КЛИЕНТ
АО «Аэропорт Анапа» — один из ключевых транспортных узлов Краснодарского края и южного региона России, обеспечивающий приём и обслуживание воздушных судов, пассажиров и грузов. Аэропорт относится к объектам транспортной инфраструктуры федерального значения и является сложным многоконтурным производственным комплексом, в котором сосуществуют различные по назначению и уровню критичности информационные системы: системы управления полётами, диспетчерского обеспечения, обработки багажа, регистрации пассажиров, видеонаблюдения, контроля доступа, корпоративного документооборота, бухгалтерии, кадрового учёта и взаимодействия с контрагентами. Каждая из этих подсистем обрабатывает чувствительные данные и связана с смежными контурами как внутри периметра аэропорта, так и с внешними участниками — авиакомпаниями, органами пограничного и таможенного контроля, службами безопасности, операторами связи.Специфика аэропортовой инфраструктуры предъявляет повышенные требования к информационной безопасности: любой сбой или инцидент способен повлиять не только на непрерывность бизнес-процессов коммерческой организации, но и на безопасность полётов, безопасность пассажиров и выполнение обязательств перед государственными регуляторами. В рамках инфраструктуры функционируют зоны различного назначения — служебная, технологическая, общедоступная для пассажиров, — каждая из которых требует собственной модели безопасности, собственных средств защиты и собственных процедур контроля.
ЗАДАЧА
Перед нашей командой была поставлена задача провести комплексный аудит информационной безопасности в соответствии с международным стандартом ГОСТ Р ИСО/МЭК 27001, а также выполнить комплексный пентест (тестирование на проникновение) для всей разнородной ИТ-инфраструктуры аэропорта, разделённой на специфические зоны безопасности. Задача усложнялась тем, что аудит должен был охватить не только технические средства и конфигурации, но и процессы управления ИБ, политики, регламенты, процедуры реагирования на инциденты, взаимодействие подразделений, а также уровень осведомлённости персонала о правилах информационной безопасности.Помимо этого, в рамках проекта требовалось подготовить дорожную карту развития информационной безопасности на ближайшие несколько лет — документ, содержащий приоритизированный перечень мероприятий с оценкой ресурсов, сроков и ожидаемых эффектов. Такой документ необходим для системного планирования инвестиций в ИБ, обоснования бюджетов перед руководством и координации усилий внутренних служб с внешними подрядчиками.
ОТРАСЛЬ
Транспортная инфраструктура, гражданская авиация, объекты критической информационной инфраструктуры (КИИ) Российской Федерации. Отрасль характеризуется жёстким регулированием со стороны нескольких регуляторов одновременно: ФСТЭК России, ФСБ России, Росавиации, Минтранса, а также требованиями международных стандартов ICAO и IATA. Информационные системы аэропорта подпадают под действие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры», Федерального закона № 152-ФЗ «О персональных данных», приказов ФСТЭК № 117 (с 01.03.2026; ранее № 17), № 21, № 239, а также отраслевых требований по транспортной безопасности.ПРОБЛЕМАТИКА
Клиент обратился с потребностью в независимой комплексной оценке состояния информационной безопасности. Основные болевые точки, сформулированные руководством и службой ИБ аэропорта, включали несколько аспектов.- Во-первых, внутренние оценки защищённости, выполняемые собственной службой, не могли считаться полностью объективными, поскольку сотрудники службы одновременно являются и проектировщиками, и эксплуатантами систем защиты — это естественный конфликт интересов, присущий любой организации.
- Во-вторых, инфраструктура развивалась поэтапно, разными подрядчиками, в разные годы, и накопила значительный технический долг: унаследованные конфигурации, смешение поколений оборудования, неоднородные подходы к сегментации сети, не везде актуализированные политики доступа.
- В-третьих, особую сложность представляла задача оценки беспроводных сетей: аэропорт покрыт большим количеством точек доступа Wi-Fi различного назначения — служебных, технологических, гостевых, — а периметр объекта физически проницаем для злоумышленников, способных приблизиться к зданию с парковки или прилегающих территорий и попытаться атаковать инфраструктуру по радиоканалу. В-четвёртых, требовалось понять реальную устойчивость персонала к социотехническим атакам: насколько сотрудники готовы распознавать фишинг, попытки получения доступа под предлогом служебной необходимости, физические проникновения. В-пятых, отсутствовал единый, формализованный и согласованный с руководством план развития ИБ, что затрудняло принятие инвестиционных решений.
РЕШЕНИЕ
Для решения поставленной задачи была сформирована экспертная группа, объединившая аудиторов по стандарту ISO/IEC 27001 и пентестеров с опытом работы в критической инфраструктуре. Работы были организованы в формате выездного обследования, что позволило охватить физический, сетевой, прикладной и организационный уровни безопасности одновременно.- На первом этапе был проведён сбор данных в различных подразделениях аэропорта: анализировалась существующая документация — политики ИБ, регламенты, инструкции пользователей, журналы инцидентов, результаты предыдущих проверок. Параллельно проводились личные интервью с ключевым персоналом: руководителями подразделений, системными администраторами, офицерами безопасности, рядовыми сотрудниками. Интервью позволили сопоставить документально закреплённые процессы с реальной практикой и выявить несоответствия между «как должно быть» и «как есть».
- На втором этапе проводился технический аудит: инвентаризация активов, анализ сетевой архитектуры и сегментации, проверка конфигураций серверов, рабочих станций, сетевого оборудования и средств защиты. Оценивались процессы управления уязвимостями, патч-менеджмента, управления доступом, резервного копирования, мониторинга событий безопасности. Проверялись механизмы защиты от вредоносного ПО, DLP-решения, системы обнаружения вторжений.
- На третьем этапе был выполнен комплексный пентест, включающий внешний пентест периметра, внутренний пентест из разных сегментов корпоративной сети, тестирование веб-приложений, аудит беспроводных сетей и социотехнические мероприятия. Для анализа защищённости Wi-Fi сетей применялся специализированный мобильный комплекс, в состав которого входили ложные точки доступа (Rogue AP), двухдиапазонные антенны с высоким коэффициентом усиления, оборудование для атак типа Evil Twin, Deauthentication, KRACK, а также программные средства для анализа трафика, перехвата и оффлайн-подбора паролей. Комплекс развёртывался в различных точках периметра и внутри здания для оценки покрытия, уровня утечек радиосигнала за пределы защищаемой зоны, возможностей несанкционированного подключения.
Параллельно проводилась социотехническая часть: контролируемая фишинговая рассылка, попытки физического проникновения в служебные зоны. Все действия согласовывались с ограниченным кругом лиц со стороны заказчика для обеспечения чистоты эксперимента.
По итогам работ был подготовлен комплексный отчёт, включающий: матрицу рисков с ранжированием по вероятности и ущербу, технические описания выявленных уязвимостей с доказательствами эксплуатации, карту несоответствий требованиям ISO/IEC 27001, дорожную карту развития ИБ с разбивкой мероприятий по горизонтам 6 / 12 / 24 / 36 месяцев, оценкой трудозатрат и капитальных затрат.
РЕЗУЛЬТАТЫ
Клиент получил объективную независимую оценку состояния информационной безопасности с фиксацией конкретных рисков и чёткими инструкциями по их закрытию. Такой подход позволил системно усилить защиту всей инфраструктуры аэропорта, а не решать точечные проблемы по мере их проявления.Для руководства аэропорта отчёт стал инструментом принятия стратегических решений: появилось обоснование для корректировки бюджета ИБ, расстановки приоритетов между конкурирующими инициативами, выбора вендоров и подрядчиков на следующие этапы работ. Директор по ИТ получил технически детализированный план устранения уязвимостей, который можно было декомпозировать на задачи для внутренних команд и внешних исполнителей. Начальник службы ИБ получил аргументированный документ для защиты перед регуляторами и акционерами.
Были закрыты следующие вопросы: устранена неопределённость относительно реального уровня защищённости; получен приоритизированный план инвестиций в ИБ; подтверждена готовность организации к внешним проверкам; снижены риски инцидентов, способных повлиять на непрерывность деятельности аэропорта и безопасность полётов; повышена зрелость процессов управления ИБ. Формирование дорожной карты позволило перевести ИБ из режима реактивного реагирования в режим планомерного развития.
Перспективы развития сотрудничества включают проведение повторных периодических аудитов для отслеживания динамики зрелости ИБ, расширение объёма пентестов с учётом вводимых в эксплуатацию новых систем, а также консалтинговое сопровождение реализации мероприятий дорожной карты.