1.90M
Similar presentations:
Информационная безопасность в телекоммуникационной компании “МегаФон”
Информационная безопасность в телекоммуникационной компании “МегаФон”
Основы безопасности информационных технологий
Основы безопасности информационных технологий
Техническое обеспечение ИБ
Техническое обеспечение ИБ
Состав типовой комплексной системы защиты информации на предприятии
Состав типовой комплексной системы защиты информации на предприятии
Информационная защита. Компания Itprotect Group
Информационная защита. Компания Itprotect Group
Организация системы защиты персональных данных компании «ПНК»
Организация системы защиты персональных данных компании «ПНК»
Центра IT-инфраструктур для участия в премии «STAR WORLDS ВОЭК»
Центра IT-инфраструктур для участия в премии «STAR WORLDS ВОЭК»
Разработка политики безопасности персонального компьютера от несанкционированного доступа на предприятии ПАО Газпром
Разработка политики безопасности персонального компьютера от несанкционированного доступа на предприятии ПАО Газпром
Обеспечение информационной безопасности цифровой подстанции
Обеспечение информационной безопасности цифровой подстанции
Анализ рисков в управлении информационной безопасностью
Анализ рисков в управлении информационной безопасностью

Отчет_об_аудите_информационной_безопасности_Новатек

1.

Отчет об аудите
информационной
безопасности ( ПАО
«Новатек» )
Проведено независимой аудиторской группой:
ККСО-24-25 : Максим Верчинский, Николай Бурцев, Даниэль Рубинов

2.

Резюме для руководства
Проведен независимый аудит системы информационной безопасности ПАО «Новатек». Компания демонстрирует развитый подход к
управлению ИБ, однако масштабирование бизнеса и цифровая трансформация выявили ключевые зоны риска.
Угрозы цепочки поставок
Защита промышленных
систем
Человеческий фактор
оборудования создает операционные
Недостаточная сегментация сетей и
сотрудников непроизводственных
и репутационные риски.
мониторинг на объектах добычи и
подразделений требует повышения.
Зависимость от иностранного ПО и
Осведомленность в области ИБ среди
сжижения газа.
Оценка зрелости: Уровень «Развивающийся» (3 из 5). Вектор на «Управляемый» уровень требует утверждения Плана
мероприятий.

3.

Области и методология аудита
Области проверки:
Методология исследования:
Управление ИБ и политики
Интервью с ключевыми специалистами
Кадровая безопасность
Анализ документации и конфигураций
Защита периметра и сетей
Техническое тестирование систем
Идентификация и аутентификация
Сканирование уязвимостей
Защита конечных точек
Проверка резервного копирования
Дополнительные области:
Мониторинг инцидентов (SOC)
Промышленная безопасность (АСУ ТП)
Защита персональных данных (ФЗ-152)

4.

Результаты аудита и выявленные риски
Сильные стороны:
Структура управления
Система мониторинга
Формальная организационная структура управления ИБ.
Внедрена и функционирует система управления инцидентами (SOC).
Современные средства защиты
Обучение и резервное копирование
Развернуты Firewalls, и специализированные решения на корпоративной сети.
Реализована программа обучения и налажены процессы резервного копирования
критических систем.
Критические выявленные несоответствия:
Область
Выявленное несоответствие
Уровень риска
Управление третьими сторонами
Отсутствует программа управления рисками поставщиков
Высокий
АСУ ТП / Сегментация
Слабая сегментация OT/IT сетей на периферийных объектах
Высокий
Осведомленность
Уровень кликабельности при фишинг-тестировании >25%
Высокий
Управление доступом
«Мертвые» учетные записи и избыточные привилегии
Средний
BCDR / Восстановление
Не полностью протестирована процедура восстановления
Средний
Шифрование
Часть мобильных устройств без обязательного шифрования
Средний

5.

Рекомендации по устранению рисков
Приоритет 1 — Высокий риск:
Управление третьими сторонами
Разработать программу управления рисками поставщиков, включить требования ИБ в договоры, проводить регулярные аудиты ключевых поставщиков.
Сегментация сетей АСУ ТП
Ускорить внедрение гостевых зон (DMZ) между IT и OT.
Киберграмотность персонала
Усилить программу обучения с целевыми тренировками для инженеров и топ-менеджеров, имитирующими реальные атаки ( фишинг).
Приоритет 2 — Средний риск:
Ревизия учетных записей
Провести пересмотр привилегий по модели Least Privilege, внедрить регулярные проверки прав доступа.
Учения по восстановлению
Провести полномасштабный Disaster Recovery Drill, включая сценарии масштабной ransomware-атаки.
Шифрование конечных точек
Обеспечить принудительное шифрование на мобильных устройствах и съемных носителях через Group Policy.

6.

Заключение и дальнейшие действия
ПАО «Новатек» обладает прочным фундаментом для построения устойчивой системы
информационной безопасности, способной противостоять современным угрозам и
соответствовать растущим требованиям регуляторов.
Выявленные замечания носят устранимый характер. Их своевременное решение позволит не
только снизить текущие риски, но и создать предпосылки для проактивной защиты в условиях
цифровизации и ужесточающегося регуляторного давления.
Шаг 1
Шаг 2
Утверждение плана мероприятий на Совете
Разработка дорожной карты по
Директоров
приоритетам
Шаг 3
Квартальный контроль выполнения рекомендаций
Готовы предоставить дополнительную информацию и оказать содействие в разработке детальной дорожной карты по
устранению выявленных замечаний.
English     Русский Rules