Крупное научно-производственное предприятие (NDA)

Задача провести приёмочные испытания подключаемого Сегмента типовых рабочих мест (ТАРМ) и осуществить контроль защиты информации на аттестованном объекте информатизации, в соответствии с Приказом ФСТЭК России № 77 от 29 апреля 2021 года.

КЛИЕНТ

Крупное научно-производственное предприятие, входящее в контур Госкорпорации «Ростех». Предприятие специализируется на разработке и производстве высокотехнологичной продукции из композиционных материалов, стеклокерамики и других современных материалов для авиации, космоса, наземной техники и других отраслей. Такой профиль предопределяет повышенные требования к информационной безопасности: значительная часть обрабатываемой информации относится к сведениям ограниченного доступа, а инфраструктура включает аттестованные объекты информатизации, функционирующие под контролем профильных регуляторов.

ИТ-ландшафт предприятия, входящего в контур Ростеха, характеризуется несколькими особенностями.
  1. Во-первых, наличие общекорпоративных сервисов, интегрированных с инфраструктурой Госкорпорации — системы функционального центра защиты данных (ФЦЗД, АС ФЗД Корпорации), единые механизмы управления доступом, централизованные политики.
  2. Во-вторых, наличие аттестованных объектов информатизации, к которым подключаются типовые автоматизированные рабочие места (ТАРМ) по строго регламентированным процедурам.
  3. В-третьих, высокая степень зарегулированности: любое расширение периметра (подключение новых АРМ, сегментов сети, сервисов) требует проведения формализованных процедур с участием регулятора и эксплуатирующих организаций.

ЗАДАЧА

Перед нами была поставлена задача провести приёмочные испытания подключаемого Сегмента типовых рабочих мест (ТАРМ) и осуществить контроль защиты информации на аттестованном объекте информатизации, в соответствии с Приказом ФСТЭК России № 77 от 29 апреля 2021 года. В рамках проекта: описание ТАРМ, проверка их соответствия регламенту подключения ТАРМ, сканирование ИТ-инфраструктуры на уязвимости, разработка отчётной документации. Результат работ — обеспечение подключения дополнительных АРМ к АС ФЗД Корпорации с соблюдением всех регуляторных требований.

ОТРАСЛЬ

Научно-производственный комплекс в контуре оборонно-промышленного комплекса (ОПК), предприятие, производящее высокотехнологичные материалы и изделия. Отрасль характеризуется высочайшим уровнем регуляторных требований по защите информации: 187-ФЗ по части значимых объектов КИИ, приказы ФСТЭК № 17, № 77, № 117, № 239, а также внутренние требования Госкорпорации «Ростех» и отраслевые стандарты ОПК. Работа с аттестованными объектами информатизации предполагает глубокое знание порядка аттестации, методик контроля, форматов отчётной документации. Ошибки в таких проектах имеют не только финансовые, но и регуляторные последствия.

ПРОБЛЕМАТИКА

Клиент обозначил необходимость проведения приёмочных испытаний подключаемого сегмента ТАРМ и контроля защиты информации на аттестованном объекте в соответствии с 77-м приказом ФСТЭК. За этой задачей стояло несколько слоёв проблематики.
  1. Первый слой — формальный регуляторный. Аттестованный объект информатизации — это объект, на который оформлен аттестат соответствия ФСТЭК. Любое существенное изменение конфигурации — в том числе подключение новых АРМ — требует контроля защиты информации с оформлением соответствующих документов. Без проведения этих процедур подключение новых АРМ технически возможно, но юридически означает нарушение условий аттестата, со всеми сопутствующими последствиями.
  2. Второй слой — корпоративный. Подключение к АС ФЗД Корпорации (Ростеха) регламентируется внутрикорпоративными документами, задающими порядок: описание ТАРМ в установленном формате, проверка соответствия регламенту подключения, согласование с эксплуатирующей организацией. Формальные требования к оформлению строгие, и отклонения ведут к возврату документов на доработку — потерям времени и сдвигам в проектных планах.
  3. Третий слой — технический. ТАРМ — это не просто рабочая станция, а типовое рабочее место с регламентированным составом ПО, настроек, средств защиты. Нужно убедиться, что реальная конфигурация соответствует регламенту: установлены требуемые средства защиты, корректно сконфигурированы, в логах нет подозрительной активности, базовая защищённость (пароли, политики, настройки) соответствует требованиям. Это требует инструментального сканирования и ручного аудита.
  4. Четвёртый слой — процессный. На предприятиях с жёсткой регуляторикой часто возникает разрыв между проектной документацией и реальной эксплуатацией: регламенты написаны, но не всегда исполняются полностью. Независимый аудит выявляет такие разрывы.
  5. Пятый слой — перспективный. 11 апреля 2025 года ФСТЭК России утвердила Приказ № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах и иных информационных системах государственных органов», заменяющий ряд положений приказов № 17 и № 21 и изменяющий подход к защите информационных систем государственного сектора и связанных с ним субъектов. Подключение ТАРМ — это подходящий момент для оценки готовности инфраструктуры к требованиям нового приказа.
Боль ЛПР — директора по ИТ, директора по ИБ, руководителя проекта по подключению АРМ — заключалась в необходимости одновременно обеспечить: скорость подключения (производственные подразделения ждут новые АРМ), формальную корректность (чтобы документы приняли эксплуатирующая организация и регулятор), техническую корректность (чтобы подключение не создало новых рисков безопасности), документальную полноту (для последующего контроля и ретроспективных проверок).

РЕШЕНИЕ

Работа была организована как структурированный проект с чётким соответствием требованиям 77-го приказа ФСТЭК и внутрикорпоративным регламентам подключения к АС ФЗД.
  1. На первом этапе проводилось описание подключаемых ТАРМ. Описание выполнялось в формате, установленном регламентом подключения: состав оборудования, состав ПО, конфигурация сетевых интерфейсов, применяемые средства защиты, роли пользователей. Описание согласовывалось с ответственными на стороне заказчика.
  2. На втором этапе проводилась проверка соответствия ТАРМ регламенту подключения. Это ключевая операция: фактическая конфигурация каждого ТАРМ сравнивалась с эталонной, установленной регламентом. Проверялись: состав установленного ПО (наличие требуемых и отсутствие запрещённых программ), состав и настройки средств защиты информации, настройки ОС (парольные политики, политики аудита, политики обновлений), сетевые настройки, список учётных записей и их прав, физическая защищённость рабочего места. Выявленные несоответствия документировались и устранялись до перехода к следующему этапу.
  3. На третьем этапе проводилось сканирование ИТ-инфраструктуры. Применялись сертифицированные сканеры защищённости, работающие как в режиме «black box» (без учётных данных), так и «white box» (с учётными данными для детального аудита конфигурации). Сканирование охватывало: проверку на известные уязвимости ОС и ПО, проверку конфигурационных несоответствий (hardening), проверку наличия и актуальности обновлений безопасности, анализ сетевого взаимодействия. Результаты сканирования анализировались, уязвимости ранжировались по критичности.
  4. На четвёртом этапе проводился контроль защиты информации в соответствии с 77-м приказом: проверка полноты и корректности реализованных мер защиты, функционирования средств защиты информации, соблюдения организационных мер, полноты эксплуатационной документации. Особое внимание уделялось специфическим для аттестованных объектов вопросам: неизменности эталонной конфигурации, контролю целостности, разграничению доступа.
  5. На пятом этапе выполнялась разработка отчётной документации. Подготавливались документы, необходимые в соответствии с требованиями регулятора по технической защите информации (ТЗИ): акт приёмочных испытаний, протоколы проведения испытаний, отчёты по сканированию, заключение о соответствии, рекомендации по устранению выявленных замечаний. Документация оформлялась в формате, принятом у заказчика и его вышестоящих организаций.
Параллельно формировались рекомендации по совершенствованию процесса управления уязвимостями — отдельный ценный артефакт, выходящий за рамки формальной задачи, но востребованный заказчиком: какие процессы стоит формализовать, какие инструменты внедрить, как организовать регулярный цикл сканирования и устранения.

РЕЗУЛЬТАТЫ

Предприятие получило подключение дополнительных АРМ к АС ФЗД Корпорации с соблюдением всех регуляторных и корпоративных требований. Это позволило производственным подразделениям оперативно ввести в работу новые рабочие места без риска нарушения условий аттестата или регламентов подключения.

Клиент получил рекомендации по совершенствованию процесса управления уязвимостями — структурированный документ, задающий целевую модель VM-процесса: состав инструментов, частоту сканирования, роли, SLA по устранению. Это стратегический артефакт, который можно использовать для планирования развития ИБ-процессов.

Также заказчик получил отчётную документацию, необходимую в соответствии с требованиями регулятора по ТЗИ: комплект документов, который выдерживает проверку и может быть приложен к материалам по аттестованному объекту.

Для ЛПР закрыты ключевые боли: директор по ИБ получил формально и технически корректное оформление подключения ТАРМ и расширения периметра аттестованного объекта; руководитель проекта по подключению выдержал сроки и согласования; директор по ИТ — структурированное представление о состоянии защищённости новых АРМ и базу для управления уязвимостями в дальнейшем. Регуляторный риск по изменению аттестованного объекта устранён.

С точки зрения группы Ростеха как эксплуатирующей стороны АС ФЗД — соблюдены корпоративные стандарты, документация оформлена в ожидаемом формате. Это важно для долгосрочной работы: предприятие остаётся добросовестным участником корпоративной ИБ-экосистемы.

Перспективы развития проекта — реализация выполнения новых требований в рамках Приказа ФСТЭК № 117, утвержденного в 2025 году. Новые требования меняют подход к защите информации в государственных и связанных информационных системах, и предприятиям в контуре

Ростеха предстоит адаптировать свои системы защиты к новой нормативной рамке. Наш опыт работы по 77-му приказу и знание корпоративных регламентов позволяет обеспечить плавный переход.

Отзывы

5.0

ООО "АКТИВБИЗНЕСТЕХНОЛОГИИ"

ООО «АБТ», выражает благодарность Обществу с ограниченной ответственностью «КРЕДО-С» за отличную организацию и реализацию комплекса мер, направленных на повышение уровня защищенности наших систем безопасности.

Благодарственное письмо
5.0

Администрация Солнечногорска

Администрация городского округа Солнечногорск выражает искреннюю благодарность коллективу Общества с ограниченной ответственностью «Кредо-С» за качественное и оперативное выполнение работ по проведению аттестации…

Благодарственное письмо
5.0

АО "ПИГМЕНТ"

АО «ПИГМЕНТ» выражает искреннюю благодарность ООО «КРЕДО-С» за высокопрофессиональное выполнение комплекса мер по повышению уровня информационной безопасности нашей организации. Ваше умение оперативно выявлять и устранять…

Благодарственное письмо
5.0

АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА КРАСНОГОРСК

Администрация городского округа Красногорск Московской области выражает благодарность за качественно и своевременно выполненные работы по совершенствованию системы защиты информации в организации. Высокий профессионализм и…

Благодарственное письмо
5.0

МАУ "Единый сервисный центр" Ступинского муниципального района

Муниципальное автономное учреждение "Единый сервисный центр" Ступинского муниципального района выражает свою благодарность коллективу ООО "КРЕДО-С" за высокий профессионализм, оперативность принятия решений, серьезный подход к…

Благодарственное письмо

Решаем такие же задачи для вашей инфраструктуры

Обсудим проект, сроки и стоимость под вашу ситуацию.

Обсудить проект →

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва