ИБ под реальность: аудит, модель угроз и план защиты для компании с распределенной инфраструктурой

Клиент — компания, которая управляет объектами и связанными с ними операционными процессами. Для организаций такого профиля информационная безопасность часто выглядит не так, как в классическом ИТ‑бизнесе: основной актив — не код, а процессы, доступы, документы, подрядчики и непрерывность работы.
Внутри компании обрабатываются персональные данные сотрудников и представителей контрагентов, финансовые документы, переписка, договорные материалы и документы по объектам. Снаружи же постоянное взаимодействие с подрядчиками, сервис‑провайдерами и партнерами.
13.01.2023
В такой модели риски возникают не только из‑за технических уязвимостей, но и из‑за цепочек доступов: кто и на каких основаниях может видеть документы, менять реквизиты, получать выгрузки, администрировать системы и подключаться к внутренним сервисам.
Отдельно существенную роль играл контур внутренних требований: для клиента были важны не только общие практики ИБ, но и соответствие внутренним стандартам контроля.
04/07/25
Б-152
ИБ под реальность: аудит, модель угроз и план защиты для компании с распределенной инфраструктурой

Запрос

Клиент обратился с задачей провести аудит информационной безопасности и подготовить рекомендации.

Проект строился от диагностики к решениям: понять текущее состояние, определить актуальные угрозы и сформировать обоснованный план улучшений, который можно защитить внутри группы и реализовать без потери управляемости.

Критических сроков не было, но клиент ожидал быстрых ответов по горячим вопросам и проблемам. Это стало важным элементом взаимодействия: команде нужно было не только подготовить итоговые документы, но и оперативно помогать по текущим вопросам в ходе проекта.

Что сделало проект нетипичным

1. Моделирование угроз с учетом внешней обстановки

Для компании с распределенными объектами и большим числом внешних взаимодействий угрозы не ограничиваются типовым набором киберрисков.

При формировании модели угроз важно учитывать не только повседневные инциденты: фишинг, компрометацию почты, утечки, ошибки администрирования, но и более целевые сценарии внешнего воздействия. Интерес к организации может быть связан не только с ней самой, но и с ее отраслевым контуром, подрядчиками, партнерами или ролью в более широкой цепочке.

Это влияет на приоритеты: какие активы защищать в первую очередь, какие контуры изолировать, где усиливать мониторинг, резервирование и управление доступами.

2. Внутренние требования группы

На ход работ влияли внутренние требования контроля. Это отдельный слой обязательств: помимо вопроса «что нужно сделать по здравому смыслу», появляется вопрос «что нужно подтвердить внутренними правилами».

Такой контекст повышает значение обоснований: почему выбираются именно такие меры, как они закрывают угрозы и почему без них риски остаются неприемлемыми.

3. Не просто аудит, а проектирование системы защиты

Проект не ограничился рекомендациями общего характера. Работа включала разработку модели угроз, технического задания, проектирование системы защиты и подготовку внутренних локальных нормативных актов по ИБ.

Цель была не просто описать проблемы, а выстроить понятный контур изменений.

Ключевые риски, на которые опирался проект

Человеческий фактор и цепочки доступов

В компаниях с большим количеством ролей и внешних подрядчиков риски часто начинаются не с сложной атаки, а с обычной неуправляемости доступов.

Если права распределены избыточно или не пересматриваются, риск реализуется быстро: ошибки в документах, несанкционированные выгрузки, компрометация учетных записей, доступ бывших сотрудников или подрядчиков к системам.

Внешние подрядчики и сервис‑контуры

Чем больше подрядчиков, тем больше точек входа: почта, сервис‑деск, удаленный доступ, обмен документами, учетные записи в общих системах.

Без правил и договорной дисциплины контур становится трудно контролируемым: формально ответственность есть, а фактически непонятно, кто, когда и к чему имеет доступ.

Целевые воздействия

С учетом внешней обстановки в модели угроз учитывались сценарии, когда атака может быть направлена на организацию как на часть цепочки, а не только из‑за внутренней слабости.

Это повышает требования к сегментации, резервированию, управлению привилегиями, контролю удаленного доступа и мониторингу событий.

Как строили работу

Методы были стандартными для проектов такого типа: интервью и анкетирование, затем аудит и проектирование.

1. Интервью и сбор фактуры

Через интервью собрали информацию о процессах, системах, ролях и текущих правилах ИБ. Это нужно, чтобы не назначать меры без понимания реальных потоков информации, технических ограничений и зон ответственности.

2. Аудит ИБ

Провели аудит текущего состояния безопасности и выявили зоны, где защита не соответствовала требованиям, рискам или внутренним ожиданиям контроля.

3. Разработка модели угроз

Сформировали модель угроз с учетом специфики деятельности клиента и внешней обстановки. Модель стала основой для выбора приоритетов и обоснования мер защиты.

4. Техническое задание и проектирование системы защиты

Подготовили техническое задание и спроектировали систему защиты так, чтобы меры были реализуемыми и поддерживали внутренние требования контроля.

5. Разработка внутренних ЛНА по ИБ

Разработали внутренние локальные нормативные акты по ИБ. Для компаний с большим количеством ролей и подрядчиков ЛНА — не бумажный слой, а способ закрепить правила: кто и как получает доступ, что считается допустимым, как реагировать на инциденты, кто утверждает изменения.

6. Обоснование закупки средств защиты

Отдельной ценностью проекта стала помощь в обосновании закупки необходимых средств защиты.

В корпоративной среде это критично: без понятного обоснования закупки зависают, а риски остаются. Модель угроз и техническое задание помогают перевести риск в понятные аргументы для руководства и внутреннего согласования.

Что было сделано

  • Проведены интервью и анкетирование.
  • Выполнен аудит информационной безопасности.
  • Разработана модель угроз.
  • Подготовлено техническое задание.
  • Выполнено проектирование системы защиты.
  • Разработаны внутренние ЛНА по ИБ.
  • Подготовлены обоснования, необходимые для закупки средств защиты.

Результат для клиента

Проект дал два ключевых эффекта: повышение уровня соответствия требованиям и экономию времени при принятии решений.

По итогам аудита уровень выполнения требований оценивался примерно в 50%. После завершения проекта показатель повысился выше 90%.

Клиент получил:

  • более управляемую систему защиты, привязанную к модели угроз и реальным процессам;
  • готовые документы и техническое задание, которые ускоряют внедрение и снижают риск бесконечных согласований;
  • аргументацию для закупки необходимых средств защиты;
  • быстрый отклик на горячие вопросы в ходе проекта.

Вывод для рынка

Кейс полезен компаниям с распределенной инфраструктурой, большим числом подрядчиков, внешними сервисными контурами и значимыми требованиями внутреннего контроля.

Типовая ошибка — строить защиту по шаблону, не учитывая контекст угроз и реальные цепочки доступов. В таких организациях риски идут и от внутренних сотрудников, и от внешних подрядчиков, и от целевых воздействий, и от комбинации этих факторов.
Практический вывод: при создании системы защиты важно учитывать множество источников угроз и переводить их в понятные решения — от модели угроз до ЛНА и обоснований закупок. Тогда безопасность перестает быть набором разрозненных мер и становится управляемым контуром, который выдерживает изменения внешней среды.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме