Аудит ИБ
Аудиты КИИ
Аудиты критической информационной инфраструктуры
Для муниципального унитарного предприятия
Предприятие, созданное в целях повышения эффективности, устойчивости и надежности функционирования централизованных систем холодного водоснабжения и водоотведения, улучшения качества обслуживания абонентов и повышения надежности предоставления им соответствующих услуг, получения прибыли.
Условия
По причине отсутствия специалистов по информационной безопасности в области ИБ, а также в связи с изменениями или нововведениями в законодательстве по защите ОКИИ, заказчик обратился за помощью в определении принадлежности предприятия к субъектам КИИ, а также разработке ОРД по категорированию.
Задачи
Для определения статуса предприятия в качестве субъекта КИИ и обоснования попадания под действие Указа Президента РФ № 250, необходимо провести следующие действия:
1. Провести очное обследование, включающее интервьюирование сотрудников различных подразделений на всех объектах информатизации предприятия. Собрать информацию о критических процессах, связанных с основными функциями и видами деятельности предприятия.
2. Определить объекты КИИ, которые обеспечивают критические процессы. Собрать информацию о их назначении, архитектуре, применяемых программных и программно-аппаратных средствах, а также о взаимодействии с другими объектами КИИ и характеристиках доступа к сетям связи.
Результат
Условия
По причине отсутствия специалистов по информационной безопасности в области ИБ, а также в связи с изменениями или нововведениями в законодательстве по защите ОКИИ, заказчик обратился за помощью в определении принадлежности предприятия к субъектам КИИ, а также разработке ОРД по категорированию.
Задачи
- Решить вопрос принадлежности к субъектам КИИ;
- Обосновать попадает ли предприятие под указ Президента Российской Федерации от 01.05.2022 г. № 250;
- Сотрудники отдела ИБ не считают систему SCADA и лабораторные анализаторы объектами КИИ. Помощь с обоснованием и разъяснением, а также разработка ОРД по категорированию в случае положительных ответов.
Для определения статуса предприятия в качестве субъекта КИИ и обоснования попадания под действие Указа Президента РФ № 250, необходимо провести следующие действия:
1. Провести очное обследование, включающее интервьюирование сотрудников различных подразделений на всех объектах информатизации предприятия. Собрать информацию о критических процессах, связанных с основными функциями и видами деятельности предприятия.
2. Определить объекты КИИ, которые обеспечивают критические процессы. Собрать информацию о их назначении, архитектуре, применяемых программных и программно-аппаратных средствах, а также о взаимодействии с другими объектами КИИ и характеристиках доступа к сетям связи.
Результат
- Определена принадлежность предприятия к субъекту КИИ;
- Назначена комиссия по категорированию ОКИИ, даны рекомендации по составу комиссии;
- Определены критические процессы, объекты КИИ, обеспечивающие критические процессы;
- Проведено категорирование ОКИИ, разработан актуальный комплект организационно-распорядительной документации по категорированию объектов КИИ;
- Даны рекомендации по дальнейшим действиям с ОРД и отчетности регуляторам;
- Дано обоснование и рекомендации о попадании предприятия под 250 Указ Президента РФ.
Для государственного бюджетного учреждения здравоохранения
Крупное медицинское учреждение, включающее стационар на 500 коек, межрайонный первичный сосудистый центр и травматологический центр второго уровня, детскую поликлинику, поликлинику для взрослых, женскую консультацию, станцию скорой помощи, физиотерапевтическое отделение, СПИД-лабораторию, отделение переливания крови, ФАПы и участковые больницы в сельских поселениях Лабинского района, а также другие службы и подразделения.
Условия
Из-за отсутствия собственных сотрудников в области ИБ, требований от Министерства здравоохранения КК, а также регуляторов в сфере защиты КИИ, заказчик обратился за помощью в категорировании объектов КИИ.
Вопрос
Что в учреждениях здравоохранения является объектами КИИ? Выявить эти объекты, провести процедуру категорирования.
Решение
1. Провести очное обследование, включающее интервьюирование сотрудников для сбора информации о критических процессах в рамках осуществления функций учреждения, включая управленческие, технологические, производственные, финансово-экономические и другие процессы.
2. Собрать сведения об объектах КИИ, которые обеспечивают критические процессы, включая их назначение, архитектуру, используемые программные и программно-аппаратные средства, взаимодействие с другими объектами КИИ, а также доступ к сетям связи.
Условия
Из-за отсутствия собственных сотрудников в области ИБ, требований от Министерства здравоохранения КК, а также регуляторов в сфере защиты КИИ, заказчик обратился за помощью в категорировании объектов КИИ.
Вопрос
Что в учреждениях здравоохранения является объектами КИИ? Выявить эти объекты, провести процедуру категорирования.
Решение
1. Провести очное обследование, включающее интервьюирование сотрудников для сбора информации о критических процессах в рамках осуществления функций учреждения, включая управленческие, технологические, производственные, финансово-экономические и другие процессы.
2. Собрать сведения об объектах КИИ, которые обеспечивают критические процессы, включая их назначение, архитектуру, используемые программные и программно-аппаратные средства, взаимодействие с другими объектами КИИ, а также доступ к сетям связи.
- Провести категорирование объектов КИИ.
- Назначена комиссия по категорированию ОКИИ, даны рекомендации по составу комиссии;
- Определены объекты КИИ с присвоенными им категориями, максимальной присвоенной категорией стала третья;
- Разработана ОРД для категоризации объектов КИИ;
- Даны рекомендации по дальнейшим действиям с ОРД и отчетности регуляторам.
Аудиты ПДн
Аудиты соответствия обработки персональных данных
Для спортивного учреждения
Условия
По причине некомпетентности собственных сотрудников в сфере ИБ и изменений в законодательстве по защите персональных данных (ПДн), клиент запросил помощь в обновлении организационно-распорядительной документации (ОРД), которая регламентирует обработку ПДн. Особый акцент сделан на взаимодействии с ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ) и сторонними информационными системами.
Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, ОРД и Моделей угроз безопасности информации.
Решение
Для обеспечения соответствия требованиям законодательства по защите всех процессов обработки ПДн, ОРД и Моделей угроз безопасности информации, необходимо провести следующие действия в рамках очного обследования и интервьюирования сотрудников заказчика:
1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде;
2. Выявление и определение всех информационных систем, в том числе ИСПДн и ГИС, в которых ведется обработка ПДн, с последующей классификацией и определением мер защиты;
3. Определение нюансов обработки ПДн в неавтоматизированном виде, происходящей без применения средств вычислительной техники;
4. Выявление нарушений требований законодательства;
5. Сбор сведений о технических средствах (ТС), участвующих в обработке ПДн и сетевой архитектуре;
6. Сбор сведений об имеющихся и применяемых средствах защиты информации;
7. Определение актуальных угроз безопасности информации.
Результат
- Выполненны мероприятия по информационной безопасности.
- Разработан актуальный комплект ОРД, регламентирующий обработку ПДн, в т.ч. модели угроз, модели нарушителя и все необходимые для отчетности перед Роскомнадзором документы.
- Сформирован отчёт по результатам обследования, включающий в себя рекомендации по устранению несоответствий требованиям законодательства в области защиты ПДн и исходные данные для дальнейшего создания, разработки, проектирования и внедрения системы защиты объектов, участвующих в обработке ПДн.
Для медицинского учреждения
Медицинское учреждение, в котором проводятся обследования и лечение для взрослых и детей по всем направлениям.
Условия
Отсутствие собственного специалиста по ИБ и полное отсутствие актуальной документации по защите ПДн по двум юридическим лицам компании.
Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, выявление ИСПДн, разработка ОРД и Моделей угроз безопасности информации.
Решение
С помощью проведения очного обследования и интервьюирования сотрудников заказчика необходимо выполнить следующие действия:
1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде.
2. Выявление и определение всех информационных систем, включая ИСПДн и ГИС, где ведется обработка ПДн, с классификацией и определением мер защиты.
3. Определение нюансов обработки ПДн в неавтоматизированном виде, без использования средств вычислительной техники.
4. Выявление нарушений требований законодательства.
5. Сбор информации о технических средствах (ТС) и сетевой архитектуре, используемых в обработке ПДн.
6. Сбор информации о применяемых и доступных средствах защиты информации.
7. Определение актуальных угроз безопасности информации.
Результат
Условия
Отсутствие собственного специалиста по ИБ и полное отсутствие актуальной документации по защите ПДн по двум юридическим лицам компании.
Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, выявление ИСПДн, разработка ОРД и Моделей угроз безопасности информации.
Решение
С помощью проведения очного обследования и интервьюирования сотрудников заказчика необходимо выполнить следующие действия:
1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде.
2. Выявление и определение всех информационных систем, включая ИСПДн и ГИС, где ведется обработка ПДн, с классификацией и определением мер защиты.
3. Определение нюансов обработки ПДн в неавтоматизированном виде, без использования средств вычислительной техники.
4. Выявление нарушений требований законодательства.
5. Сбор информации о технических средствах (ТС) и сетевой архитектуре, используемых в обработке ПДн.
6. Сбор информации о применяемых и доступных средствах защиты информации.
7. Определение актуальных угроз безопасности информации.
Результат
- Выполненные мероприятия по информационной безопасности.
- Разработан актуальный комплект ОРД, регламентирующий обработку ПДн, в т.ч. модели угроз, модели нарушителя и все необходимые для отчетности перед Роскомнадзором документы.
- Сформированы рекомендации по устранению несоответствий требованиям законодательства в области защиты ПДн.
Для учреждения, оказывающего специализированную медицинскую помощь
Одно из крупнейших в стране многопрофильных медицинских учреждений для оказания специализированной медицинской помощи, объединяющее консультативно-диагностический центр и более 40 отделений.
Условия
Из-за некомпетентности собственных сотрудников в области ИБ, а также в связи с изменениями в законодательстве по защите ПДн и требований от ФМБА России, заказчик обратился за помощью в разработке актуального комплекта ОРД, регламентирующего обработку ПДн, а также с потребностью применения технических мер для организации защиты каналов связи.
Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, выявление ИСПДн, разработка актуального комплекта ОРД и Моделей угроз безопасности информации.
Решение
С помощью проведения очного обследования и интервьюирования сотрудников заказчика необходимо выполнить следующие действия:
1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде.
2. Определение информационных систем, включая ИСПДн и ГИС, где происходит обработка ПДн, с классификацией и определением мер защиты.
3. Определение нюансов обработки ПДн в неавтоматизированном виде, происходящей без применения средств вычислительной техники;
4. Выявление нарушений требований законодательства.
5. Сбор данных о технических средствах (ТС) и сетевой архитектуре, которые участвуют в обработке ПДн.
6. Сбор информации о существующих и используемых средствах защиты информации.
7. Определение актуальных угроз безопасности информации.
Результат
Выполнены мероприятия по информационной безопасности.
Условия
Из-за некомпетентности собственных сотрудников в области ИБ, а также в связи с изменениями в законодательстве по защите ПДн и требований от ФМБА России, заказчик обратился за помощью в разработке актуального комплекта ОРД, регламентирующего обработку ПДн, а также с потребностью применения технических мер для организации защиты каналов связи.
Вопрос
Приведение в соответствие требованиям законодательства по защите ПДн всех процессов обработки ПДн, выявление ИСПДн, разработка актуального комплекта ОРД и Моделей угроз безопасности информации.
Решение
С помощью проведения очного обследования и интервьюирования сотрудников заказчика необходимо выполнить следующие действия:
1. Выявление всех процессов обработки ПДн, как в автоматизированном, так и в неавтоматизированном виде.
2. Определение информационных систем, включая ИСПДн и ГИС, где происходит обработка ПДн, с классификацией и определением мер защиты.
3. Определение нюансов обработки ПДн в неавтоматизированном виде, происходящей без применения средств вычислительной техники;
4. Выявление нарушений требований законодательства.
5. Сбор данных о технических средствах (ТС) и сетевой архитектуре, которые участвуют в обработке ПДн.
6. Сбор информации о существующих и используемых средствах защиты информации.
7. Определение актуальных угроз безопасности информации.
Результат
Выполнены мероприятия по информационной безопасности.
- Разработан актуальный комплект ОРД, регламентирующий обработку ПДн, в т.ч. модели угроз, модели нарушителя и все необходимые для отчетности перед Роскомнадзором документы.
- Сформированы рекомендации по устранению несоответствий требованиям законодательства в области защиты ПДн.
Технический аудит
Для компании по производству кондиционеров и вентиляторов
Предприятие полного технологического цикла производства кондиционеров, вентиляторов и другой климатической техники. На нефтяных платформах и атомных электростанциях, в Кремле и на спортивных стадионах, на заводах и пароходах, в больницах и метро.
Условия
Увольнение ключевого сотрудника, не завершенные задачи по модернизации инфраструктуры.
Вопрос
Проверка инфраструктуры на наличие бэкдоров, внеплановая процедура по смене паролей. Получение независимой, объективной оценки состояния ИТ-инфраструктуры.
Решение
Выполненные мероприятия по информационной безопасности. Сформирован отчёт о состоянии инфраструктуры, выявлены возможные "боли".
Условия
Увольнение ключевого сотрудника, не завершенные задачи по модернизации инфраструктуры.
Вопрос
Проверка инфраструктуры на наличие бэкдоров, внеплановая процедура по смене паролей. Получение независимой, объективной оценки состояния ИТ-инфраструктуры.
Решение
- интервьюирование сотрудников, ответственных за сетевую инфраструктуру;
- техническая инвентаризация серверного и сетевого оборудования;
- инвентаризация состава системного и прикладного программного обеспечения с учетом версионности;
- анализ конфигураций используемого программного обеспечения
- оценка текущей производительности и ресурсоемкости серверного оборудования;
- анализ системных журналов;
- анализ списков доступа серверам, системному и прикладному программному обеспечению и формирование предложений по их изменению;
- изменение учетных данных и паролей локальных учетных записей по предварительному согласованию и данным, полученным от Заказчика;
Выполненные мероприятия по информационной безопасности. Сформирован отчёт о состоянии инфраструктуры, выявлены возможные "боли".
Для компании, ведущей георазведочные, геофизические и геохимические работы
Основным видом деятельности компании является работы геолого-разведочные, геофизические и геохимические в области изучения недр и воспроизводства минерально-сырьевой базы, также компания работает еще по 3 направлениям.
Условия
Объект КИИ - необходимость соответствия требованиям регулятора.
Вопрос
Получение объективной оценки состояния ИТ-инфраструктуры, рекомендации по построению системы информационной безопасности.
Решение
- техническая инвентаризация серверного и сетевого оборудования;
- инвентаризация состава системного и прикладного программного обеспечения с учетом версионности;
- анализ конфигураций используемого программного обеспечения
- оценка текущей производительности и ресурсоемкости серверного оборудования;
- анализ списков доступа серверам, системному и прикладному программному обеспечению и формирование предложений по их изменению;
Сформирован отчёт о текущем состоянии информационной инфраструктуры. Спроектирована дорожная карта по построению системы информационной безопасности соответствующей требованием регулятора.
Предприятие полного технологического цикла производства кондиционеров, вентиляторов и другой климатической техники. На нефтяных платформах и атомных электростанциях, в Кремле и на спортивных стадионах, на заводах и пароходах, в больницах и метро.
Условия
Увольнение ключевого сотрудника, не завершенные задачи по модернизации инфраструктуры.
Вопрос
Проверка инфраструктуры на наличие бэкдоров, внеплановая процедура по смене паролей. Получение независимой, объективной оценки состояния ИТ-инфраструктуры.
Решение
- интервьюирование сотрудников, ответственных за сетевую инфраструктуру;
- техническая инвентаризация серверного и сетевого оборудования;
- инвентаризация состава системного и прикладного программного обеспечения с учетом версионности;
- анализ конфигураций используемого программного обеспечения
- оценка текущей производительности и ресурсоемкости серверного оборудования;
- анализ системных журналов;
- анализ списков доступа серверам, системному и прикладному программному обеспечению и формирование предложений по их изменению;
- изменение учетных данных и паролей локальных учетных записей по предварительному согласованию и данным, полученным от Заказчика;
Выполненные мероприятия по информационной безопасности. Сформирован отчёт о состоянии ИТ-инфраструктуры, выявлены возможные "боли".