Подписаться
Читать в телеграм
/ Переход «Русагро»на новую систему оценки — «модель здоровья ИБ» — и ежегодный ИБ-аудит в 2023 году.
Группа компаний «Русагро» за несколько лет прошла большой путь от набора разнородных подсистем информационной безопасности (ИБ) в различных подразделениях по всей России к централизованной функции ИБ с едиными метриками эффективности, мониторингом ИБ, стандартами сервисного обслуживания. За это время выстраиваемая защита проходила проверку не только путем регулярных аудитов, но и посредством имитации хакерских атак в рамках пентестов, а также в процессе отражения реальных атак на ИТ-инфраструктуру.
«Управлению ИБ нужно держать руку на пульсе, чтобы оперативно оценивать риски и перераспределять ресурсы. Важно одновременно не тормозить бизнес-процессы и при этом не снижать безопасность даже на короткий срок. Мы выстроили такую систему ИБ, которая поддерживает безопасное развитие бизнеса».
Александр Данченков
О компании
ГК «Русагро» — крупнейший вертикально интегрированный агрохолдинг России. Занимает лидирующие позиции в масложировой отрасли, в производстве сахара, свиноводстве, растениеводстве и поставляет продукцию в 80 регионов России и более чем в 49 стран мира.
222,9 млрд руб.
оборот (2022, RAEX)
Более 19 000
сотрудников
49 стран
география клиентов
668 000 га
земельный банк
Цель и требования
Перед ГК «Русагро» стояла задача обеспечения безопасности ИТ-инфраструктуры в корпоративном и технологическом сегментах (АСУТП) — более 90 информационных систем, 500 серверов и 4,7 тыс. рабочих станций, распределенных по четырем основным бизнес-направлениям холдинга в 13 регионах России.
При решении задачи потребовалось создание централизованной системы ИБ и единой внутрихолдинговой системы контроля и оценки уровня ИБ всего агрохолдинга.
Развитие проекта
Масштабы холдинга, количество территориально распределенных подразделений с разной степенью защищенности и отношением к обеспечению ИБ способствовали выбору итерационного подхода к созданию бизнес-ориентированной системы ИБ.
«Мы сосредоточили силы на защите активов, особенно важных и критичных для обеспечения жизнестойкости бизнеса. Проранжировали активы и процессы по ценности для бизнеса и применяем для их защиты соизмеримые средства, системы».
Александр Данченков
В 2017 году был проведен комплексный ИБ-аудит и сформирована долгосрочная стратегия ИБ
«Информатизация и автоматизация бизнеса ГК «Русагро» стремительно нарастали в последние 10 лет. Около шести лет назад пришло ясное понимание, что говорить о бесшовно и эффективно функционирующей ИБ на уровне всей группы компаний, об устойчивости ИТ-инфраструктуры и автоматизированных систем управления техпроцессами невозможно. Так стартовала стройка масштабного комплекса ИБ, которая заняла пять лет».
Артем Петров
Первичное ИБ-обследование охватило центральный офис и производственные площадки всех бизнес-направлений ГК «Русагро»: мясное, масложировое, сахарное и сельскохозяйственное. Для измерения уровня ИБ выбрали адаптированную под «Русагро» модель зрелости (CMMI), которая позволяет получить унифицированную оценку уровня зрелости процессов ИБ в различных подразделениях агрохолдинга.
«ГК «Русагро» — это образцовый пример последовательного и продуманного подхода к выстраиванию ИБ, грамотных и взвешенных инвестиций в развитие систем защиты и процессов. Важно и то, что развитие ИБ шло сразу в нескольких очень непохожих друг на друга бизнесах группы. При этом не получилось "лоскутного одеяла", когда участки с хорошим уровнем защищенности перемежаются "дырявой" заброшенной ИТ-инфраструктурой».
Андрей Янкин
На втором этапе (2018–2022 гг.) «Инфосистемы Джет» ежегодно проводила оценку зрелости процессов обеспечения ИБ в ГК «Русагро» с демонстрацией результатов сравнения между прошлым и текущим годом
Аудит ИТ-инфраструктуры
16
ключевых информационных систем
500+
серверов
4700
АРМ
80
контролей ИБ
Дополнительно «Инфосистемы Джет» провела пентесты: внешний, внутренний, веб-приложений, Wi-Fi, социотехническое тестирование. Также были проведены 82 интервью и подготовлено 1487 страниц отчетных документов.
Проект занял 60 рабочих дней и позволил наметить общий вектор для системного повышения зрелости ИБ в компании.
Результат: сформированы стратегия развития ИБ на пять лет и система оценки для отслеживания эффективности реализации проектов стратегии.
82
интервью
1487
страниц отчетных документов
60
рабочих дней
В стратегии были заложены механизмы контроля: ежегодный GAP-анализ изменений уровня зрелости обеспечения ИБ-процессов и оценка требуемых ресурсов, учитывающая специфику различных бизнес-направлений компании.
Работы охватывали не только корпоративный сегмент ИТ-инфраструктуры, но и технологический — промышленные автоматизированные системы, обеспечивающие работу производственных цепочек.
- ИТ-инфраструктура: служба каталогов, корпоративная почта, серверы приложений и баз данных, виртуальная инфраструктура;
- Информационные системы: бизнес-приложения — расчет ФОТ, управление персоналом, система электронного документооборота, системы управления производством, система управления холдингом.
От «Инфосистемы Джет» на GAP-аудитах одновременно работали 4 команды экспертов — по одной на каждое бизнес-направление холдинга, чтобы выдержать сжатые сроки в 2–2,5 месяца. В общей сложности — порядка 15 человек.
15
площадок
16
информационных систем
4
технологические системы (АСУ ТП)
«По результатам каждого аудита мы ежегодно корректировали стратегию и план мероприятий, отдавая приоритет самым актуальным и важным, учитывали новые угрозы и вызовы, актуальные именно для нашей компании».
Александр Данченков
Менеджеры проекта взаимодействовали напрямую с руководителями служб ИБ по каждому бизнес-направлению, координируя проведение работ. Состав аудиторов менялся от года к году, чтобы сохранить непредвзятость оценок.
В рамках аудита специалисты провели анализ защищенности, меняя объекты и виды тестирований на проникновение ежегодно, и оценили эффективность применяемых мер на практике. Такие работы позволяют оценить реальную вероятность взлома со стороны внешнего и внутреннего нарушителя.
По результатам была внедрена современная система мониторинга событий ИБ во всех бизнес-направлениях ГК «Русагро» с подключением 800 источников, системы контроля привилегированных пользователей и защиты веб-приложений. В компании был развернут свой собственный SOC — центр мониторинга информационной безопасности.
Переход «Русагро»на новую систему оценки — «модель здоровья ИБ» — и ежегодный ИБ-аудит в 2023 году
CMMI — хорошая модель оценки на старте, но затем многие идут путем ее усложнения и кастомизации под себя. Такой подход выбрала и ГК «Русагро».
Новая модель оценки уровня ИБ позволяет:
- выстроить систему KPI и векторов развития ИТ- и ИБ-направлений, производить оценку показателей в нужных для менеджмента срезах;
- повысить прозрачность взаимодействия между подразделениями службы ИБ и другими подразделениями компании в рамках сервисного подхода;
- эффективно отслеживать актуальность локальных нормативных документов;
- объективно оценить эффективность процессов блока ИБ и правильно расставить приоритеты в рамках их развития.
Модель основывается на процессном управлении ИБ, связывает ИБ- и ИТ-показатели с целями бизнеса. С помощью нее определяются показатели операционного и стратегического уровня для правильного принятия управленческих решений и фиксируются пороговые и целевые состояния показателей.
Разработали систему дашбордов, которая визуализирует значения и связь девяти ключевых бизнес-показателей с более чем 50 операционными метриками ИБ-процессов.
Кроме ежегодного аудита ИТ- и ИБ-инфраструктуры холдинга, в состав работ вошли:
- аудит корреляционных правил SIEM-системы и рекомендации по их совершенствованию;
- тестирование на проникновение веб-ресурсов и внутреннее тестирование на проникновение, тестирование Wi-Fi-сетей;
- анализ на возможность реализации недопустимых для бизнеса событий и разработка рекомендаций;
- анализ системы обработки и защиты персональных данных.
Все это позволило достичь целей снижения рисков нарушения доступности систем, что является критичным для непрерывного производства
Проект сегодня
Сотрудничество между компанией «Инфосистемы Джет» и ГК «Русагро» длится уже шесть лет и затрагивает не только направление информационной безопасности.
ГК «Русагро» активно внедряет инновационные технологии как с точки зрения оборудования, так и с точки зрения бизнес-практик. Так, специалисты «Инфосистемы Джет» спроектировали и внедрили защищенный контейнерный ЦОД для ГК «Русагро», который объединил 12 площадок (включая 3 завода) в Приморье. Инновационная инфраструктура способствует не только оптимизации текущих рабочих процессов, но и дальнейшей цифровизации предприятий, входящих в агрохолдинг.
Кроме того, ИТ-компания совместно с ГК «Русагро» разработала интеллектуальную систему планирования уборки урожая. Решение рассчитывает техническую спелость урожая, учитывает погодные факторы и планирует своевременную уборку полей.
«Для меня важно, что наша информационная безопасность сегодня не является тормозом для развития ИТ и бизнеса группы в целом. Наоборот, все направлено на поддержку этих изменений. За счет сервисного подхода участие ИБ понятно и прозрачно. Кроме того, проведенная реформа позволила сблизить позиции ИТ- и ИБ-направлений, сделать из них союзников и партнеров, что также считаю большим достижением».
Артем Петров
Для специалистов ИТ и ИБ «Русагро» «Инфосистемы Джет» каждый год проводит однодневную конференцию, где обсуждаются итоги обследования, проводятся обзор изменений законодательства в сфере ИБ и киберучения, обсуждаются планы по развитию ИБ на следующий год.
ГК «Русагро» — это образцовый пример последовательного и продуманного подхода к выстраиванию ИБ, грамотных и взвешенных инвестиций в развитие систем защиты и процессов. Важно и то, что развитие ИБ шло сразу в нескольких очень непохожих друг на друга бизнесах группы. При этом не получилось «лоскутного одеяла», когда участки с хорошим уровнем защищенности перемежаются «дырявой» заброшенной ИТ-инфраструктурой.
Результаты и планы развития
За счет итерационного подхода группе компаний сравнительно быстро удалось достичь равномерно высокой зрелости ИБ по всем бизнесам группы — от устранения локальных проблем до бизнес-ориентированной модели ИБ и создания выделенных центров компетенций по направлениям:
- прикладные системы защиты информации и криптографическая защита;
- мониторинг и реагирование на инциденты;
- защита сетевой инфраструктуры;
- архитектура ИБ и методология.
ГК «Русагро» уже использует более сложную систему оценки уровня ИБ. Следующий этап — это повышение операционной эффективности, в том числе за счет киберучений, и переход на всеобъемлющую сервисную модель ИБ, которая позволит:
- снизить капитальные и операционные расходы на ИТ и ИБ;
- нивелировать нехватку квалифицированных ИБ-специалистов на географически разнесенных объектах;
- обеспечить прогнозируемый уровень защиты с четкими SLA, необходимую масштабируемость и быстрое подключение сервисов для новых компаний.
Ключевые цифры
2,5
месяца срок проведения ежегодного иб-аудита холдинга
20
ИТ-систем в среднем проходили аудит: 16 информационных, 4 технологических (АСУ ТП)
