Similar presentations:
Стратегия ИТ и ИБ. Состояние AS-IS
1.
| Кировский ССКСтратегия ИТ и ИБ
Состояние AS-IS
2.
Блоки презентации1
Предпосылки
и цели
стратегии
Слайды 4-5
|
Кировский ССК
2
3
4
ИТ-архитектура
ИТ-процессы
Организационная
структура ИТ
Слайды 6-10
Слайды 11-18
5
6
ИТинфраструктура
Информационная
безопасность
Слайды 22-40
Слайды 41-50
Слайды 19-21
www.kssk.ru
3.
| Кировский ССК1
Предпосылки
и цели стратегии
4.
ПРЕДВАРИТЕЛЬНОПредпосылки, проблемы
Неготовность к
потенциальной конкуренции
со строительными компаниями
федерального уровня
Планы по развитию ИТинфраструктуры
(использование новых ИТтехнологий,
масштабирование)
Низкая надежность,
отказоустойчивость и
производительность ИТинфраструктуры
Необходимость непрерывного
функционирования бизнеспроцессов
Отсутствие
централизированного сбора
потребностей от бизнеса в
части автоматизации
Несистемная и
неконтролируемая реализация
мер ИБ
Недостаточная прозрачность
бизнес-процессов
Значимость репутации
компании на региональном
уровне
ИТ
ИБ
Низкая внутренняя и внешняя
лояльность к HR-бренду
Ежегодное увеличение
количества атак
Нехватка ресурсов и
компетенций по ИТ
Нехватка ресурсов и
компетенций по ИБ
|
Кировский ССК
www.kssk.ru
5.
ПРЕДВАРИТЕЛЬНОБизнес-цели Холдинга на 3 года
Новые технологии и процессы
строительства: малоэтажные
дома, каркасное исполнение
Рост строительства в
1,87 раза в 2025 году
Выход на рынки соседних
регионов
80 000 м2
Объём строительства
в 2023 г.
|
Кировский ССК
Создание девелоперской
компании в Холдинге
120 000 м2
150 000 м2
План строительства
2024-2025 гг.
www.kssk.ru
6.
| Кировский ССК2
ИТ-архитектура
Состояние AS-IS
7.
Текущее использование ИС в рамках сквозного бизнеспроцесса1С: УПП
Получение
земельного участка
СТЗ
Приемка объекта
СТЗ+ПроектСтрой
Передача объекта УК
СТЗ
Word
Составление ТЗ на
проектирование
СТЗ
Отправка в КССККомфорт информации
для отделочных работ
Инвест Консалтинг
1С:
Документо
оборот
Внутреннее
согласование ТЗ
СТЗ
СМР
Договор на
бумажном
носителе
Заключение договора
с ПроектсСтрой ССК
СТЗ
Старт продаж квартир
Инвест Консалтинг
Битрикс 24
Отправка ТЗ в
ПроектСтрой ССК
СТЗ
Заключение договора
на СМР
СТЗ
Договор на
бумажном
носителе
Доработка и
согласование ТЗ
ПроектСтрой ССК
Внутреннее
согласование договора
на СМР
СТЗ
Word
Автокад
Архикад
Разработка чертежей
ПроектСтрой ССК
Заведение шахматки
Инвест Консалтинг
Отправка чертежей на
производство
ПроектСтрой ССК
Отправка планировки
квартир дома в Инвест
Консалтинг
СТЗ
3DMax
|
Кировский ССК
1С: УПП
Наблюдения по сквозному процессу
строительства
1
Согласование документации в
электронном виде происходит
исключительно внутри одного Юр.лица
2
Подписание договоров между
Юр.Лицами Холдинга происходит на
бумажном носителе
3
Проведение дублирующих операций в
Битрикс 24 и в 1С: УПП
4
Обмен информацией зачастую по
эл.почте при наличии СЭД
1С:
Документо
оборот
Битрикс 24
1С: УПП
www.kssk.ru
8.
Текущее состояние ИТ-архитектурыШкала оценки зрелости информационных систем
1
2
3
Ключевые характеристики
Используется хаотично
Требуется замена или
доработка
ЗАСТРОЙЩИКИ И СМР
УПРАВЛЕНИЕ ХОЛДИНГОМ
1С: ЗУП
1С: УПП
1С:
Бухгалтерия
1С:
Документооборот
Продажи и маркетинг
Гранд-Смета
Битрикс 24
ВСПОМОГАТЕЛЬНАЯ
ДЕЯТЕЛЬНОСТЬ
ПРОЕКТИРОВАНИЕ И ПРОИЗВОДСТВО
ЧОП
Проектирование
1С: УПП
(прочее)
Аренда
1С: УПП
3DMax
ВЗАИМОДЕЙСТВИЕ С
КЛИЕНТАМИ
Обеспечение строительства
Административная деятельность
Жилищное и муниципальное строительство
СМР
Постоянно развивается
Архикад
Сайты
объектов
Управляющие компании
НПК
Интерфейс
Бурмистр.ру
Автокад
Производство
1С: УПП
|
Кировский ССК
Супер Окна
1С: ERP
УСО
www.kssk.ru
9.
Текущая проблематика ИТ-архитектурыИС
Цели и задачи ИС
Битрикс 24
CRM, Внутренний документооборот, Таск-менеджмент
Текущая проблематика
Регулярные обновления платформы не производятся
Отсутствует анализ и оптимизация бизнес-процессов
Применение таск-менеджера хаотичное
Внутренний документооборот при наличии внедренной
1С: Документооборот в Холдинге
Отсутствие приказа о вводе системы в ПЭ
Хаотичное использование системы со стороны бизнеса
Отсутствие анализа и оптимизации бизнес-процессов
Отсутствие обновлений
Интуитивно непонятный интерфейс
Быстродействие системы
1С: Документооборот
Документооборот в части внутреннего согласования документов
1С: УПП
(ведется проект по внедрению 1С ERP)
Управленческий, регламентированный и бухгалтерский учет
производственной деятельности
• Быстродействие системы
• Окончание поддержки в конце 2026 г.
1С: Бухгалтерия
Бухгалтерский и налоговый учет
• Быстродействие системы
• Регулярные обновления платформы не производятся
СуперОкна
Построитель окон и дверей, алюминиевых фасадных и
раздвижных конструкций
|
Кировский ССК
Быстродействие системы
Обновления системы не производится
Требуется замена, либо обновление до новой версии
Требуется поддержка системы
www.kssk.ru
10.
Гигиенический минимум задач развития ИТ-архитектуры1
Провести анализ бизнес-процессов Холдинга на предмет их оптимизации и
реинжиниринга.
2
Проведение анализа текущих ИС и решений на рынке для автоматизации
бизнес-процессов Холдинга
3
Проведение унификации функций ИС (например, СЭД, Битрикс24, 1С: УПП)
4
Проведение регулярных обновлений ИС
5
Повышение быстродействия текущих ИС, в особенности 1С всех конфигураций
6
Внедрение систем мониторинга ИС и АСУ ТП
|
Кировский ССК
www.kssk.ru
11.
| Кировский ССК3
ИТ-процессы
12.
ПРЕДВАРИТЕЛЬНОПри оценки уровня зрелости ИТ-процессов Компании
будет использоваться методология CMMI
Шкала оценки зрелости объектов процессов (методология CMMI)
0
1
Процесс отсутствует
Процесс не выделен
и не выполняется
Бессистемный
2
3
Ключевые характеристики
Повторяемый
Формализованный
5
Измеримый
и управляемый
Непрерывно
оптимизируемый
Процесс выполняется
Определены шаги
процесса
и процедуры, однако
формально они не
утверждены
Определены и
формально
утверждены шаги
процесса
и процедуры
Процесс полностью
согласуется с Бизнесприоритетами
Процесс значительно
автоматизирован
Не определены шаги
процесса
и процедуры
Неформально
выделены
ответственные лица
Создана полная
актуальная
регламентная
документация
Процесс частично
автоматизирован
Сформирована
регулярная процедура
по оценке и
улучшению процесса
Выделены
ответственные лица
Метрики процесса
измеримы
и влияют на КПЭ
Частично
отслеживаются
метрики процесса
• Определены и формально
утверждены шаги
процесса и процедуры
• Создана полная
актуальная регламентная
документация
• Выделены ответственные
лица
• Процесс выполняется
• Процесс полностью
согласуется
с Бизнес-приоритетами
• Метрики процесса
измеримы и влияют на
КПЭ
• Определены и формально
утверждены шаги
процесса и процедуры
• Создана полная
актуальная регламентная
документация
• Выделены ответственные
лица
• Процесс выполняется
Не выделены
ответственные лица
Процесс выполняется
Процесс выполняется
|
4
Кировский ССК
www.kssk.ru
13.
Анализ текущего уровня зрелости ИТ-процессовИТ-Процессы развития
1
Планирование
2
Создание ИТ-услуг
3 Поддержка ИТ-услуг
Проекты / продукты
Управление услугами
Страт планирование
1.1 Стратегическое
планирование ИТ
1.2 Управление
потребностями бизнеса
1
Процессы сопровождения и управления ИТ
ТСО
2.1 Управление портфелем
Проектов / продуктов ИТ
3.1 Управление Каталогом ИТуслуг
4.1 Управление
ИТ-активами
2.2 Управление
реализацией проектов
3.2 Управление уровнями
ИТ-услуг
4.2 Управление
ИТ-финансами
3
2.3 Управление продуктом
Планирование
деятельности ИТ
4
Управление ИТ
Разработка ИТ-решений
1.3 Управление
ИТ-бюджетом
2.4 Управление анализом
и разработкой требований
1.4 Управление
ИТ-ресурсами (люди)
2.5 Управление разработкой
и конфигурированием
4
2.6 Тестирование ИТ-решений
5
Эксплуатация ИТ
Поставщики
3.3 Управление мониторингом
4.3 Управление закупками
3.4 Управление запросами
на обслуживание
4.4 Управление
договорами
3.5 Управление инцидентами
4.5 Управление взаимоотношениями с поставщиками
3.6 Управление проблемами
3.7 Управление доступом
Персонал
4.6 Управление знаниями
Поддерживающие
3.8 Управление
регламентными работами
Архитектурный надзор
1.5 Управление корп.
архитектурой
1.6 Управление
ИТ-инновациями
4.8 Управление
эффективностью (метрики)
Ввод в эксплуатацию
2
2.7 Управление изменениями
2.8 Управление релизами
3.9 Управление
конфигурациями
Обеспечение
3.10 Управление доступностью
3.11 Управление
непрерывностью ИТ-услуг
3.12 Управление
мощностями
Отсутствует
|
Кировский ССК
Хаотичный
Устоявшаяся практика
Формализованный
ПРЕДВАРИТЕЛЬНО
ЗАКЛЮЧЕНИЕ ПО ТЕКУЩЕМУ УРОВНЮ
ЗРЕЛОСТИ ИТ-ПРОЦЕССОВ
•1 В холдинге существует ряд каналов
по сбору новых потребностей от Бизнеса.
Гипотеза: рассмотреть возможность унификации
сбора потребностей и стандартизации
необходимой информации
•2 На текущий момент функции корпоративного
архитектора совмещается с руководителем
разработки. Гипотеза: рассмотреть целесообразность
формирования выделенной роли с целью
обеспечения в будущем целостного ИТ-ландшафта
и снижения рисков возникновения инцидентов
3 На текущий момент реализуется 1 проект.
Отсутствует процесс управления продуктов
(применение Agile). Гипотеза: рассмотреть
целесообразность внедрение проектного и
продуктового управления с целью обеспечения
возможности реализации инициатив ИТ-стратегии
4• В ИТ используется «интуитивный» подход к
приоритизации новых доработок. Гипотеза:
рассмотреть возможность применения типовых
подходов по оценке сложности реализации и
последующей приоритизации
5• В компании отсутствует подход по управлению ИТуслугами. Гипотеза: рассмотреть целесообразность
создания каталога ИТ-услуг и заключения с бизнесом
SLA по качеству их оказания с последующей
возможностью оценки их стоимости оказания
Управляемый
Непрерывно оптимизируемый
www.kssk.ru
14.
Развитие ИТ-процессов с целью получения дополнительнойбизнес-ценности
ИТ-процесс
Цели и задачи процесса
Бизнес-ценность
Управление
ИТ-бюджетом
• Повышение горизонта планирования необходимых инвестиций
для реализации потребностей Бизнеса
• Выстраивание механизмов постоянной оптимизации инвестиций
• Повышение прозрачности принятия решений о старте
реализации новых инициатив
• Обеспечение приживаемости новых решений в
периметре Компаний
Управление
ИТ-инновациями
• Определение возможностей для создания добавочных ценностей
путем комбинирования бизнес-идей с существующими или
зарождающимися технологиями
• Развитие инноваций путем исследования новых технологий или
эффективного использования существующих
• Точечное выделение необходимых инвестиций для
создание MVP с применением современных технологий
• Возможность обеспечения получения дополнительных
налоговых льгот (например, Сколково)
Управление
услугами
• Определение необходимого уровня оказания ИТ-сервисов для
бизнеса
• Оптимизация стоимости оказания ИТ-сервисов для Бизнеса
• Определение необходимых уровней требуемых ИТсервисов
• Прогнозировать их стоимость
Управление потребностями
• Помощь Бизнесу в формировании потребностей в части
автоматизации бизнес-процессов
• Обеспечение приживаемости нового функционала в ежедневных
операциях Бизнеса
• Повышение уровня автоматизации
• Повышение горизонта планирования и соответствия
ожиданиям
Управление проектами и
продуктами
• Унификация подходов проектного и продуктового управления с
целью снижения трудозатрат
• Синхронизация всех продуктов и проектов в части требуемых
инвестиций и ресурсов
• Снижение длительности реализации новых инициатив
• Снижение требуемых инвестиций и ресурсов
Управление корпоративной
архитектурой
|
Кировский ССК
• Унификация подходов разработки новых ИТ-решений
• Консолидация необходимой документации для эффективного
развития текущего ИТ-ландшафта
• Снижение рисков возникновения аварий и инцидентов
www.kssk.ru
15.
Варианты получения льгот в рамках налоговогоНалоговый
маневр в ИТ отрасли
Налоговые льготы через резидентство технопарков
маневра
Закон говорит о льготах по налогу на прибыль и страховым взносам, а также дает
возможность реализации ПО и услуг по разработке ПО без обложения НДС
Налоговые льготы резидентам Сколково
Порог для входа
Порог для входа
• Выручка от реализации собственного ПО и баз данных должна составлять не
1
менее 90% от общей выручки компании
(для давно функционирующей организации выручка считается за девять
месяцев предыдущего года, а для недавно созданной — за последний
квартал)
• Среднесписочная численность сотрудников должна составлять не менее семи
человек (Условия соблюдения критерия для давно функционирующих
организаций и для недавно открытых такие же, как для выручки)
2
• Регистрация разрабатываемого компанией ПО в реестре
(требуется для получения льгот по НДС)
Получаемые льготы
• НДС: 20% -> 0%
• Налог на прибыль: 20% -> 3%
|
Кировский ССК
В России существует много технопарков (самые известные из которых – “Сколково” и
“Иннополис”), направленных на развитие и поддержку ИТ-компаний, резиденты которых
имеют налоговые льготы
• Страховые взносы: 14% -> 7.6%
• Регистрация в личном кабинете на sk.ru
• Оценка фондом «Сколково» заявки на ее
соответствие инновационным приоритетам Фонда
3
• Экспертиза по существу
Получаемые льготы
• НДС: 20% -> 0%
• Налог на прибыль: 20% -> 0%
• Страховые взносы: 14% -> 0%
Налоговые льготы резидентам Иннополиса
Порог для входа
Получаемые льготы
• Резидент Иннополиса должен осуществлять техниковнедренческую деятельность
4
• Претендент должен защитить инвестиционный проект
• Обязательное присутствие компании на территории
технопарка (в отличии от Сколково)
• Налог на имущество:
~2.2% -> 0%
• Налог на прибыль:
5
20% -> 0%/5%/13.5%
www.kssk.ru
16.
Формирование рекомендаций по целевой моделипредоставления ИТ-услуг/ услуг ИТ, вариантов
применения налогового маневра для ИТ
Налоговый маневр в ИТ отрасли
Резидент Сколково
Выделение ИТ-блока в отдельную компанию позволит:
Сбербанк-Технологии – российская ИТ-компания, оказывающая услуги по разработке и
внедрению программного обеспечения для Группы Сбербанк.
• Снизить совокупную стоимость владения ИТ-инфраструктурой
за счет налогового маневра, вложив сэкономленные средства в
развитие наиболее приоритетных проектов;
• Сформировать более привлекательные условия для ИТспециалистов;
• Гибко и оперативно решать задачи по техническому
обслуживанию и ремонту;
• Выйти в будущем на внешний рынок
С 2012 года компания является резидентом Сколково, в 2017 году СберТех начала
миграцию своих сотрудников в инновационный центр Сколково.
Цель открытия офиса в Сколково – более тесное взаимодействие с экосистемой
«Сколково» в части сотрудничества со стартапами и экспертами, обмен опытом и
формирование инновационной среды в компании и участие в проектах по созданию
цифровой экономики.
Резидент ОЭЗ Иннополис
Тинькофф – лидер на рынке финансовых технологий, технологическая компания с
банковской лицензией. Примерно 70% сотрудников – ИТ-специалисты.
С 2017 года является резидентом ОЭЗ Иннополис.
Целью открытия офиса в Иннополисе является поиск талантливых разработчиков в
регионах, которые по какой-либо причине не едут в Москву. Еще одной причиной
открытия офиса в Иннополисе является долгосрочная стратегия взаимодействия с
университетами, выпускающими ИТ-специалистов.
Вывод
Помимо налогового маневра крупные технологические ИТ-компании видят еще одно преимущество резидентства технопарков, а именно
поиск компетентных специалистов своей области, более тесное взаимодействие с другими стартапами и экспертами. Многие компании являются
одновременно резидентами как Сколково так и Иннополиса
|
Кировский ССК
www.kssk.ru
17.
ПРЕДВАРИТЕЛЬНОВ рамках стратегического цикла необходимо будет повысить
уровень зрелости у ряда процессов с целью обеспечения
возможности реализации ИТ-стратегии
В компании на текущий момент выполняются ключевые ИТ-процессы, обеспечивающие деятельность ИТ-функции. При этом
существует потенциал по повышению эффективности и качества оказываемых ИТ-услуг для бизнеса.
По ключевым процессам необходимо будет реализовать ряд мероприятий по повышению уровня зрелости до второго уровня
Текущий уровень зрелости
ИТ-процессов
0
Целевой уровень зрелости
ИТ-процессов
1
ПРОЦЕСС ОТСУТСТВУЕТ
2
3
УСТОЯВШАЯСЯ
ХАОТИЧНЫЙ
4
ФОРМАЛИЗОВАННЫЙ
ПРАКТИКА
5
ИЗМЕРИМЫЙ
НЕПРЕРЫВНО
И УПРАВЛЯЕМЫЙ
ОПТИМИЗИРУЕМЫЙ
КЛЮЧЕВЫЕ ХАРАКТЕРИСТИКИ ЗРЕЛОСТИ ПРОЦЕССОВ
Процесс не выделен
и не выполняется
Процесс выполняется
при необходимости
Не определены шаги
процесса и процедуры
Не выделены ответственные
лица
Определены шаги процесса
и процедуры, однако
формально они не
утверждены
Неформально выделены
ответственные лица
Процесс выполняется
Определены и формально
утверждены шаги процесса
и процедуры
Создана полная актуальная
регламентная документация
Выделены ответственные
лица
Частично отслеживаются
метрики процесса
Процесс выполняется
|
Кировский ССК
Процесс полностью
согласуется с Бизнесприоритетами
Процесс частично
автоматизирован
Метрики процесса измеримы
и влияют на КПЭ
Определены и формально
утверждены шаги процесса и
процедуры
Создана полная актуальная
регламентная документация
Выделены ответственные
лица
Процесс выполняется
Процесс значительно
автоматизирован
Сформирована регулярная
процедура по оценке и
улучшению процесса
Процесс полностью согласуется
с Бизнес-приоритетами
Метрики процесса измеримы и
влияют на КПЭ
Определены и формально
утверждены шаги процесса и
процедуры
Создана полная актуальная
регламентная документация
Выделены ответственные лица
Процесс выполняется
www.kssk.ru
18.
Анализ ИТ расходов за 2022-2023 гг.Анализ общих затрат
ИТ-услуги, Оборудование, Лицензии и ФОТ
Гартнер
|
Кировский ССК
www.kssk.ru
19.
| Кировский ССК4
Организационная
структура ИТ
20.
Текущее состояние организационной структуры ИТОтдел автоматизации1С
Начальник отдела
Заместитель начальника отдела
Отдел информационных технологии
7
Начальник отдела ИТ
Заместитель начальника отдела ИТ
10
Бизнес-аналитик
• Управление потребностями бизнеса
• Управление корп.архитектурой
• Управление реализацией проектов
• Тестирование ИТ-решений
Архитектор информационных решений
(отсутствует)
• Управление мониторингом
• Управление запросами
на обслуживание
Системный аналитик
Администратор сети
• Управление анализом и разработкой
требований
• Управление инцидентами
1
Разработчик
Администратор серверов
• Управление разработкой
и конфигурированием
• Управление инцидентами
2
Общая численность сотрудников холдинга
составляет 2000 чел.
Доля ИТ персонала от общей численности
сотрудников Холдинга
составляет <1%
|
Кировский ССК
Системный администратор
• Управление мониторингом
• Управление доступом (Заявки от
пользователей)
4
Наблюдения
Отсутствует роль
корпоративного архитектора,
что не позволяет вести
развитие ИТ в соответствии
с бизнес-требованиями
организации
Выполнение задач ИТ
персонала выполняется по
принципу «Свободные руки»
Присутствует кадровый голод
в части ИТ-персонала
Согласно отчету Gartner «IT
Key Metrics Data 2024:
Industry Measures —
Executive Summary» доля ИТ
персонала от общей
численности сотрудников в
сфере строительсва, должна
быть ≥ 4%.
www.kssk.ru
21.
Гигиенический минимум задач развития оргструктуры ИТ
1
Перераспределение зон ответственности между сотрудниками в отделе
Автоматизации 1С и в ИТ отделе, с целью фиксирования должностных
обязанностей и обеспечения прозрачности работы отделов
2
Расширение штата сотрудников отделов имеющих достаточный уровень
компетенций с целью обеспечения повышения скорости выполнения работ
3
Наличие ИТ бизнес-партнера с целью развития ИТ-архитектуры (бизнессистем), основанного на требованиях бизнеса
|
Кировский ССК
www.kssk.ru
22.
| Кировский ССК5
ИТ-инфраструктура
23.
Методика оценки состояния ИТ-инфраструктурыЗамечание
Поддерживаемое оборудование и ПО (без действующего сервисного контракта, дата EoS/EoL
не объявлена)
Конечная стадия жизненного цикла оборудования или ПО, производителем объявлена
дата EoS/EoL
(с действующим или без действующего сервисного контракта)
Влияние
значительное
значительное
Неподдерживаемое оборудование и ПО с уже наступившими датами EoS/EoL
(с действующим сервисным контрактом)
значительное
Неподдерживаемое оборудование и ПО с уже наступившими датами EoS/EoL
(без действующего сервисного контракта)
критическое
Необходимость полной модернизации всего или части оборудования\ПО
критическое
Высокая утилизация инфраструктурных компонентов (более 80% в среднем)
критическое
Отсутствие резервирования инфраструктурных компонентов
критическое
Конфигурационные недостатки, которые могут оказать критическое влияние
на доступность, сохранность данных
критическое
Конфигурационные недостатки инфраструктурных компонентов, которые могут привести
к замедлению работы и сбоям
значительное
Незначительные конфигурационные недостатки
незначительное
Отсутствие команды поддержки направления
критическое
Замечаний и недостатков не обнаружено
нет замечаний
|
Кировский ССК
www.kssk.ru
24.
ПРЕДВАРИТЕЛЬНОТекущее состояние ИТ-инфраструктуры
ИТ-инфраструктура требует глубокой модернизации. Обнаружен ряд проблем,
влияющих на доступность ИТ-сервисов, бизнес-приложений и сохранность
критичных данных
резюме
Инфраструктурные сервисы middleware и БД
Инфраструктурные и пользовательские
сервисы Microsoft
Базы данных 1С
Вычислительная инфраструктура
WINDOWS
LINUX
Системы коммуникаций
Видеоконференц связь
Телефония
Мониторинг
Контейнеризация
Система Мониторинга
Виртуализация
Критическое
Хранение данных
СХД
SAN
Резервное копировании
и восстановление
Сеть передачи данных
Локальные
сети
Общая оценка состояния
Серверы
Беспроводная
сеть
WAN
Средства обеспечения
высокой доступности
и отказоустойчивости
Серьезные замечания
Кластеризация систем
Небольшие замечания
ЛВС ЦОД
Репликация данных
Без замечаний
Инженерная инфраструктура ЦОД
Климатические
системы
Здания и сооружения
Помещение
|
Кировский ССК
Системы
электропитания
Уровень
отказоустойчивост
и
Автоматизация
восстановления
Компонент отсутствует
www.kssk.ru
25.
ПРЕДВАРИТЕЛЬНОТОП проблем ИТ-инфраструктуры
1
Вычислительная инфраструктура
Серверы
Хранение
Сеть
ЦОД и помещения
Виртуализация
Мониторинг
Средства высокой доступности
и отказоустойчивости
2
Высокая доступность
и отказоустойчивость
Серверы
Хранение
Сеть
ЦОД и помещения
Виртуализация
Мониторинг
Средства высокой доступности
и отказоустойчивости
3
Серверное помещение и коммуникации
Серверы
Хранение
Сеть
ЦОД и помещения
Виртуализация
Мониторинг
Средства высокой доступности
и отказоустойчивости
|
Кировский ССК
Ключевые проблемы
Риски и последствия для бизнеса
Не оптимальная конфигурация серверов БД
1С.
Для хранения используются ПК и СХД
начального уровня.
Проблемы конфигураций 1С – необходим
детальный анализ.
Не оптимальные настройки сервисов MS,
невозможность стратегического развития
таких решений.
Ключевые проблемы
Риски и последствия для бизнеса
Решения кластеризации и высокой
доступности используются для малой части
ИТ-сервисов.
Система мониторинга не обрабатывает ИС
(1С, ERP и пр.) и все инфраструктурные
компоненты.
Не выстроен процесс управления
вычислительными мощностями
Ключевые проблемы
Риски и последствия для бизнеса
Серверное помещение на Заводоуправлении не
отвечает требованиям по надёжности и
требует глубокой модернизации.
Используется почтовая система mail.ru.
Нет решения по видеокоференцсвязи.
Низкая производительность 1С.
Простой систем при отказе «СХД малого офиса».
Нет возможности расширения «СХД малого офиса» ->
риски остановки работы.
Риски ИБ и утечки корпоративных данных из-за
настроек паролей УЗ пользователей и
администраторов.
Риски простоев ИС, долгое восстановление и их
низкая производительность.
Нет понимания трендов роста вычислительных
ресурсов -> нет ресурсов для внедрения ИТсистем, процесс закупки ИТ-оборудования хаотичен
Полный простой или потеря данных при аварии
(пожар, затопление) серверной на
Заводоуправлении.
Риски ИБ, утечки данных при использовании
внешнего почтовой системы.
Потеря времени руководителей и сотрудников
Холдинга на очные совещания и дорогу к ним без
системы ВКС.
www.kssk.ru
26.
ПРЕДВАРИТЕЛЬНОСредства обеспечения высокой доступности
резюме
ИТ-инфраструктура подвержена рискам длительных простоев. Авария в серверном
помещении Заводоуправления КССК (пожар, затопление, сбой питания) приведёт
к полной остановке ИТ-систем (1С, ЭДО и т.д.)
Нет централизованного
резервного копирования
Отсутствие требований
к доступности ИС
Средства обеспечения высокой
доступности и отказоустойчивости
Кластеризация
Основные ИТ-системы
расположены в одном
помещении без дублирования
Не применяются решения
по катастрофоустойчивости
компонентов ИТ-систем
Репликация
Автоматизация восстановления
резюме
Ключевые необходимые изменения:
ИТ и бизнесу необходимо согласовать требования по доступности
и надёжности (SLA) ИТ-систем и бизнес-приложений
• Кластеризация реализована
частично – только для 1С
Начать создание минимально необходимой отказоустойчивой
ИТ-инфраструктуры, как надёжной базы для ИТ-систем и бизнес-приложений
• Нет дублирования общих
инфраструктурных сервисов,
например, каталога AD
Новые ИТ-системы и бизнес-приложения должны создаваться
в отказоустойчивой ИТ-инфраструктуре
• Отсутствуют планы аварийного
восстановления -> увеличение
времени восстановления
|
Кировский ССК
www.kssk.ru
27.
ПРЕДВАРИТЕЛЬНОСерверное помещение и инженерные системы 1/2
Инженерная инфраструктура ЦОД
Серверное помещение на Заводоуправлении не отвечает
требованиям по надёжности и требует глубокой модернизации
резюме
Кол-во стоек
Электроснабж
ение
Система
кондиционирован
ия
Заводоуправлен
ие
2 открытые
стойки
два
независимых
ввода в
здание
2 бытовых
кондиционера,
ротация.
Размещение не
корректно
Подвал
(бомбоубежище)
нет
нет
БЦ Кристалл
5 открытых
стоек (из
низ 3 стойки
операторов)
БЦ Алые Паруса
3 стойки (из
низ 2 стойки
операторов)
ф
Площадка
Эталонный ЦОД
|
Климатические
системы
Уровень
отказоустойчивости
Помещение
Система
пожаротушени
я
Система
мониторинга
Охранная
сигнализация
Система
видеонаблюде
ния
Кодовый
замок
нет
нет
нет
нет
нет
нет
нет
нет
нет
нет
Да.
Без
резервирования
нет
нет
нет
нет
нет
нет
1 бытовой
кондиционер
Да.
Без
резервирования
нет
нет
Да (вода)
нет
Да
(1
извещатель)
нет
Прецизионные
кондиционеры,
резервирование
2N
контроль
Да, с
доступа,
Модульный,
возможность
биометрия,
резервирование
ю
охранная
2N
дозаправки
сигнализация
Система
автоматическ
ого газового
пожаротушени
я
Да, с
отправкой
уведомлений
и
логированием
Да
Да, глубина
архива 15
суток.
ИБП
ДГУ
СКУД
3 ИБП отдельно
стоящих,
загрузка каждого
`20%. Без
резервирования
нет
нет
нет
один ввод
1 бытовой
кондиционер
один ввод
два и более
независимых
ввода
Кировский ССК
Системы
электропитания
www.kssk.ru
28.
ПРЕДВАРИТЕЛЬНОСерверное помещение и инженерные системы 2/2
Ключевые необходимые изменения:
Необходима организация серверного помещения на
территории Завода с инженерными системами, отвечающими
требования по надёжности и безопасности.
Рекомендуется рассмотреть возможность организации
серверного помещения в виде контейнерного ЦОД.
На последующих этапах развития ИТ в Холдинге потребуется
организация Резервного ЦОД. Возможно размещение в
отдельном помещении на Заводе или в отдельном
контейнере.
|
Кировский ССК
Резюме
Существующая серверная на
Заводоуправлении требует
глубокой модернизации.
Размещение серверной в
бомбоубежище невозможно –
нарушение действующих
Российских НТД и стандартов.
Для организации РЦОД в БЦ
необходимы стабильные каналы
связи.
www.kssk.ru
29.
ПРЕДВАРИТЕЛЬНОДобавить TPlink
Сеть передачи данных
1/2
Сеть передачи данных
Сеть передачи данных не отвечает требованиям по
производительности, надёжности и требует глубокой модернизации.
Описание ЛВС на заводе «КССК»:
Модуль ЛВС включает в себя коммутаторы распределенные в помещениях административных
зданий и цехов;
В состав оборудования входят коммутаторы производителей Mikrotik и HP;
Используется топология daisy chain (“гирлянда”), коммутаторы подключаются
последовательно друг-за-другом с использованием оптических линий связи;
Вершина ‘цепочки” размещается в помещении серверной Заводоуправления, в топологии
отсутствует выделенное оборудование ядра и распределения ЛВС;
Схема подключения сетевого оборудования организована исходя из схемы ВОЛС между
зданиями;
Для организации ВОЛС используется одномодовое волокно (SMF);
На текущий момент ВОЛС не обеспечивает кольцевую топологию между помещениями;
На части оборудования отсутствует возможность установки оптических трансиверов, для
обеспечения связности между зданиями в схему могут включаться медиаконвертеры;
Для обеспечения портовой емкости в ЛВС частично используются неуправляемые
коммутаторы;
Портовая емкость в помещениях используется для различного типа устройств: АРМ
пользователей, АРМ операторов АСУТП, АСУТП, Видеонаблюдение, Телефония и офисной
техники;
Логическая сегментация не выполняется, используется 1 VLAN и IP-сеть 192.168.0.0/21.
Граница L2/L3 отсутствует, устройства взаимодействуют между собой в одном broadcast
домене;
Связь с внешними системами обеспечивается через Default Gateway на МСЭ Kerio.
|
Кировский ССК
WAN
ЛВС ЦОД
Локальные
сети
Беспроводная
сеть
Проблематика
Отсутствует резервирование каналов связи между
оборудованием в модулях;
Существующая топология в модуле ЛВС уязвима к
отказу в “цепочке”, недоступность коммутаторов в
помещении Серверной Заводоуправления может привести
к отказу всей СПД;
Отсутствие логической сегментации по принципу “один
VLAN – одна IP-сеть” приводит к избыточному
количеству BUM трафика;
Отсутствие явно выделенной границы L2/L3 приводит к
нарушению иерархичности в схеме;
Существующая ВОЛС не обеспечивает возможность
создания отказоустойчивой кольцевой топологии;
Коммутаторы в вершине “цепочки” не объединены в
один логический юнит с использованием технологии
стекирования;
Для обеспечения портовой емкости используются
неуправляемые коммутаторы, что снижает возможности
администрирования ЛВС;
Использование медиаконвертеров в ЛВС ограничивают
возможности по подключению оптических каналов связи
(в зависимости от модели конвертера);
В пределах одной СПД совмещаются устройства АСУТП и
КСПД;
Отсутствие логической сегментации приводит к
невозможности контролирования прохождения трафика
между сетями АСУТП и КСПД посредством выделения
зоны безопасности на МСЭ+ VRF.
www.kssk.ru
30.
ПРЕДВАРИТЕЛЬНОСеть передачи данных
2/2
Сеть передачи данных
Сеть передачи данных не отвечает требованиям по
производительности, надёжности и требует глубокой модернизации.
Маршрутизатор Mikrotik RB1100AHx2 выполняет функцию NAT сетей ЛВС и МСЭ;
ЛВС ЦОД
Локальные
сети
Беспроводная
сеть
Проблематика
Описание модуля Интернет:
Модуль внешних подключений используется для обеспечения связности с сетью Интернет и
включает в себя маршрутизатор Mikrotik RB1100AHx2;
WAN
Отсутствует резервирование по оборудованию, выход
из строя маршрутизатора приводит к отсутствие
связности с сетью Интернет для всей СПД КССК.
Подключено 2 канала Интернет от провайдеров МТС и Дом.ру с пропускной способностью
100мбит/с.
Используется статическая маршрутизация для обеспечения связности между модулями.
Описание модуля Безопасности:
Модуль безопасности состоит из сервера с организованным на нем МСЭ Kerio. Выполняет функции Default Gateway для ЛВС и обеспечивает связность
до модуля внешних подключений.
Ключевые необходимые изменения:
Выполнение логической сегментации на оборудовании по принципу: «один VLAN – одна IP-подсеть». Каждый VLAN выделяется под каждый тип устройств.
Организация оптического кольца коммутаторов в цехах и помещениях Завода КССК для обеспечения отказоустойчивости СПД и надёжности работы ИС и АСУТП.
Организация сегмента ядра сети в Заводоуправлении. Сегмент должен располагаться над оптическим кольцом.
Установка дополнительного оборудования, поддерживающего оптические трансиверы, исключение из схемы медиаконверторов.
Определение необходимой портовой ёмкости для каждого цеха с целью замены неуправляемых коммутаторов.
Обеспечение отказоустойчивости по оборудованию для выхода в Интернет на Заводоуправлении (установка дополнительного маршрутизатора).
Рассмотреть возможность перехода на единого производителя оборудования СПД (замена устаревшего, неуправляемого).
|
Кировский ССК
www.kssk.ru
31.
ПРЕДВАРИТЕЛЬНОПроверить объёмы на СХД – по факту меньше!
Вычислительная инфраструктура | Системы хранения данных
и резервное копирование
Хранение данных не обеспечивает нужного объёма ресурсов и отказоустойчивости. Применяются ПК в качестве хранилищ,
что ведёт к рискам потери данных.
Применяется оптимальные решения для хранения и транспорта данных на Заводоуправлении, которые требуют развития.
резюме
Модель
Тип
СХД корпоративного класса
Расположение
Свободный
объём
Заводоуправление
61% (20 TB)
Заводоуправление
36% (1,9 TB)
Заводоуправление
35% (2,5 TB)
Synology DS 218+
Проектный институт
49% (3,4 TB)
Synology DS 218+
БЦ «Небо»
94% (1,6 TB)
Dell ME4024
Synology DS 218+
Synology DS 218+
СХД малого офиса
ПК
ksskoh
Важные особенности:
Заводоуправление
43% (3,9 TB)
Отказо
устойчивость
Высокая (24
накопителя, 2 БП, 2
контроллера)
SAN
Резервное копирование
Резюме
Нет (1 накопитель,
используется ПК)
Нет возможности гибкого увеличения вычислительных ресурсов для подключения к текущей СХД
Внедрение сети FC (SAN) позволит гибко увеличивать вычислительные ресурсы
Отсутствие сервисного контракта на основное СХД -> увеличивает время восстановления и решения
проблем
Ключевые необходимые изменения:
Внедрение нового СХД для продуктивных данных с запасом под рост и без санкционных рисков
Построение системы резервного копирования и постановка на РК 100% ИТ-систем
Организация долговременного хранения данных (архив) для соответствия требованиям регуляторов
Разработка регламентной документации, согласованной с Бизнесом, для системы резервного копирования
(какие системы как резервируем и как храним)
Внедрение сети FC (SAN) как оптимального, быстрого и надёжного транспорта передачи данных между
серверами и СХД -> ускорение работы ИТ-систем, защита от локальных сбоев
Кировский ССК
СХД
Минимальная
(2 накопителя, 1 БП, 1
контроллер)
|
Средства обеспечения высокой
доступности и отказоустойчивости
• Простой систем при отказе «СХД малого
офиса»
• Нет возможности расширения «СХД малого
офиса» -> риски остановки работы
• Данные, хранящиеся на ПК, никак не защищены
и могут быть утеряны при отказе
• Нет сети FC (SAN), но применяется протокол
FC для систем 1С –> оптимальное решение,
которое необходимо развивать
Данные БД систем 1С хранятся на «СХД
корпоративного класса», оптимальное
решение, необходимое к применению для всех
бизнес-критичных данных Холдинга
www.kssk.ru
32.
ПРЕДВАРИТЕЛЬНОВычислительная инфраструктура | Виртуализация
резюме
Вычислительных ресурсов серверов Hyper-V достаточно для развития в краткосрочной
перспективе. Необходимо выполнить обслуживание одного из серверов.
Рекомендуется рассмотреть переход на доступные решения системы виртуализации.
Для хранения ВМ Hyper-V используется
СХД Dell ME4024.
Лицензии на ОС Windows Server 2019
Datacenter на 4 CPU.
На каждом из хостов установлено по 2
CPU Intel Xeon Gold 6234 3.30GHz и
по 1 TB RAM.
Серверов платформы
виртуализации MS Hyper-V
2
Серверов платформы
виртуализации Proxmox
3
Загрузка RAM серверов Hyper-V
639
GB
Переподписка pCPU:vCPU
серверов Hyper-V
<1:
3
Для Live Migration выделены 3 порта по 1Gbit, объединенных в Bridge.
Серверы соединены данными портами напрямую.
Ключевые необходимые изменения:
Необходимо расширение системы виртуализации и создание на её основе
баз для ИТ-систем и бизнес приложений.
Так как продукты компании Microsoft больше не доступны в РФ,
рекомендуется рассмотреть переход на доступные решения системы
виртуализации, не подверженные санкционному влиянию.
«Быстрые победы»:
Один из серверов Hyper-V требует обслуживания RAM. После этого на
него можно мигрировать ВМ и освободить часть вычислительных
ресурсов.
Рассмотреть возможность переключения Live Migration на порты 10 GbE
для более быстрой миграции ВМ при необходимости проведения
технических работ на одном из серверов.
|
Кировский ССК
Вычислительная инфраструктура
Виртуализация
WINDOWS
резюме
Вычислительных ресурсов серверов Hyper-V
достаточно для развития в краткосрочной
перспективе
Замечена проблема с планкой RAM в одном
из серверов Hyper-V, что требует его
обслуживания и перезагрузки
Сеть LiveMigration Hyper-V построена на
1GbE -> рекомендуется использовать порты
10GbE, имеющиеся в серверах
Hyper-V не может быть модернизирована,
так как компания Microsoft прекратила
деятельность в РФ
Серверы виртуализации Proxmox выводятся
из эксплуатации, ВМ мигрируют в Hyper-V
Отсутствие сервисных контрактов на
серверы -> увеличивает время
восстановления и решения проблем
www.kssk.ru
33.
Приводить БД 1С к одной платформе.ПРЕДВАРИТЕЛЬНО
Проработать
увеличение CPU – напрямую
увеличение не работает.
Вычислительная инфраструктура | Базы данных
1С
Необходимо выполнить увеличение параметров CPU для сервера с основой БД 1С kssk.
Рекомендуется рассмотреть переход на доступные решения БД для 1С.
резюме
ВМ кластера MS SQL 2019
Лицензировано на 4 ядра CPU, по 2
2
AlwaysOn Availability Group
ядра в каждом сервере.
Загрузка CPU на основном узле
100%
Критичная БД kssk выведена из группы
кластера SQL
доступности и расположена на
БД в группе доступности
5
основном узле кластера – из-за
AlwaysOn
разных версий конфигурации 1С.
На втором узле кластера расположена неактуальная копия базы kssk, на
которую, в случае выхода из строя первого сервера, восстанавливается
резервная копия.
Также на втором сервере расположено большое количество тестовых БД для
разработчиков 1С и некоторые некритичные БД
Ключевые необходимые изменения:
Так как продукты компании Microsoft больше не доступны в РФ,
рекомендуется рассмотреть переход на доступные решения БД, не
подверженные санкционному влиянию.
Необходимо более глубокое изучение проблемы разных версий
конфигураций 1С в привлечением профильных специалистов.
Инфраструктурные сервисы
middleware и БД
Базы данных 1С
резюме
Не оптимальная конфигурация ВМ кластера
БД 1С приводит в высокой загрузке
продуктивной БД 1С, при наличии
физических ресурсов сервера.
MS SQL не может быть модернизирован, так
как компания Microsoft прекратила
деятельность в РФ.
«Быстрые победы»:
Увеличение параметров CPU для основного узла кластера SQL ->
увеличение производительности 1С.
Создание отдельной ВМ для тестового сервера SQL и перенос на неё
всех тестовых БД 1С -> снятие нагрузки с продуктивного контура 1С.
|
Кировский ССК
www.kssk.ru
34.
БыстрыеПРЕДВАРИТЕЛЬНОпобеды: пересбора нового домена добавить
Вычислительная инфраструктура | Пользовательские сервисы
1/2
Сервис
Решение
Обзор
Каталог пользователей
MS Active
Directory
• 1 лес и 1 домен kirovssk.ru.
• 2 контроллера домена, проблемы с репликацией
интегрированных в AD DNS-зон.
• 822 пользователя, 477 компьютеров и 156 групп.
Центр сертификации
MS PKI
один корневой CA, являющийся членом домена и выдающим
центром
Службы печати
нет
Отсутствует централизованное управление печатью
Служба обновлений
нет
Отсутствует служба централизованного обновления
Инфраструктурный
сервис
MS DHCP
• Службы DHCP развернуты на контроллере домена.
• Сервер DHCP реализован на одном из роутеров Mikrotik
для пользователей офиса.
Ключевые необходимые изменения:
Рассмотреть возможность перехода на доступные решения в части пользовательских сервисов
Microsoft: каталог пользователей, DNS, DHCP, PKI, FS, PS, служба обновлений.
«Быстрые победы»:
Инфраструктурные сервисы
middleware и БД
Инфраструктурные и пользовательские
сервисы Microsoft
резюме
Практически для всех
пользователей политика паролей не
подразумевает истечение его срока
действия.
Для административных учетных
записей не предопределена
отдельная парольная политика.
Нет настроенного внешнего
источника времени.
Решения Microsoft не могут быть
модернизированы, так как компания
Microsoft прекратила деятельность
в РФ.
Разработать и внедрить политики паролей для административных УЗ.
Настроить внешний источник времени.
Для всех УЗ разработать и внедрить политику истечения срока действия пароля.
Перенести роль DHCP с контроллера домена.
Решить проблемы репликации DNS-зон.
|
Кировский ССК
www.kssk.ru
35.
ПРЕДВАРИТЕЛЬНОВычислительная инфраструктура | Пользовательские сервисы
2/2
Сервис
Решение
Обзор
Терминальная ферма
MS RDS
• Два standalone сервера RDS. Один из серверов
используется для подключений удаленных пользователей
через VPN.
• Второй сервер используется внутренними
пользователями компании для использования remoteApp
(клиент 1С и корпоративный чат).
Электронная почта
mail.ru
Количество ящиков около 165. Групп рассылки – 2.
СХД Synology
• Ограничение доступа к ресурсам осуществляется с
помощью доменной авторизации
• Хранятся основные файловые ресурсы компании: рабочие
данные, файлы 1С и документооборота
• На втором хранилище располагаются резервные копии и
служебные файлы IT отдела
Файловые службы
Ключевые необходимые изменения:
Внедрить собственное, на базе ИТ-инфраструктуры Холдинга, почтовое решение и осуществить
миграцию в него всех пользовательских почтовых ящиков.
Рассмотреть возможность миграции с решения терминальной фермы Microsoft на доступное
решение в отказоустойчивой реализации.
Рассмотреть возможность миграции файловых хранилищ на решения на базе доступных
продуктов, не подверженных санкционным рискам, в отказоустойчивой конфигурации.
|
Кировский ССК
Инфраструктурные сервисы
middleware и БД
Инфраструктурные и пользовательские
сервисы Microsoft
резюме
Терминальная ферма не имеет
отказоустойчивости.
Используется облачное почтовое
решение.
Перенос данных на
отказоустойчивое решение на базе
Windows File Services или аналог.
Решения Microsoft не могут быть
модернизированы, так как компания
Microsoft прекратила деятельность
в РФ.
www.kssk.ru
36.
ПРЕДВАРИТЕЛЬНОВычислительная инфраструктура | Linux
резюме
Применяются оптимальные решения по ОС Linux.
Возможно развитие данного направления с учётом ухода из РФ компании Microsoft и
необходимости перехода на доступные решения.
Используются 2 Linux-сервера в виде виртуальных машин
Применяется актуальная версия ОС Ubuntu 22.04.3 LTS
На Linux развернуты следующие службы:
сервер мониторинга Zabbix
сервер корпоративного мессенджера Openfire
Нет тестового сегмента решений Linux из-за недостатка
вычислительных ресурсов
Развитие направления Linux потребует расширения и улучшения
компетенций службы эксплуатации ИТ
Ключевые возможные изменения:
Развитие компетенций службы эксплуатации ИТ в части Linux направления, что
потребуется при переходе на импортонезависимые продукты ИТ-инфраструктуры
Обеспечение серверов Linux дополнительными вычислительными ресурсами (CPU и
RAM)
Использование отечественных решений в части ОС для серверов позволит увеличить
отказоустойчивость и надёжность инфраструктуры, ввиду доступности технической
поддержки от вендора и специалистов на рынке кадров, снизит юридические и
репутационные риски для бизнеса
|
Кировский ССК
Вычислительная инфраструктура
LINUX
резюме
Нехватка вычислительных
ресурсов
Отсутствие тестового
сегмента
Рекомендуется усиление
компетенций в части Linux у
службы эксплуатации ИТ
www.kssk.ru
37.
Вычислительная инфраструктура |Возможности развития направления Linux
БЕЗОПАСНОСТЬ: инфраструктура на базе Linux в данный
момент более безопасная, чем на базе Windows, ввиду
высокой зависимости от вендора, отсутствия
официального лицензирования и отсутствия наиболее
важных обновлений безопасности - это создает
существенные финансовые, юридические и
репутационные риски для бизнеса.
ГИБКОСТЬ И МАСШТАБИРУЕМОСТЬ: Linux
предлагает широкий спектр инструментов и
возможностей для управления вашей
инфраструктурой. Это позволит ИТподразделению легко масштабировать и
адаптировать систему под изменяющиеся
потребности бизнеса.
ПОДДЕРЖКА И ОБНОВЛЕНИЯ: Linux предоставляет
возможности качественной технической поддержки и
регулярные обновления. Стоимость технической
поддержки по продуктам компании Microsoft будет
расти, ввиду отсутствия поддержки вендора на
территории России.
СООБЩЕСТВО И ЭКОСИСТЕМА: Linux имеет
активное сообщество разработчиков и
пользователей, что обеспечивает доступ к
широкому спектру решений, инструкций и
советов для оптимальной работы с
операционной системой.
КАДРЫ: использование Linux-инфраструктуры, в долгосрочной перспективе, упростит поиск сотрудников
для её эксплуатации и обслуживания. Ввиду ухода компании Microsoft с рынка, усложнена подготовка
специалистов по продуктам компании Microsoft, в том числе специалистов по Windows Server.
|
Кировский ССК
www.kssk.ru
38.
ПРЕДВАРИТЕЛЬНОВычислительная инфраструктура | Мониторинг
Система мониторинга требует развития для обеспечения требуемых уровней доступности ИТсистем, а так же построения процесса управления вычислительными мощностями
резюме
Функции
По факту
Эталон
Функции
По факту
Эталон
Автоматизация
постановки
на мониторинг
Мониторинг
ИТ инфраструктуры
Мониторинг приложений
Система мониторинга
Мониторинг
производства (станки)
Мониторинг
ИТ сервисов
Прогнозирование
утилизации ключевых
метрик
Визуализация
Оповещение
Интеграция
с CMDB (системой
инвентаризации)
Сбор и хранение логов
Ограниченная функциональность
Полная функциональность
Отсутствует / не используется
Ключевые необходимые изменения:
• Постановка на мониторинг ИТ-систем (1С, ERP, СЭД и т.д.), внедрение дашбордов
состояния ИТ-систем -> ускорение процессов решения проблем
• Постановка на мониторинг всех компонентов ИТ-инфраструктуры, сбор данных
об утилизации и создание на их основе трендов потребления -> улучшения
планирования и процессов закупки ИТ-оборудования
• Изменение архитектуры мониторинга и переход на отказоустойчивую модель HAрешений для Zabbix
• Внедрение сбора логов от Информационных систем и оборудования
|
Кировский ССК
Мониторинг
резюме
В качестве системы используется
оптимальное решение - Zabbix
Отдел IT получает уведомления
в месседжер (бот в Telegram)
и реагирует на инциденты 24/7
Большая часть ИТ-инфраструктуры
интегрирована в систему
мониторинга
www.kssk.ru
39.
ПРЕДВАРИТЕЛЬНОСистемы коммуникаций | Телефония
резюме
Система телефонии, в целом, отвечает требованиям бизнеса.
Рекомендуется провести полную миграцию на целевую систему телефонии и разработать
эксплуатационную документацию.
Система телефонии построена на базе IP-АТС Yeastar P570 в
отказоустойчивой конфигурации. Используется бесплатная лицензия с
базовым функционалом:
Голосовая почта не используется
функция записи разговоров - практически не используется
Аудио-конференц-связь не используется (нет потребности)
Используется телефонный справочник
Ёмкость системы – 500 пользователей, использовано 167 номеров.
Есть 58 внутренних и 19 внешних номеров на базе FreePBX (Asterisk)
-> планируется их перевод в основную АТС Yeastar.
Системы телефонии подключены к ТфОП с помощью SIP-транка двух
операторов.
Имеется ЗИП из 30 телефонных аппаратов
Ключевые возможные изменения:
• Миграция в целевую систему Yeastar всех номеров из FreePBX
• Разработка эксплуатационной документации
|
Функционал не используется, так как нет
регламентов
Кировский ССК
Системы коммуникаций
Телефония
резюме
В качестве системы используется
оптимальное решение - Yeastar
P570
Техподдержка реализована
внутренним отделом ИТ (два
администратора). Документация
на систему отсутствует.
Проблем с производительностью
АТС нет, сбои наблюдаются в
основном на каналах в ТфОП
(связаны с отказами на стороне
оператора связи).
Выделенный голосовой VLAN для
телефонии отсутствует
www.kssk.ru
40.
ПРЕДВАРИТЕЛЬНОУказать цифры в таблице справа
Системы коммуникаций | Пользовательские сервисы
ВКС
В Холдинге отсутствует система видеоконференц связи. Необходим расчёт и внедрение
корректного решения ВКС, учитывающего функциональные требования к ней.
резюме
Функции
По факту
Сеансы видеосвязи
Мессенджер
Планировщики
Интеграция с
корпоративной
почтой
Сбор и хранение
логов
Ограниченная функциональность
Эталон
Функции
По факту
Эталон
Количество
пользователей
сервиса ВКС
Видеоконференцсвязь
резюме
Количество
переговорных
комнат с ММС
Глубина записи
сеансов ВКС
Полная функциональность
Системы коммуникаций
Отсутствует / не используется
В качестве ВКС эпизодически
используются облачные и бесплатные
сервисы - Yandex Telemost и ZOOM.
Оборудованных переговорных комнат
– нет.
Интеграция с корпоративными
сервисами - отсутствует.
Ключевые возможные изменения:
• Необходимо внедрение полноценной системы ВКС для всех
руководителей, пользователей и Компаний Холдинга.
|
Кировский ССК
www.kssk.ru
41.
| Кировский ССК6
Информационная безопасность
Состояние AS-IS
42.
Сводная информация о проведенном аудите ИБСрок проведения аудита
Февраль 2024 – Март 2024
Работы, проводимые в рамках аудита
|
Оценка защищенности ИТинфраструктуры и
бизнес-систем, анализ
СЗИ
Оценка соответствия требования
законодательства РФ по ПДн
Оценка процессов
обеспечения ИБ
Сбор информации об утечках и
анализ защищенности внешнего
периметра (Jet Nautilus)
Кировский ССК
www.kssk.ru
43.
Области аудита ИБПроцессы
Технологии
Персонал
Большая часть процессов ИБ
отсутствует. Процессы ИБ не
являются системными и зрелыми
ввиду недостаточности ресурсов
для их поддержания, а также
отсутствия долгосрочной
программы развития ИБ.
В Компании используется
минимальное количество СЗИ.
При этом все СЗИ используются
неэффективно за счет
отсутствия поддержки /
отсутствия обновлений
функционала решений /
отсутствием возможности влиять
на настройки. Текущих СЗИ
недостаточно для эффективного
противодействия современным
угрозам ИБ и защиты активов
Компании.
Штат ИБ состоит из 1
работника, рабочего времени
которого недостаточно для
обеспечения устойчивого
обеспечения и развития
информационной безопасности.
Оценка уровня зрелости
процессов — низкая
Оценка уровня зрелости
персонала — низкая
Оценка уровня зрелости
технологий — низкая
|
Кировский ССК
www.kssk.ru
44.
Текущее состояние | Область «Процессы»ПРОЦЕССЫ
ТЕХНОЛОГИИ
ПЕРСОНАЛ
Краткие выводы
Был проведен анализ подходов к управлению ИБ,
изучение наличия и полноты имеющихся
документов в области ИБ и оценка
эффективности ключевых процессов ИБ.
Общий уровень зрелости процессов ИБ определен
Исполнителем как начальный (0,5)
Модель, используемая для оценки
уровня зрелости процессов ИБ
|
Кировский ССК
www.kssk.ru
45.
Текущее состояние | Область «Процессы»ПРОЦЕССЫ
ТЕХНОЛОГИИ
Ключевая проблематика
Методологическое
обеспечение
Управление архитектурой
ИБ
Контроль соответствия
нормативных требованиям
Контроль состояния ИБ
Обеспечение ИБ при
взаимодействии с внешними
сторонами
Управление СКЗИ
Управление сетевой
безопасностью
Управление безопасностью
конечных точек
Управление безопасностью
мобильных устройств
Управление инцидентами ИБ
Повышение осведомленности
Управление доступом
Управление уязвимостями
Безопасность
корпоративных данных
Практическая проверка
защищенности
• Регламентирующие документы в
области ИБ отсутствуют
• Отсутствует задокументированное
распределение ответственности
между ИТ и ИБ
• Процессы либо отсутствуют, либо
выполняются хаотично
ПЕРСОНАЛ
• Для большей части процессов
отсутствуют ответственные лица
• Отсутствуют инструменты
автоматизации управления
процессами
Процесс отсутствует
|
Кировский ССК
Базовый уровень
Повторяемый уровень
Определенный уровень
Управляемый уровень
Оптимизируемый уровень
www.kssk.ru
46.
Текущее состояние | Регуляторные требованияПРОЦЕССЫ
!
ПЕРСОНАЛ
Большая часть мер, направленных на выполнение требований законодательства по ПДн не реализована.
Невыполнение требований влечет за собой применение штрафных санкций со стороны регуляторов в области ИБ
152-ФЗ «О персональных данных»
98-ФЗ «О коммерческой тайне»
Выстраивание процессов
обработки ПДн и разработка
необходимой документации
Определение перечня информации,
составляющей коммерческую тайну
(ИКТ)
Определение необходимых уровней
защищенности ПДн
Определение доступа к ИКТ
Моделирование угроз
безопасности ПДн
Учет лиц, получивших доступ к
ИКТ
Проектирование системы защиты
ПДн
Регулирование договорных
отношений
Внедрение системы защиты ПДн
Маркировка носителей ИКТ
Рекомендуется скорректировать процесс
обработки и защиты ПДн в соответствии с
рекомендациями в документе «Отчет об оценке
организации обработки ПДн»
|
ТЕХНОЛОГИИ
ПРЕДВАРИТЕЛЬНО
Кировский ССК
Для придания юридической значимости режима
защиты КТ рекомендуется реализация учета лиц,
получающих доступ к ИКТ и проставление грифов
КТ
187-ФЗ «О безопасности
критической информационной
инфраструктуры РФ»
Автотранспортная организация
холдинга (ООО «Кастрой»)
потенциально является субъектом КИИ
РФ.
Рекомендуется провести следующие
мероприятия:
• анализ применимости требований
законодательства
обследование соответствия
требованиям законодательству
категорирование объектов КИИ
моделирование угроз безопасности
ОКИИ
проектирование и внедрение системы
защиты используемых объектов КИИ
www.kssk.ru
47.
Текущее состояние | Область «Технологии»ПРОЦЕССЫ
!
ПЕРСОНАЛ
Наличие уязвимостей в инфраструктуре даёт злоумышленнику возможность использовать эти слабые места и
реализовать атаку
Общий уровень безопасности ИТинфраструктуры Компании оценен
Исполнителем как низкий
Злоумышленник может:
• легко попасть в сетевой периметр (отсутствие 2FA);
• использовать имеющиеся уязвимости инфраструктуры и
«небезопасные» настройки (отсутствие обновлений
безопасности и регулярного сканирования на
уязвимости);
• использовать избыточные права доступа для повышения
своих привилегий в инфраструктуре;
• без дополнительных усилий перемещаться во внутренней
сетевой инфраструктуре («плоская» сеть).
При этом у Компании отсутствуют инструменты
мониторинга реализации атаки. Компания может не знать
о нахождении злоумышленника во внутреннем периметре
|
ТЕХНОЛОГИИ
Кировский ССК
Общий уровень безопасности бизнессистем Компании оценен Исполнителем
как низкий
Злоумышленник может:
• использовать известные уязвимости бизнес-систем для
развития атаки;
• использовать слабые места в правах доступа к
системам (неактивные привилегированные и групповые
учетные записи);
• получить конфиденциальную информацию Компании из
сред тестирования и разработки.
Из-за отсутствия процесса контроля безопасности
внедряемых бизнес-систем и ИТ-решений Компания не
знает о слабых местах, которые могут использоваться
как внешним, так и внутренним нарушителем
www.kssk.ru
48.
Текущее состояние | Область «Технологии»ПРОЦЕССЫ
2FA
ТЕХНОЛОГИИ
ПЕРСОНАЛ
SIEM
WAF
Proxy
IRP
AV
NGFW
DLP
Краткие выводы
Внутренний периметр (сеть)
PIM
Внешний периметр
EDR
DAM
Периметр ИТ-инфраструктуры
DC
В Компании используется минимальное
количество СЗИ. При этом имеющиеся СЗИ
используются неэффективно за счет отсутствия
поддержки / отсутствия обновлений функционала
решений / отсутствия возможности влиять на
настройки.
Защита данных
СЗИ являются «препятствием» на пути
злоумышленника. Отсутствие СЗИ или их
неэффективное использование позволяют
злоумышленнику развивать атаку и оставаться
незамеченным
Deception
DAG
DCAP
MDM
VPN
VS
NTA
Антифишинговые
решения
Anti-DDoS
NAC
SGRC
Защита почты
Решение реализовано
|
Кировский ССК
Решение отсутствует
Решение реализовано частично (эксплуатируется неэффективно)
www.kssk.ru
49.
Текущее состояние | Область «Персонал»ПРОЦЕССЫ
В Компании проводятся
работы по поиску
специалистов ИБ, которые
усилят обеспечение
безопасности
ТЕХНОЛОГИИ
ПЕРСОНАЛ
Управление персоналом в области ИБ
Устойчивое развитие функции ИБ во многом обеспечивается благодаря
наличию достаточного количества персонала с соответствующими
компетенциями.
Во время проведения аудита в Компанию был нанят компетентный
специалист по ИБ (до этого задачи по ИБ выполнялись работниками отдела
ИТ). Однако текущего штата ИБ недостаточно для выстраивания ИБ до
целевого уровня
Возможна смена
подчиненности функции
ИБ напрямую
руководству Компании
(при принятии
соответствующего
решения)
|
Кировский ССК
www.kssk.ru
50.
Ключевые мероприятия по развитию ИБ№
ПРЕДВАРИТЕЛЬНО
Мероприятия
1
Расширение лицензий Kaspersky Endpoint Security для всех доменных пользователей (уровень лицензий –
«Расширенный» / «Total»)
2
Реализация защиты внедренной корпоративной почты
3
Модернизация средств защиты сети (внедрение NGFW с функционалом IDS/IPS)
4
Модернизация VPN и реализация двухфакторной аутентификации
5
Реализация функционала Anti-DDoS на стороне провайдера для защиты публичных сервисов (реализация должна
осуществляться на стороне ООО Интернет-агентство «Инфинити»)
6
Модернизация системы учета рабочего времени «Стахановец» (донастройка решения для возможности контроля
утечек конфиденциальной информации и сокращения времени обработки информации, расширение лицензий и
перевод системы в промышленную эксплуатацию (в случае выбора данного производителя)
7
Внедрение системы защиты от утечек (DLP)
8
Выстраивание и регламентирование процессов ИБ
9
Харденинг (настройка параметров ИТ-инфраструктуры) в соответствии с рекомендациями Исполнителя
10
Устранение несоответствий, выявленных Исполнителем в рамках обследования процессов обработки и защиты
ПДн
11
Согласование функцией ИБ ИТ-инициативы для проверки безопасности и разработка единых требований к
обеспечению безопасности ИС
|
Кировский ССК
www.kssk.ru
51.
Защищенность внешнего периметраВ работе
Результаты Jet Nautilus (в работе)
|
Кировский ССК
www.kssk.ru
52.
| Кировский ССК7
ПРИЛОЖЕНИЯ
53.
ПодзаголовокМесто под текст
(Шрифт Montserrat, 12 размер)
* Место под сноску
|
Кировский ССК
www.kssk.ru
54.
|Кировский ССК
www.kssk.ru
55.
Пример таблицнаименование
1
2
3
4
5
6
7
1
2
3
4
5
|
Кировский ССК
www.kssk.ru
56.
Пример оформления пунктовДома органично вписываются в окружающий ландшафт благодаря продуманному
благоустройству, обилию растений и умиротворяющей атмосфере.
|
Закрытое приватное пространство
без машин с контролируемым доступом
и большая парковка за пределами двора
Ландшафтный дизайн
и современная детская площадка,
зонированная по возрастам
Безбарьерная среда от двора
и до самого лифта
Дизайнерская отделка
подъезда в природных оттенках
Колясочная и велосипедная
прямо в доме
Кладовые помещения
для вашего комфорта
Кировский ССК
www.kssk.ru