Ситуация
ЗАО «СИБПРО» с 1991 года занимается изготовлением защищенной от подделок полиграфической продукции для субъектов РФ и стран СНГ. Изготовление данной продукции осуществляется с соблюдением всех режимных условий и требований, предъявляемых к предприятиям такого профиля. ЗАО «СИБПРО» один из крупнейших в России производителей лотерейных билетов со стираемым покрытием и рулонных лотерейных билетов, реализуемых через аппараты по их продаже. Также данное предприятие изготавливает бланки ценных бумаг, образовательных и медицинских документов, бланки для совершения нотариальных действий, карты экспресс-оплаты услуг мобильной связи.
ЗАО «СИБПРО» было необходимо провести оценку соответствия программно-аппаратных комплексов требованиям ФСТЭК РФ. Реализацией проекта занялась компания Softline, обладающая подтвержденными полномочиями на проведение аттестации объектов информатизации и большим опытом в сфере обеспечения IT-безопасности.
Решение
Специалистами компании был произведен сбор необходимых данных о составе аттестуемых средств объекта информатизации, включающего в себя программно-аппаратные комплексы, после чего разработаны программа и методика испытаний.
Аттестационные мероприятия включали в себя экспертно-документальный метод и проверку комплекса функций защиты информации от несанкционированного доступа при помощи тестирующих средств, сертифицированных ФСТЭК. В ходе проверок технических и программных средств организации были изучены процессы хранения и обработки защищаемых сведений, произведен анализ информационных потоков и вероятных каналов утечки данных, методы распределения ответственности за выполнение требований в части их защиты и уровень подготовки кадров. Помимо этого, был проведен ряд испытаний подсистем управления доступом, регистрации и учета. По результатам мероприятий заказчику был передан комплект аттестационной документации, аттестат соответствия системы требованиям IT-безопасности, который подтвердил эффективность имеющейся у «СИБПРО» системы защиты данных.
Результаты
«Аттестация объектов информатизации является неотъемлемой частью работ по обеспечению IT-безопасности. Она позволяет в реальных условиях эксплуатации оценить соответствие применяемого комплекса мер по обеспечению защиты информации требуемому уровню. Высокая степень подготовки сотрудников клиента в области ИБ, отсутствие несоответствий требованиям и каких-либо замечаний значительно ускорило прохождение аттестации», –
Денис Поршин, менеджер по продаже решений компании Softline.
Успешное прохождение аттестации является важным этапом в деятельности нашей организации, так как соответствие всем требованиям в сфере информационной безопасности и лицензионным требованиям на изготовление защищенной полиграфической продукции позволит привлечь новых заказчиков в государственном и коммерческом секторах рынка. Специалисты Softline тщательно провели необходимые исследования и в короткие сроки предоставили полный пакет документов.
«Инфосекьюрити» (входит в ГК Softline) создала полноценное решение SOC-as-a-Service для ПАО «Государственная транспортная лизинговая компания» на базе существующей у заказчика SIEM.
«В итоге мы получили эффективный центр мониторинга и реагирования на инциденты ИБ, который легко адаптируется под любые запросы компании. Кроме того, SOC-a-service дает возможность оперативно вносить изменения в работу системы, что важно для нас не меньше, чем уверенность в надежной защищенности корпоративной инфраструктуры. Сейчас сервис запущен в промышленную эксплуатацию и показывает очень достойные результаты», –
Разработанный портал запущен в эксплуатацию, но еще предстоит объемный этап наполнения его контентом. Презентация проекта Softline руководству банка прошла успешно, было одобрено его дальнейшее развитие. Уже сейчас ведется работа по формированию требований к новому этапу работ. В перспективе на базе портала будет построена система управления проектами, созданы различные сервисные модули для планирования мероприятий и ресурсов.
Благодаря миграции на новую систему Microsoft Exchange нам удалось существенно снизить затраты на инфраструктурное обслуживание. Мы также избежали дополнительных расходов с помощью мобильного доступа, теперь можно не внедрять дополнительное программное обеспечение. Проведенная компанией Softline модернизация электронной почты обеспечила также гибкий подход к приобретению лицензий. Архивация позволила исключить потерю данных и избежать многократных процедур по оптимизации объема информации, хранящейся в почтовых ящиках пользователей.
Эффективное выстраивание системы безопасности информационных ресурсов банка в соответствии с требованиями международных стандартов в сфере безопасности, таких как PCIDSS, является важнейшей задачей службы управления информационной безопасностью банка. Мы несем большую ответственность перед нашими клиентами и поэтому должны внимательно отслеживать уровень защищенности нашей системы. Работа специалистов компании Softline отличалась комплексным подходом к решению задач и высоким профессионализмом, что полностью соответствовало нашим требованиям.
Развертывание портала на базе SharePoint Foundation прошло в строго оговоренные сроки без привлечения дополнительных временных и денежных резервов. Мы нацелены в дальнейшем развивать это решение совместно с Softline и создавать новые функциональные блоки. Также у нас в ходе проекта возникла идея установить информационные киоски в цехах и на проходной, чтобы сотрудники, не имеющие личного ПК, могли получить удобный доступ к справочной информации и были в курсе последних новостей предприятия.
В результате работы с командой Softline мы получили понятный и четкий план по устранению рисков и недочетов в Active Directory, выявленных за время аудита. Этим рекомендациям мы уже начали активно следовать, совершенствуя свои бизнес-процессы и устраняя факторы, которые тем или иным образом влияют на работоспособность системы. Для нас важно видеть, что инфраструктура становится все более безопасной, отказоустойчивой и производительной. Что касается самих работ, то процесс аудита никак не мешал нашей текущей работе – более того, уже во время сессий инженеры Softline давали подробные пояснения относительно того, почему возникли и как устранить те или иные недочеты. Благодаря проекту мы начали менять свой подход к организации AD. К примеру, один из таких положительных «эффектов» – это введение в нашей организации регулярного аудита прав для учетных записей пользователей. Такой проактивный подход поможет нам обезопасить нашу инфраструктуру, оптимизировать расходы на поддержку программного обеспечения, при этом получая максимальный эффект от его использования, а также снизить риски непрерывности бизнеса.
Благодаря внедрению инфраструктуры открытых ключей мы исключили возможность перехвата служебной информации инсайдерами, передаваемые внутри компании данные зашифрованы. Совместная работа со специалистами Softline в этом проекте, полученные инструкции администраторов и рекомендации позволяют нам самостоятельно управлять системой и развивать ее.
Предложенное специалистами по информационной безопасности Softline решение McAfee Data Loss Prevention полностью удовлетворило наши нужды в сфере защиты информации. Являясь крупной производственной компанией, ГК «Гражданпроект» понимает необходимость высокой степени защиты своих информационных ресурсов. Слаженная и эффективная работа всей команды Softline, начиная со стадии обсуждения возможного партнерства и заканчивая постпроектным периодом, оставила положительное впечатление, ощутимые результаты и желание сотрудничать в дальнейшем