Аудит информационной безопасности в нефтегазовой компании

Задача

Клиент — организация, входящая в перечень субъектов критической информационной инфраструктуры (КИИ) нефтегазовой отрасли, — получил предписание регулятора о проведении независимого аудита ИБ в соответствии с Федеральным законом № 187-ФЗ и требованиями ФСТЭК России.

Цели аудита:

• оценить соответствие ИТ-инфраструктуры требованиям категорирования КИИ,
• выявить уязвимости в периметре, сегментах АСУ ТП и корпоративной сети,
• проверить реализацию мер защиты, заявленных в паспорте КИИ,
• подготовить заключение для подачи в ГосСОПКА.

Особые условия: работа с изолированными сегментами, невозможность остановки производственных систем, необходимость учёта специфики АСУ ТП.

Решение

Мы провели комплексный аудит в три этапа, с соблюдением требований методических рекомендаций ФСТЭК и с учётом особенностей промышленной ИТ-среды.

Этап 1. Документальный анализ

• Изучили паспорт КИИ, архитектурные схемы, политики ИБ, журналы инцидентов.
• Проверили соответствие мер защиты уровням «значимый» и «критический» по Приказу ФСТЭК № 239.
• Проанализировали состав средств защиты: российские СЗИ, СКЗИ, СЗИП, системы обнаружения вторжений.

Этап 2. Техническое обследование

• Провели безопасное сканирование корпоративного сегмента (с исключением АСУ ТП из активного тестирования).
• Выполнили ручной аудит конфигураций:
• контроллеров домена (Windows Server),
• сетевого оборудования (Cisco, MikroTik),
• почтового сервера,
• систем мониторинга.
• Проверили реализацию сегментации: наличие VLAN, ACL, межсетевых экранов между АСУ ТП и корпоративной сетью.
• Оценили многофакторную аутентификацию: интеграция  с AD и СКУД.
• Проверили резервное копирование и восстановление ключевых систем.

В АСУ ТП использовали пассивные методы: анализ логов, проверка конфигураций по предоставленным дампам, без активного сканирования.

Этап 3. Формирование выводов и рекомендаций

• Составили перечень несоответствий:
• отсутствие изоляции сервера резервного копирования от пользовательской сети,
• устаревшие сертификаты на шлюзах,
• недостаточная сегментация в Wi-Fi сегменте для гостей.
• Предложили корректирующие меры с приоритезацией:
• срочные (в течение 7 дней): настройка ACL, обновление сертификатов,
• плановые (в течение 90 дней): развёртывание дополнительного межсетевого экрана перед АСУ ТП.
• Подготовили отчёт в формате, пригодном для загрузки в ГосСОПКА, с подписью уполномоченного специалиста.

Результат

• Выполнен соответствующий законодательству аудит ИБ в полном объёме.
• Заказчик получил готовый пакет документов для подачи в регуляторные органы.
• Выявлены и устранены риски, не видимые при штатной эксплуатации.
• Усилены меры защиты без остановки производственных процессов.
• Подтверждено соответствие ключевых сегментов требованиям 187-ФЗ и Приказа № 239.

Аудит стал не формальной проверкой, а точкой отсчёта для системного повышения зрелости ИБ в компании, работающей в одной из самых защищаемых отраслей страны.