Обследование ИТ-инфраструктуры и аудит ИБ

Московский физико-технический институт

Цель проекта

  • обследование ИТ-инфраструктуры и процессов управления информационными технологиями, которое обеспечит основу для формирования плана мероприятий по обеспечению информационно-технологическими сервисами цифровой трансформации Заказчика;
  • аудит процессов обработки ПДн и разработка предложений по комплексу мер, которые обеспечат защиту ПДн и соответствие процессов обработки ПДн требованиям законодательства Российской Федерации по защите ПДн.

Границы проекта в соответствии с требованиями ТЗ

  • 24 ИСПДн,
  • 16 инфраструктурных ИТ-сервисов,
  • 40 структурных подразделений,
  • 3 ИТ-бизнес процесса:­ разработка и внедрение ИС,­ эксплуатация ИС и ИТ-инфраструктуры,­ информационная безопасность,
  • 4 территориальных подразделения,
  • длительность проекта — 3 месяца.

В ходе проекта специалисты Альтирикс Групп выявили неточности в техническом задании и предложили взять на себя дополнительный объем работ без увеличения стоимости в объеме 10% от заявленного в ТЗ с целью качественной и более полной реализации проекта с пользой для Заказчика

Решенные задачи

  • обследование ИТ-инфраструктуры;
  • обследование процессов управления внедрением информационных технологий и поддержки ИТ-сервисов;
  • обследование покрытия бизнес-процессов Заказчика средствами автоматизации;
  • актуализация организационно-распорядительных документов Заказчика в части управления процессами цифровизации, внедрения информационных технологий и поддержки ИТ-сервисов;
  • обследование ИСПДн, определение текущего состояния обеспечения безопасности информации, состава и структуры СЗИ ИСПДн;
  • аудит документального обеспечения процессов обработки и защиты персональных данных, оценка полноты разработанной организационно-распорядительной и технической документации по защите ИСПДн, в том числе в части обработки персональных данных осуществляемой без использования средств автоматизации;
  • актуализация моделей угроз безопасности информации ИСПДн, разработка модели угроз вычислительной инфраструктуры ЦОД, обрабатывающей персональные данные;
  • разработка технического задания на создание СЗИ для ИСПДн;
  • эскизное проектирование СЗИ ИСПДн и разработка спецификации средств защиты информации;
  • разработка дорожной карты и бюджетной оценки создания СЗИ ИСПДн.

Аудит защищённости портала mipt.ru, в том числе:

1. Анализ организационных мер защиты:

  • Анализ имеющейся организационно — распорядительной документации: Регламент предоставления доступа на редактирование разделов портала, Регламент по проведению разработки портала, включающий документирование проведенных разработок, версионирование, проведение доработок, Инструкция администратору портала.

2.    Анализ технических мер защиты портала:

  • Анализ конфигурации портала с целью определения технологической платформы портала и дополнительного используемого ПО, разделов размещения ПДн.
  • Аудит подсистемы защиты от НСД
  • Аудит подсистемы межсетевого экранирования
  • Аудит подсистемы антивирусной защиты
  • Аудит подсистемы обнаружения и предотвращения вторжений
  • Аудит подсистемы анализа защищённости

3.  Проведение теста на проникновение.

Цель теста: выявление слабых мест в настройке инфраструктуры (сервера и функционирующей на ней ОС и сетевых служб, а также межсетевых экранов, обеспечивающих функционирование веб-приложений портала) и в программном коде веб приложений портала, в том числе:

  • Сбор информации и первичный анализ
  • Тест конфигурации (физический и виртуальный хостинг)
  • Тестирование на типовые уязвимости по базе данных OWASP

Подход Альтирикс Групп к реализации проекта

На старте проекта, архитектором Альтирикс Групп были сформированы три рабочие группы с разными зонами ответственности, выполняющие работы параллельно:

  • Рабочая группа 1 — отвечала за техническую часть аудита (аудит ИТ-инфраструктуры, инвентаризация и т.п.).
  • Рабочая группа 2 — отвечала за консталтинговую часть аудита (аудит процессов обработки ПДн, оценка соответствия НПА, аудит покрытия ИТ-сервисами и т.п.).
  • Рабочая группа 3 — отвечала за анализ защищенности портала mipt.ru.

Перед началом работ, Альтирикс Групп разработала и согласовала формы отчетных документов и Программу аудита, содержащую формы опросных листов для решения поставленных задач.

Рабочий процесс строился следующим образом:

  1. Запрос информации от Заказчика и первичное заполнение опросных листов.
  2. Анализ полученной информации, формирование Плана онлайн-интервью специалистов Заказчика.
  3. Онлайн-интервью специалистов Заказчика (по итогам всех интервью составлялся протокол интервью, который согласовывался с интервьюируемыми специалистами по электронной почте).
  4. Очное обследование с целью сбора недостающей информации и проведения дополнительных интервью. Параллельно велась работа по анализу защищенности портала mipt.ru.
  5. Разработка и согласование отчетных документов.

Такой подход позволил Альтирикс Групп выполнить проект в короткие сроки с высоким качеством проработки. Для примера — Отчет по итогам аудита составляет более 600 страниц полезного материала.

Результаты проекта

    Унификация

    Разработаны стандартизированные карточки учета ИТ-сервисов и информационных систем персональных данных

    Инвентаризация

    Проведена инвентаризация оборудования, программного обеспечения, средств защиты информации и телекоммуникационных помещений

    Соответствие

    Выполнена оценка текущего состояния защиты информации в соответствии с требованиями НПА и даны подробные рекомендации

    Практическая безопасность

    Выполнена оценка защищенности портала mipt.ru и даны рекомендации по устранению уязвимостей

    Цифровизация

    Выполнена оценка компонентной модели ИТ бизнес-процессов МФТИ и анализ зависимостей процессов от ИТ (информационных систем)

    Развитие (Дорожная карта)

    Выполнены проектирование и бюджетная оценка трёх концепций построения системы защиты информации, предполагающие разный уровень инвестирования и стоимость владения

Запросить консультацию или аналогичный проект

    Прикрепить файл

    Разрешенные форматы файлов: jpg, jpeg, png, gif, pdf, doc, docx, ppt, pptx, odt, avi, ogg, m4a, mov, mp3, mp4, mpg, wav, wmv. Размер файла до 10 Мбайт.

    Я согласен с условиями обработки персональных данных и Политикой конфиденциальности