Московский физико-технический институт
Цель проекта
- обследование ИТ-инфраструктуры и процессов управления информационными технологиями, которое обеспечит основу для формирования плана мероприятий по обеспечению информационно-технологическими сервисами цифровой трансформации Заказчика;
- аудит процессов обработки ПДн и разработка предложений по комплексу мер, которые обеспечат защиту ПДн и соответствие процессов обработки ПДн требованиям законодательства Российской Федерации по защите ПДн.
Границы проекта в соответствии с требованиями ТЗ
- 24 ИСПДн,
- 16 инфраструктурных ИТ-сервисов,
- 40 структурных подразделений,
- 3 ИТ-бизнес процесса: разработка и внедрение ИС, эксплуатация ИС и ИТ-инфраструктуры, информационная безопасность,
- 4 территориальных подразделения,
- длительность проекта — 3 месяца.
В ходе проекта специалисты Альтирикс Групп выявили неточности в техническом задании и предложили взять на себя дополнительный объем работ без увеличения стоимости в объеме 10% от заявленного в ТЗ с целью качественной и более полной реализации проекта с пользой для Заказчика
Решенные задачи
- обследование ИТ-инфраструктуры;
- обследование процессов управления внедрением информационных технологий и поддержки ИТ-сервисов;
- обследование покрытия бизнес-процессов Заказчика средствами автоматизации;
- актуализация организационно-распорядительных документов Заказчика в части управления процессами цифровизации, внедрения информационных технологий и поддержки ИТ-сервисов;
- обследование ИСПДн, определение текущего состояния обеспечения безопасности информации, состава и структуры СЗИ ИСПДн;
- аудит документального обеспечения процессов обработки и защиты персональных данных, оценка полноты разработанной организационно-распорядительной и технической документации по защите ИСПДн, в том числе в части обработки персональных данных осуществляемой без использования средств автоматизации;
- актуализация моделей угроз безопасности информации ИСПДн, разработка модели угроз вычислительной инфраструктуры ЦОД, обрабатывающей персональные данные;
- разработка технического задания на создание СЗИ для ИСПДн;
- эскизное проектирование СЗИ ИСПДн и разработка спецификации средств защиты информации;
- разработка дорожной карты и бюджетной оценки создания СЗИ ИСПДн.
Аудит защищённости портала mipt.ru, в том числе:
1. Анализ организационных мер защиты:
- Анализ имеющейся организационно — распорядительной документации: Регламент предоставления доступа на редактирование разделов портала, Регламент по проведению разработки портала, включающий документирование проведенных разработок, версионирование, проведение доработок, Инструкция администратору портала.
2. Анализ технических мер защиты портала:
- Анализ конфигурации портала с целью определения технологической платформы портала и дополнительного используемого ПО, разделов размещения ПДн.
- Аудит подсистемы защиты от НСД
- Аудит подсистемы межсетевого экранирования
- Аудит подсистемы антивирусной защиты
- Аудит подсистемы обнаружения и предотвращения вторжений
- Аудит подсистемы анализа защищённости
3. Проведение теста на проникновение.
Цель теста: выявление слабых мест в настройке инфраструктуры (сервера и функционирующей на ней ОС и сетевых служб, а также межсетевых экранов, обеспечивающих функционирование веб-приложений портала) и в программном коде веб приложений портала, в том числе:
- Сбор информации и первичный анализ
- Тест конфигурации (физический и виртуальный хостинг)
- Тестирование на типовые уязвимости по базе данных OWASP