«Инфосистемы Джет» и ГК «Русагро»: создание унифицированной системы ИБ

Развитие проекта

Масштабы холдинга, количество территориально распределенных подразделений с разной степенью защищенности и отношением к обеспечению ИБ способствовали выбору итерационного подхода к созданию бизнес-ориентированной системы ИБ.

Первый этап 

В 2017 г. был проведен комплексный ИБ-аудит и сформирована долгосрочная стратегия ИБ

География аудита: 4 города (Москва, Екатеринбург, Тамбов, Белгород) и прилежащие области, в целом — 12 территориальных площадок 

Первичное ИБ-обследование охватило центральный офис и производственные площадки всех бизнес-направлений ГК «Русагро»: мясного, масложирового, сахарного и сельскохозяйственного. Для измерения уровня ИБ выбрали адаптированную под ГК «Русагро» модель зрелости (CMMI), которая позволяет получить унифицированную оценку уровня зрелости процессов ИБ в различных подразделениях агрохолдинга.

Аудит ИТ-инфраструктуры

• 16 ключевых информационных систем
• 500+ серверов
• 4700 АРМ
• 80 контролей ИБ

Дополнительно «Инфосистемы Джет» провела пентесты: внешний, внутренний, веб-приложений, Wi-Fi, социотехническое тестирование. Также были проведены 82 интервью и подготовлено 1487 страниц отчетных документов.

Проект занял 60 рабочих дней и позволил наметить общий вектор для системного повышения зрелости ИБ в компании.

Результат: сформированы стратегия развития ИБ на пять лет и система оценки для отслеживания эффективности реализации проектов стратегии.

В стратегии были заложены механизмы контроля: ежегодный GAP-анализ изменений уровня зрелости обеспечения ИБ-процессов и оценка требуемых ресурсов, учитывающая специфику различных бизнес-направлений компании.

Второй этап

На втором этапе (2018–2022 гг.) «Инфосистемы Джет» ежегодно проводила оценку зрелости процессов обеспечения ИБ в ГК «Русагро» с демонстрацией результатов сравнения между прошлым и текущим годом.

Работы охватывали не только корпоративный сегмент ИТ-инфраструктуры, но и технологический — промышленные автоматизированные системы, обеспечивающие работу производственных цепочек.

• 15 площадок
• 16 информационных систем
• 4 технологические системы (АСУ ТП)

От «Инфосистемы Джет» на GAP-аудитах одновременно работали четыре команды экспертов — по одной на каждое бизнес-направление холдинга, чтобы выдержать сжатые сроки в 2-2,5 месяца. В общей сложности — порядка 15 человек. 

Менеджеры проекта взаимодействовали напрямую с директорами–руководителями служб ИБ по каждому бизнес-направлению, координируя проведение работ. Состав аудиторов менялся от года к году, чтобы сохранить непредвзятость оценок.

В рамках аудита специалисты проводили анализ защищенности, меняя объекты и виды тестирований на проникновение ежегодно, и оценивали эффективность применяемых мер на практике. Такие работы позволяют оценить реальную вероятность взлома со стороны внешнего и внутреннего нарушителя.

Границы корпоративной и производственной ИТ-инфраструктуры, в которых проводился комплексный аудит:

По результатам была внедрена современная система мониторинга событий ИБ во всех бизнес-направлениях ГК «Русагро» с подключением 800 источников, системы контроля привилегированных пользователей и защиты веб-приложений. В компании был развернут свой собственный SOC — центр мониторинга информационной безопасности.

Все это позволило достичь целей снижения рисков нарушения доступности систем, что является критичным для непрерывного производства. 

Третий этап

Переход ГК «Русагро» на новую систему оценки — «Модель здоровья ИБ» — и ежегодный ИБ-аудит в 2023 г. 

CMMI — хорошая модель оценки на старте, но затем многие идут путем ее усложнения и кастомизации под себя. Такой подход выбрала и ГК «Русагро». 

Новая модель оценки уровня ИБ позволяет:

• выстроить систему KPI и векторов развития ИТ- и ИБ-направлений, производить оценку показателей в нужных для менеджмента срезах;
• повысить прозрачность взаимодействия между подразделениями службы ИБ и другими подразделениями компании в рамках сервисного подхода;
• эффективно отслеживать актуальность локальных нормативных документов;
• объективно оценить эффективность процессов блока ИБ и правильно расставить приоритеты в рамках их развития.

Модель основывается на процессном управлении ИБ, связывает ИБ- и ИТ-показатели с целями бизнеса. С ее помощью определяются показатели операционного и стратегического уровня для правильного принятия управленческих решений и фиксируются пороговые и целевые состояния показателей. 

Специалисты разработали систему дашбордов, которая визуализирует значения и связь девяти ключевых бизнес-показателей с более чем 50 операционными метриками ИБ-процессов. 

Кроме ежегодного аудита ИТ- и ИБ-инфраструктуры холдинга, в состав работ вошли:

• аудит корреляционных правил SIEM-системы и рекомендации по их совершенствованию;
• тестирование на проникновение веб-ресурсов и внутреннее тестирование на проникновение, тестирование Wi-Fi сетей;
• анализ на возможность реализации недопустимых для бизнеса событий и разработка рекомендаций;
• анализ системы обработки и защиты персональных данных.

Проект сегодня 

Сотрудничество между «Инфосистемы Джет» и ГК «Русагро» длится уже шесть лет и затрагивает не только направление информационной безопасности. 

ГК «Русагро» активно внедряет инновационные технологии как с точки зрения оборудования, так и с точки зрения бизнес-практик. Так, специалисты «Инфосистемы Джет» спроектировали и внедрили защищенный контейнерный ЦОД для ГК «Русагро», который объединил 12 площадок (включая 3 завода) в Приморье. Инновационная инфраструктура способствует не только оптимизации текущих рабочих процессов, но и дальнейшей цифровизации предприятий, входящих в агрохолдинг. 

Кроме того, ИТ-компания совместно с ГК «Русагро» разработала интеллектуальную систему планирования уборки урожая. Решение рассчитывает техническую спелость урожая, учитывает погодные факторы и планирует своевременную уборку полей.

Для специалистов ИТ и ИБ ГК «Русагро» «Инфосистемы Джет» каждый год проводит однодневную конференцию, где обсуждаются итоги обследования, проводятся обзор изменений законодательства в сфере ИБ и киберучения, обсуждаются планы по развитию ИБ на следующий год. 

Планы развития

ГК «Русагро» уже использует более сложную систему оценки уровня ИБ. Следующий этап — это повышение операционной эффективности, в том числе за счет киберучений, и переход на всеобъемлющую сервисную модель ИБ, которая позволит:

• снизить капитальные и операционные расходы на ИТ и ИБ;
• нивелировать нехватку квалифицированных ИБ-специалистов на географически разнесенных объектах;
• обеспечить прогнозируемый уровень защиты с четкими SLA, необходимую масштабируемость и быстрое подключение сервисов для новых компаний.