвовали: ООО «ГЭХ Инжиниринг» (Газпром Энерго Холдинг) — генеральный заказчик, Компания ЗИКС — подрядчик по информационной безопасности. Нас привлекли благодаря предыдущему опыту и репутации надёжного исполнителя: гибкая команда, отлаженные процессы и конкурентные ставки (наше преимущество как компании, базирующейся в Зеленограде). Но даже этот опыт не готовил к масштабу задач Свободненской ТЭС. Что делало проект уникальным Объект строился в две очереди: сначала подстанционное хозяйство, затем основной технологический комплекс. Все работы приходилось дублировать: проектировать, согласовывать, монтировать и сдавать дважды. Мы начали в 2019 году, когда закон о КИИ (187-ФЗ) только начал применяться на практике. Нам предстояло пройти весь путь «с нуля»: собрать исходные данные, провести моделирование угроз, разработать и согласовать документацию по категорированию объектов КИИ, определить категории значимости, подготовить полный перечень мер защиты. Важно: кроме систем АСУ ТП (автоматизированных систем управления технологическими процессами), защита требовалась и для информационных систем, обрабатывающих персональные данные (СКУД, видеонаблюдение с биометрией). Поэтому мы разрабатывали два комплекта документов: по КИИ и по ПДн (приказы ФСТЭК №17, №21 и №31). Отдельным вызовом стало местоположение объекта — город Свободный, Амурская область. Восемь часовых поясов от Москвы, длительные командировки. Пятеро наших специалистов провели там в общей сложности около семи месяцев. Логистика поставок — только железной дорогой, иногда контейнеры шли по два месяца.   Техническая реализация: 18 месяцев и 11 подсистем Проект занял полтора года и проходил в два этапа. Весь объём работ был зеркальным для каждой очереди строительства. Этап 1. Обследование и проектирование Выезды на объект, сбор исходных данных, интервью с десятками ответственных лиц. Разработка организационно-распорядительной документации (ОРД) и нормативно-методических документов. Категорирование объектов КИИ и определение уровня защищенности систем ПДн. Технорабочее проектирование: мы подготовили полный пакет проектной (ПД) и рабочей документации (РД), включая сложные L2/L3 схемы сети, схемы коммутации, журналы кабельных трасс. Оба комплекта ПД и РД успешно прошли Главгосэкспертизу — важный показатель качества документации. Этап 2. Поставка и монтаж Серверные и коммутационные шкафы, активное сетевое оборудование, системы защиты — всё это поставляли и устанавливали наши инженеры. Проложены десятки километров кабельных трасс (оптических и медных). Смонтированы и интегрированы 11 подсистем безопасности, включая:   подсистема регистрации и учета событий (ПРУС);   подсистема обеспечения целостности (ПОЦ);   подсистема управления доступом (ПУД);   подсистема контроля привилегированных пользователей (ПКПП);   подсистема антивирусной защиты (ПАВЗ);   подсистема безопасного межсетевого взаимодействия (ПБМВ);   подсистема обнаружения и предотвращения вторжений (ПОВ);   подсистема анализа защищенности (ПАЗ);   подсистема мониторинга событий информационной безопасности (ПМСИБ);   подсистема резервирования и восстановления (ПРВ);   подсистема управления ИБ (ПУИБ). Этап 3. Пусконаладка и интеграция Полный цикл тестирования и наладки, в том числе на распределённой сети с десятками зданий. Отладка сетевых связей: на таком объекте нет одной «серверной» — инфраструктура распределена, и чтобы добиться стабильной работы всех компонентов, пришлось проделать колоссальную коммутационную работу. Приёмка заказчиком проходила в два этапа: первый — комиссия Газпрома, второй — комиссия ОГК-2.Обе прошли успешно, система принята без замечаний. Какие вызовы мы преодолели Логистика и география: расстояние, командировки, длинные сроки доставки. Сложная цепочка согласований: десятки ответственных лиц, длинная вертикаль. Иногда приходилось брать ответственность на себя, чтобы не сорвать сроки. Техническая сложность: распределённая сеть, отсутствие единого центра, огромный масштаб объекта. Работа с новым законодательством КИИ: проект шёл в период, когда практика ещё формировалась. Что получил заказчик Полное соответствие требованиям законодательства (187-ФЗ, 152-ФЗ, приказы ФСТЭК №17, №21, №31). Работающая система безопасности — конфиденциальность, целостность и доступность данных (КЦД) обеспечены. Возможность ввода объекта в эксплуатацию без замечаний в установленный срок. Сокращение операционных рисков: система защищает от реальных угроз, а не существует «для галочки». Экономия: благодаря гибким ставкам ЗИКС проект был реализован дешевле конкурентов (конкретная экономия зависит от подсистем, но на всех направлениях мы выигрывали в цене). Что получил ЗИКС Для нас это был проект, который сделал команду сильнее: первый полный цикл КИИ «от и до»; колоссальный опыт в интеграции распределённых систем; развитие компетенций проектирования и согласований на сложных объектах; укрепление репутации на рынке ТЭК и КИИ. Факты и цифры 2 очереди строительства, 2 комплекта документации, 2 приёмочные комиссии; 18 месяцев реализации; 11 подсистем безопасности в каждой очереди строительства; десятки километров оптики и меди; 10 специалистов ЗИКС в проекте, включая командировки по 4–6 недель вахтовым методом. Комментарий ЗИКС «Свободненская ТЭС — это вызов и гордость. Объект стратегический для страны. Мы смогли реализовать защиту от и до: от категорирования до ввода в промышленную эксплуатацию. Сделали это качественно и в срок.» — Директор департамента корпоративных проектов Компании ЗИКС.

ООО «Компания ЗИКС» примет участие в XXIV Всероссийском форуме «Информационная безопасность. Регулирование. Технологии. Практика. ИнфоБЕРЕГ-2025», который состоится 9-12 сентября 2025 года в городе Сочи. «ИнфоБЕРЕГ-2025» — ведущая площадка для обмена опытом и диалога представителей отрасли, регуляторов и бизнеса. В центре обсуждения — практические вопросы защиты информации в стратегически важных отраслях экономики, государственном секторе и ВПК. Особое внимание в этом году будет уделено внедрению новых требований приказа ФСТЭК №117, вступающих в силу 1 марта 2026 года. Компания ЗИКС представит свой опыт в области модернизации архитектуры информационной безопасности и расскажет о том, как заказчикам уже сегодня выстраивать дорожные карты по переходу на новые стандарты. Среди ключевых направлений — аудит и классификация ИС, управление уязвимостями, внедрение средств NGFW и SIEM, а также подготовка документации и регламентов в соответствии с обновлёнными требованиями. «Наш приоритет — не просто внедрять технологии, а помогать заказчикам комплексно готовиться к новым нормативным требованиям. Приказ №117 задаёт новый уровень зрелости процессов ИБ, и мы готовы сопровождать наших партнёров на каждом этапе: от анализа текущего состояния до промышленной эксплуатации решений», — отметили в пресс-службе компании ЗИКС. Мы приглашаем коллег и партнёров встретиться с нашей командой на форуме.  У вас будет возможность лично пообщаться с директором Компании ЗИКС!