Ситуация
Автомобильный завод «УРАЛ», входящий в состав «Группы ГАЗ», является одним из крупнейших российских предприятий по выпуску грузовых автомобилей. В преддверии вступления в силу требований ФЗ №152 «О защите персональных данных» о приведении информационных систем персональных данных в соответствие с его нормами руководство автозавода приняло решение о проведении проверки уязвимостей IT-инфраструктуры предприятия.
Ранее сотрудники заводского подразделения по информационной безопасности осуществляли самостоятельные проверки IT-инфраструктуры, но проведение полномасштабного аудита системы информационной безопасности было решено доверить специалистам.
Победу в объявленном закрытом конкурсе одержала компания Softline.
Решение
В ходе выполнения проекта были обозначены требования заказчика к уровню информационной безопасности в организации, получены данные о параметрах функционирования информационных систем, обрабатывающих персональные данные, изучена организационно-штатная структура и имеющиеся нормативно-распорядительные документы, касающиеся обработки и защиты информации. На основании проведенного анализа были разработаны и согласованы с клиентом: набор критериев для оценки системы защиты информации, модель угроз и модель нарушителя.
После проведения тестовых испытаний специалисты Softline предложили меры по устранению выявленных уязвимостей и угроз, подготовили итоговый отчет с оценкой текущего уровня информационной безопасности и общей эффективности IT-систем предприятия.
Результаты
«Реализация наших рекомендаций позволит в значительной степени повысить степень зрелости информационных процессов предприятия. Применение большинства рекомендаций не требует дополнительных капитальных затрат, поэтому они могут быть внедрены с использованием собственных ресурсов завода. В последнее время наблюдается рост числа аналитических проектов, совмещающих в себе лучшие мировые практики в области информационной безопасности с требованиями Российского законодательства в рамках ФЗ № 152. Методика, разработанная компанией Softline, позволяет в рамках одного проекта выработать рекомендации как по эффективному управлению информационной безопасностью, так и по приведению информационной системы в соответствие с требованиями закона».
Николай Агринский, руководитель инженерно-аналитической группы компании Softline
«Результаты аудита, проведенного на нашем предприятии, будут взяты за основу и транслированы на все дочерние организации «Группы ГАЗ». Таким образом, мы обеспечим полноценную защиту корпоративной системы безопасности», – рассказывает Сергей Ситников, директор по защите ресурсов ОАО «АЗ «УРАЛ»».
В процессе нашего сотрудничества компания Softline показала высокий уровень компетенций и глубокое понимание запросов и потребностей предприятия. Перед проектной командой Softline стояла задача оценки уровня безопасности информационных ресурсов, защиты персональных данных, а также разработки организационно-технических мероприятий для повышения уровня информационной безопасности. Эти задачи были решены своевременно, качественно и на высоком профессиональном уровне.
По результатам обследования программного обеспечения Microsoft, установленного в компании, специалисты Softline предоставили рекомендации по оптимизации пакета лицензий, сведения о наиболее выгодных и удобных программах лицензирования, подходящих под наши требования.
Мы очень довольны возможностями работы пользователей в терминальном режиме по сравнению с предыдущей версией операционной системы. Все эти преимущества оценили пользователи, которым нужно было переносить данные из терминальной сессии 2008 сервера на локальный компьютер. Также удобное нововведение состоит в том, что в Windows Server 2008 появилась возможность подключения к терминальному серверу локальных устройств различного типа. Для того чтобы не терять драгоценного времени, мы воспользовались Release Candidate версией операционной системы с целью еще до выпуска официального релиза принять решение о целесообразности ее внедрения. Как известно, время – деньги. Установка Release Candidate позволила нам в полной мере протестировать все возможности технологий 2008 сервера, оценить такие преимущества, как повышенная безопасность, быстродействие, расширенные политики в управлении правами доступа пользователей и расширение возможностей работы с терминальными сервисами.
Проект по модернизации почтовой системы был выполнен «под ключ», поскольку специалисты компании Softline самостоятельно подобрали, поставили и настроили требуемое оборудование, а затем профессионально произвели миграцию содержимого почтовых ящиков на Microsoft Exchange Server 2010. Мы довольны качеством проекта, а наши сотрудники приятно обрадованы новыми возможностями почты – теперь можно работать с почтовым ящиком практически с любого устройства и оптимально планировать свой рабочий день и время своих коллег. В результате выполнения работ мы также снизили затраты завода на сопровождение решения, поскольку MDaemon администрировался силами внешнего подрядчика, а с появлением Exchange мы смогли отказаться от данных услуг, передав управление новой системой квалифицированному специалисту нашего предприятия.
Признаться, мы не ожидали, что проект удастся осуществить настолько просто и быстро. Нас смущал довольно большой объем работ, связанных со сбором необходимых финансовых и юридических документов, а также сам процесс проверки ПО на лицензионную чистоту. Такие задачи не свойственны нашим техническим специалистам. Однако на практике оказалось, что эта часть проекта не столь обременительна: большую роль сыграло участие в проекте специалистов компании Softline, которые прекрасно организовали работу по первичному сбору и анализу необходимой информации. Не могу не отметить, что они одинаково глубоко знают и особенности лицензирования, и авторское право, и тонкости управления программными активами предприятия.
Компания «Гленмарк» работает в интеллектуально емкой сфере, поэтому защита любой информации, проходящей через корпоративную сеть, является очень важной задачей. От ее грамотного решения зависит целостность бизнеса, сохранность важнейшей информации о наших продуктах, рецептуре, уникальных научных разработках и т. д. Это – не тривиальная задача информационной безопасности, а вопрос защиты интеллектуальной собственности, являющейся частью наших конкурентных преимуществ и основой бизнеса. Решение Check Point UTM-1, которое было предложено и внедрено специалистами Softline, обеспечило выполнение всех критических требований бизнеса и доказало свою эффективность в работе. В скором времени специалисты Softline приступят к внедрению аналогичного проекта в представительствах компании в странах СНГ.
При выборе программного обеспечения для защиты IT-инфраструктуры мы ориентировались на поиск продукта, который хорошо зарекомендовал себя на российском рынке. Специалисты компании Softline предложили оптимальные условия поставки лицензий защитного решения «Лаборатории Касперского» и выполнили свою работу в установленные сроки.
Компания «АССМАНН Бератен + Планен» арендовала виртуальную инфраструктуру Softline для размещения системы Pilot-ICE.
«Pilot-ICE необходим для работы с особо требовательными заказчиками, желающими полностью контролировать процесс работы над проектом. В этом случае сроки подготовки документации значительно сокращаются. Использование облачной инфраструктуры Softline для решения конкретной задачи позволило нам оптимизировать затраты на ИТ и запустить систему документооборота в течение нескольких дней. Первоначально рассматривался и альтернативный вариант: полная замена офисной серверной инфраструктуры и сетевого оборудования на новые решения с их настройкой. Но в этом случае модернизация заняла бы несколько месяцев», –
Перед нашей компанией стояла задача максимально оперативно реализовать миграцию достаточно крупного фрагмента ИТ-инфраструктуры. Благодаря сотрудничеству с Softline, нам удалось разместить все необходимые ИТ-сервисы на территории РФ. В итоге к 1 сентября 2015 года, когда изменения в российском законодательстве вступили в силу, деятельность нашей компании по обработке персональных данных клиентов из РФ соответствовала как высоким техническим стандартам, так и юридическим требованиям.