Предприятие, созданное в целях повышения эффективности, устойчивости и надежности функционирования централизованных систем холодного водоснабжения и водоотведения, улучшения качества обслуживания абонентов и повышения надежности предоставления им соответствующих услуг, получения прибыли.

Условия
По причине отсутствия специалистов по информационной безопасности в области ИБ, а также в связи с изменениями или нововведениями в законодательстве по защите ОКИИ, заказчик обратился за помощью в определении принадлежности предприятия к субъектам КИИ, а также разработке ОРД по категорированию.

Задачи

• Решить вопрос принадлежности к субъектам КИИ;
• Обосновать попадает ли предприятие под указ Президента Российской Федерации от 01.05.2022 г. № 250;
• Сотрудники отдела ИБ не считают систему SCADA и лабораторные анализаторы объектами КИИ. Помощь с обоснованием и разъяснением, а также разработка ОРД (оперативно-розыскной деятельности) по категорированию в случае положительных ответов.

Решение
Для определения статуса предприятия в качестве субъекта критической информационной инфраструктуры (КИИ) и внесения его в список согласно Указу Президента РФ № 250, проведены следующие действия:

1. Провести очное обследование, включающее интервьюирование сотрудников различных подразделений в рамках информатизации предприятия. Собрать информацию о критических процессах и процедурах, связанных с основными функциями и видами деятельности предприятия.
2. Определить объекты КИИ, которые играют ключевую роль в обеспечении критических процессов. Собрать информацию о назначении, архитектуре, используемых средствах (программном и аппаратном обеспечении), связи с другими объектами КИИ и характеристиках доступа к сетям связи.
3. Изучить взаимодействие предприятия с другими объектами КИИ и зависимость его функционирования от них.
4. Произвести категоризацию объектов КИИ, выделить наиболее важные и критические процессы.

На основе проведенного анализа было определено, относится ли предприятие к субъектам КИИ и подпадает ли под 250 Указ Президента РФ.

Результат

• Определена принадлежность предприятия к субъекту КИИ;
• Назначена комиссия по категорированию ОКИИ, даны рекомендации по составу комиссии;
• Определены критические процессы, объекты КИИ, обеспечивающие критические процессы;
• Проведено категорирование ОКИИ, разработан актуальный комплект организационно-распорядительной документации по категорированию объектов КИИ;
• Даны рекомендации по дальнейшим действиям с ОРД и отчетности регуляторам;
• Дано обоснование и рекомендации о попадании предприятия под 250 Указ Президента РФ.

Крупное медицинское учреждение, включающее стационар на 500 коек, межрайонный первичный сосудистый центр и травматологический центр второго уровня, детскую поликлинику, поликлинику для взрослых, женскую консультацию, станцию скорой помощи, физиотерапевтическое отделение, СПИД-лабораторию, отделение переливания крови, ФАПы и участковые больницы в сельских поселениях Лабинского района, а также другие службы и подразделения.

Условия
Из-за отсутствия собственных сотрудников в области ИБ, требований от Министерства здравоохранения КК, а также регуляторов в сфере защиты КИИ, заказчик обратился за помощью в категорировании объектов КИИ.

Вопрос
Что в учреждениях здравоохранения является объектами КИИ? Выявить эти объекты, провести процедуру категорирования.

Решение
Для проведения обследования информатизации учреждения и определения статуса объектов критической информационной инфраструктуры (КИИ), проведены следующие действия:

1. Провести очное интервьюирование сотрудников для сбора информации о критических процессах в рамках осуществления функций учреждения, включая управленческие, технологические, производственные, финансово-экономические и другие процессы.
2. Собрать сведения о объектах КИИ, которые обеспечивают критические процессы, включая их назначение, архитектуру, используемые программные и программно-аппаратные средства, взаимодействие с другими объектами КИИ, а также доступ и характеристики связи.
3. Изучить взаимодействие КИИ с другими объектами КИИ и зависимость их функционирования друг от друга.
4. Осуществить категоризацию объектов КИИ для определения их степени важности и критичности.

Таким образом, будет выполнено обследование информатизации, сбор сведений о критических процессах и объектах КИИ, а также проведено категорирование объектов КИИ.

Результат

• Назначена комиссия по категорированию ОКИИ, даны рекомендации по составу комиссии;
• Определены объекты КИИ с присвоенными им категориями, максимальной присвоенной категорией стала третья;
• Разработана организационно-распорядительная документация для категоризации объектов КИИ;
• Даны рекомендации по дальнейшим действиям с ОРД и отчетности регуляторам.

Условия
По причине некомпетентности собственных сотрудников в сфере ИБ и изменений в законодательстве о защите ПДн (персональных данных), клиент запросил помощь в обновлении организационно-распорядительной документации, которая регулирует обработку персональных данных. Особый акцент сделан на взаимодействии с ГосСОПКОЙ (Государственной системой обеспечения прав субъектов персональных данных) и сторонними информационными системами.

Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, ОРД и Моделей угроз безопасности информации.

Решение
Для обеспечения соответствия требованиям законодательства по защите всех процессов обработки ПДн, ОРД и Моделей угроз безопасности информации, проведены следующие действия в рамках очного обследования и интервьюирования сотрудников заказчика:

1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде;
2. Выявление и определение всех информационных систем, в том числе ИСПДн и ГИС, в которых ведется обработка ПДн, с последующей классификацией и определением мер защиты;
3. Определение нюансов обработки ПДн в неавтоматизированном виде, происходящей без применения средств вычислительной техники;
4. Выявление нарушений требований законодательства;
5. Сбор сведений о технических средствах (ТС), участвующих в обработке ПДн и сетевой архитектуре;
6. Сбор сведений об имеющихся и применяемых средствах защиты информации;
7. Определение актуальных угроз безопасности информации.

Таким образом, все процессы обработки ПДн, ОРД и Моделей угроз безопасности информации были приведены в соответствие требованиям законодательства по защите ПДн.

Результат

• Выполненные мероприятия по информационной безопасности.
• Разработан актуальный комплект организационно-распорядительной документации, регламентирующий обработку ПДн, в т.ч. модели угроз, модели нарушителя и все необходимые для отчетности перед Роскомнадзором доку3. менты.
• Сформирован отчёт по результатам обследования, включающий в себя рекомендации по устранению несоответствий требованиям законодательства в области защиты ПДн и исходные данные для дальнейшего создания, разработки, проектирования и внедрение системы защиты объектов, участвующих в обработке ПДн.

Медицинское учреждение, в котором проводятся обследования и лечение для взрослых и детей по всем направлениям.

Условия
Отсутствие собственного специалиста по ИБ и полное отсутствие актуальной документации по защите ПДн по двум юридическим лицам компании.

Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, выявление ИСПДн, разработка ОРД и Моделей угроз безопасности информации.

Решение
В ходе проведения очного обследования и интервьюирования сотрудников заказчика были выполнены следующие действия:

1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде.
2. Выявление и определение всех информационных систем, включая ИСПДн и ГИС, где ведется обработка ПДн, с классификацией и определением мер защиты.
3. Определение нюансов обработки ПДн в неавтоматизированном виде, без использования средств вычислительной техники.
4. Выявление нарушений требований законодательства.
5. Сбор информации о технических средствах (ТС) и сетевой архитектуре, используемых в обработке ПДн.
6. Сбор информации о применяемых и доступных средствах защиты информации.
7. Определение актуальных угроз безопасности информации.

Таким образом, все процессы обработки ПДн, ОРД и Моделей угроз безопасности информации были приведены в соответствие требованиям законодательства по защите ПДн.

Результат

• Выполненные мероприятия по информационной безопасности.
• Разработан актуальный комплект организационно-распорядительной документации, регламентирующий обработку ПДн, в т.ч. модели угроз, модели нарушителя и все необходимые для отчетности перед Роскомнадзором документы.
• Сформированы рекомендации по устранению несоответствий требованиям законодательства в области защиты ПДн.

Одно из крупнейших в стране многопрофильных медицинских учреждений для оказания специализированной медицинской помощи, объединяющее консультативно-диагностический центр и более 40 отделений.

Условия
Из-за некомпетентности собственных сотрудников в области ИБ, а также в связи с изменениями в законодательстве по защите ПДн и требований от ФМБА России, заказчик обратился за помощью в разработке актуального комплекта ОРД, регламентирующего обработку ПДн, а также с потребностью применения технический мер для организации защиты каналов связи.

Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, выявление ИСПДн, разработка актуального комплекта ОРД и Моделей угроз безопасности информации.

Решение
В ходе проведения очного обследования и интервьюирования сотрудников заказчика были выполнены следующие действия:

1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде.
2. Определение информационных систем, включая ИСПДн и ГИС, где происходит обработка ПДн, с классификацией и определением мер защиты.
3. Определение нюансов обработки ПДн в неавтоматизированном виде, происходящей без применения средств вычислительной техники;
4. Выявление нарушений требований законодательства.
5. Сбор данных о технических средствах (ТС) и сетевой архитектуре, которые участвуют в обработке ПДн.
6. Сбор информации о существующих и используемых средствах защиты информации.
7. Определение актуальных угроз безопасности информации.

Результатом проведенных действий было идентифицировано полное представление о процессах обработки ПДн, определены информационные системы и применяемые средства защиты, выявлены нарушения законодательства и определены актуальные угрозы безопасности информации.

Результат
Выполненные мероприятия по информационной безопасности.

• Разработан актуальный комплект организационно-распорядительной документации, регламентирующий обработку ПДн, в т.ч. модели угроз, модели нарушителя и все необходимые для отчетности перед Роскомнадзором документы.
• Сформированы рекомендации по устранению несоответствий требованиям законодательства в области защиты ПДн.

Предприятие полного технологического цикла производства кондиционеров, вентиляторов и другой климатической техники. На нефтяных платформах и атомных электростанциях, в Кремле и на спортивных стадионах, на заводах и пароходах, в больницах и метро.

Условия
Увольнение ключевого сотрудника, не завершенные задачи по модернизации инфраструктуры.

Вопрос
Проверка инфраструктуры на наличие бэкдоров, внеплановая процедура по смене паролей. Получение независимой, объективной оценки состояния ИТ-инфраструктуры.

Решение

• интервьюирование сотрудников, ответственных за сетевую инфраструктуру;
• техническая инвентаризация серверного и сетевого оборудования;
• инвентаризация состава системного и прикладного программного обеспечения с учетом версионности;
• анализ конфигураций используемого программного обеспечения
• оценка текущей производительности и ресурсоемкости серверного оборудования;
• анализ системных журналов;
• анализ списков доступа серверам, системному и прикладному программному обеспечению и формирование предложений по их изменению;
• изменение учетных данных и паролей локальных учетных записей по предварительному согласованию и данным, полученным от Заказчика;

Результат
Выполненные мероприятия по информационной безопасности. Сформирован отчёт о состоянии ИТ-инфраструктуры, выявлены возможные "боли".

Основным видом деятельности компании является работы геолого-разведочные, геофизические и геохимические в области изучения недр и воспроизводства минерально-сырьевой базы, также компания работает еще по 3 направлениям.

Условия
Объект КИИ - необходимость соответствия требованиям регулятора.

Вопрос
Получение объективной оценки состояния ИТ-инфраструктуры, рекомендации по построению системы информационной безопасности.

Решение

• техническая инвентаризация серверного и сетевого оборудования;
• инвентаризация состава системного и прикладного программного обеспечения с учетом версионности;
• анализ конфигураций используемого программного обеспечения
• оценка текущей производительности и ресурсоемкости серверного оборудования;
• анализ списков доступа серверам, системному и прикладному программному обеспечению и формирование предложений по их изменению;

Результат
Сформирован отчёт о текущем состоянии информационной инфраструктуры. Спроектирована дорожная карта по построению системы информационной безопасности соответствующей требованием регулятора.
Предприятие полного технологического цикла производства кондиционеров, вентиляторов и другой климатической техники. На нефтяных платформах и атомных электростанциях, в Кремле и на спортивных стадионах, на заводах и пароходах, в больницах и метро.

Условия
Увольнение ключевого сотрудника, не завершенные задачи по модернизации инфраструктуры.

Вопрос
Проверка инфраструктуры на наличие бэкдоров, внеплановая процедура по смене паролей. Получение независимой, объективной оценки состояния ИТ-инфраструктуры.

Решение

• интервьюирование сотрудников, ответственных за сетевую инфраструктуру;
• техническая инвентаризация серверного и сетевого оборудования;
• инвентаризация состава системного и прикладного программного обеспечения с учетом версионности;
• анализ конфигураций используемого программного обеспечения
• оценка текущей производительности и ресурсоемкости серверного оборудования;
• анализ системных журналов;
• анализ списков доступа серверам, системному и прикладному программному обеспечению и формирование предложений по их изменению;
• изменение учетных данных и паролей локальных учетных записей по предварительному согласованию и данным, полученным от Заказчика;

Результат
Выполненные мероприятия по информационной безопасности. Сформирован отчёт о состоянии ИТ-инфраструктуры, выявлены возможные "боли".