АО «Аэропорт Анапа»

Комплексный аудит информационной безопасности в соответствии с международным стандартом ГОСТ Р ИСО/МЭК 27001

КЛИЕНТ

АО «Аэропорт Анапа» — один из ключевых транспортных узлов Краснодарского края и южного региона России, обеспечивающий приём и обслуживание воздушных судов, пассажиров и грузов. Аэропорт относится к объектам транспортной инфраструктуры федерального значения и является сложным многоконтурным производственным комплексом, в котором сосуществуют различные по назначению и уровню критичности информационные системы: системы управления полётами, диспетчерского обеспечения, обработки багажа, регистрации пассажиров, видеонаблюдения, контроля доступа, корпоративного документооборота, бухгалтерии, кадрового учёта и взаимодействия с контрагентами. Каждая из этих подсистем обрабатывает чувствительные данные и связана с смежными контурами как внутри периметра аэропорта, так и с внешними участниками — авиакомпаниями, органами пограничного и таможенного контроля, службами безопасности, операторами связи.

Специфика аэропортовой инфраструктуры предъявляет повышенные требования к информационной безопасности: любой сбой или инцидент способен повлиять не только на непрерывность бизнес-процессов коммерческой организации, но и на безопасность полётов, безопасность пассажиров и выполнение обязательств перед государственными регуляторами. В рамках инфраструктуры функционируют зоны различного назначения — служебная, технологическая, общедоступная для пассажиров, — каждая из которых требует собственной модели безопасности, собственных средств защиты и собственных процедур контроля.

ЗАДАЧА

Перед нашей командой была поставлена задача провести комплексный аудит информационной безопасности в соответствии с международным стандартом ГОСТ Р ИСО/МЭК 27001, а также выполнить комплексный пентест (тестирование на проникновение) для всей разнородной ИТ-инфраструктуры аэропорта, разделённой на специфические зоны безопасности. Задача усложнялась тем, что аудит должен был охватить не только технические средства и конфигурации, но и процессы управления ИБ, политики, регламенты, процедуры реагирования на инциденты, взаимодействие подразделений, а также уровень осведомлённости персонала о правилах информационной безопасности.

Помимо этого, в рамках проекта требовалось подготовить дорожную карту развития информационной безопасности на ближайшие несколько лет — документ, содержащий приоритизированный перечень мероприятий с оценкой ресурсов, сроков и ожидаемых эффектов. Такой документ необходим для системного планирования инвестиций в ИБ, обоснования бюджетов перед руководством и координации усилий внутренних служб с внешними подрядчиками.

ОТРАСЛЬ

Транспортная инфраструктура, гражданская авиация, объекты критической информационной инфраструктуры (КИИ) Российской Федерации. Отрасль характеризуется жёстким регулированием со стороны нескольких регуляторов одновременно: ФСТЭК России, ФСБ России, Росавиации, Минтранса, а также требованиями международных стандартов ICAO и IATA. Информационные системы аэропорта подпадают под действие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры», Федерального закона № 152-ФЗ «О персональных данных», приказов ФСТЭК № 117 (с 01.03.2026; ранее № 17), № 21, № 239, а также отраслевых требований по транспортной безопасности.

ПРОБЛЕМАТИКА

Клиент обратился с потребностью в независимой комплексной оценке состояния информационной безопасности. Основные болевые точки, сформулированные руководством и службой ИБ аэропорта, включали несколько аспектов.

  1. Во-первых, внутренние оценки защищённости, выполняемые собственной службой, не могли считаться полностью объективными, поскольку сотрудники службы одновременно являются и проектировщиками, и эксплуатантами систем защиты — это естественный конфликт интересов, присущий любой организации.
  2. Во-вторых, инфраструктура развивалась поэтапно, разными подрядчиками, в разные годы, и накопила значительный технический долг: унаследованные конфигурации, смешение поколений оборудования, неоднородные подходы к сегментации сети, не везде актуализированные политики доступа.
  3. В-третьих, особую сложность представляла задача оценки беспроводных сетей: аэропорт покрыт большим количеством точек доступа Wi-Fi различного назначения — служебных, технологических, гостевых, — а периметр объекта физически проницаем для злоумышленников, способных приблизиться к зданию с парковки или прилегающих территорий и попытаться атаковать инфраструктуру по радиоканалу. В-четвёртых, требовалось понять реальную устойчивость персонала к социотехническим атакам: насколько сотрудники готовы распознавать фишинг, попытки получения доступа под предлогом служебной необходимости, физические проникновения. В-пятых, отсутствовал единый, формализованный и согласованный с руководством план развития ИБ, что затрудняло принятие инвестиционных решений.
Проблема генерального директора, директора по ИТ, начальника службы ИБ — состояла в невозможности уверенно отвечать на вопросы акционеров и регуляторов: «Насколько защищён аэропорт? Где наши слабые места? На что в первую очередь тратить бюджет ИБ в следующем году? Готовы ли мы к проверке?» Без независимого экспертного заключения эти вопросы оставались открытыми.

РЕШЕНИЕ

Для решения поставленной задачи была сформирована экспертная группа, объединившая аудиторов по стандарту ISO/IEC 27001 и пентестеров с опытом работы в критической инфраструктуре. Работы были организованы в формате выездного обследования, что позволило охватить физический, сетевой, прикладной и организационный уровни безопасности одновременно.

  1. На первом этапе был проведён сбор данных в различных подразделениях аэропорта: анализировалась существующая документация — политики ИБ, регламенты, инструкции пользователей, журналы инцидентов, результаты предыдущих проверок. Параллельно проводились личные интервью с ключевым персоналом: руководителями подразделений, системными администраторами, офицерами безопасности, рядовыми сотрудниками. Интервью позволили сопоставить документально закреплённые процессы с реальной практикой и выявить несоответствия между «как должно быть» и «как есть».
  2. На втором этапе проводился технический аудит: инвентаризация активов, анализ сетевой архитектуры и сегментации, проверка конфигураций серверов, рабочих станций, сетевого оборудования и средств защиты. Оценивались процессы управления уязвимостями, патч-менеджмента, управления доступом, резервного копирования, мониторинга событий безопасности. Проверялись механизмы защиты от вредоносного ПО, DLP-решения, системы обнаружения вторжений.
  3. На третьем этапе был выполнен комплексный пентест, включающий внешний пентест периметра, внутренний пентест из разных сегментов корпоративной сети, тестирование веб-приложений, аудит беспроводных сетей и социотехнические мероприятия. Для анализа защищённости Wi-Fi сетей применялся специализированный мобильный комплекс, в состав которого входили ложные точки доступа (Rogue AP), двухдиапазонные антенны с высоким коэффициентом усиления, оборудование для атак типа Evil Twin, Deauthentication, KRACK, а также программные средства для анализа трафика, перехвата и оффлайн-подбора паролей. Комплекс развёртывался в различных точках периметра и внутри здания для оценки покрытия, уровня утечек радиосигнала за пределы защищаемой зоны, возможностей несанкционированного подключения.

Параллельно проводилась социотехническая часть: контролируемая фишинговая рассылка, попытки физического проникновения в служебные зоны. Все действия согласовывались с ограниченным кругом лиц со стороны заказчика для обеспечения чистоты эксперимента.
По итогам работ был подготовлен комплексный отчёт, включающий: матрицу рисков с ранжированием по вероятности и ущербу, технические описания выявленных уязвимостей с доказательствами эксплуатации, карту несоответствий требованиям ISO/IEC 27001, дорожную карту развития ИБ с разбивкой мероприятий по горизонтам 6 / 12 / 24 / 36 месяцев, оценкой трудозатрат и капитальных затрат.

РЕЗУЛЬТАТЫ

Клиент получил объективную независимую оценку состояния информационной безопасности с фиксацией конкретных рисков и чёткими инструкциями по их закрытию. Такой подход позволил системно усилить защиту всей инфраструктуры аэропорта, а не решать точечные проблемы по мере их проявления.

Для руководства аэропорта отчёт стал инструментом принятия стратегических решений: появилось обоснование для корректировки бюджета ИБ, расстановки приоритетов между конкурирующими инициативами, выбора вендоров и подрядчиков на следующие этапы работ. Директор по ИТ получил технически детализированный план устранения уязвимостей, который можно было декомпозировать на задачи для внутренних команд и внешних исполнителей. Начальник службы ИБ получил аргументированный документ для защиты перед регуляторами и акционерами.

Были закрыты следующие вопросы: устранена неопределённость относительно реального уровня защищённости; получен приоритизированный план инвестиций в ИБ; подтверждена готовность организации к внешним проверкам; снижены риски инцидентов, способных повлиять на непрерывность деятельности аэропорта и безопасность полётов; повышена зрелость процессов управления ИБ. Формирование дорожной карты позволило перевести ИБ из режима реактивного реагирования в режим планомерного развития.

Перспективы развития сотрудничества включают проведение повторных периодических аудитов для отслеживания динамики зрелости ИБ, расширение объёма пентестов с учётом вводимых в эксплуатацию новых систем, а также консалтинговое сопровождение реализации мероприятий дорожной карты.

Решаем такие же задачи для вашей инфраструктуры

Обсудим проект, сроки и стоимость под вашу ситуацию.

Обсудить проект →

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва