В условиях непрерывного производства: Как ГК «Русагро» создала бизнес-ориентированную систему ИБ
Информационная безопасность Информационная безопасность

Переход «Русагро»на новую систему оценки — «модель здоровья ИБ» — и ежегодный ИБ-аудит в 2023 году.

Главная>Информационная безопасность>В условиях непрерывного производства: Как ГК «Русагро» создала бизнес-ориентированную систему ИБ
Информационная безопасность Проект

В условиях непрерывного производства: Как ГК «Русагро» создала бизнес-ориентированную систему ИБ

Дата публикации:
13.04.2024
Посетителей:
0
Просмотров:
0
Время просмотра:
2.3

Авторы

Спикер
Александр Данченков Руководитель управления информационной безопасности ООО «Русагро Тех» — дочерней ИТ-компании ГК «Русагро»
Спикер
Артем Петров Генеральный директор ООО «Русагро Тех», член наблюдательного совета Альянса в сфере ИИ

/ Переход «Русагро»на новую систему оценки — «модель здоровья ИБ» — и ежегодный ИБ-аудит в 2023 году.

Группа компаний «Русагро» за несколько лет прошла большой путь от набора разнородных подсистем информационной безопасности (ИБ) в различных подразделениях по всей России к централизованной функции ИБ с едиными метриками эффективности, мониторингом ИБ, стандартами сервисного обслуживания. За это время выстраиваемая защита проходила проверку не только путем регулярных аудитов, но и посредством имитации хакерских атак в рамках пентестов, а также в процессе отражения реальных атак на ИТ-инфраструктуру.

 

«Управлению ИБ нужно держать руку на пульсе, чтобы оперативно оценивать риски и перераспределять ресурсы. Важно одновременно не тормозить бизнес-процессы и при этом не снижать безопасность даже на короткий срок. Мы выстроили такую систему ИБ, которая поддерживает безопасное развитие бизнеса».

Александр Данченков

О компании

 

ГК «Русагро» — крупнейший вертикально интегрированный агрохолдинг России. Занимает лидирующие позиции в масложировой отрасли, в производстве сахара, свиноводстве, растениеводстве и поставляет продукцию в 80 регионов России и более чем в 49 стран мира.

222,9 млрд руб.

оборот (2022, RAEX)

Более 19 000

сотрудников

49 стран

география клиентов

668 000 га

земельный банк

Цель и требования

 

Перед ГК «Русагро» стояла задача обеспечения безопасности ИТ-инфраструктуры в корпоративном и технологическом сегментах (АСУТП) — более 90 информационных систем, 500 серверов и 4,7 тыс. рабочих станций, распределенных по четырем основным бизнес-направлениям холдинга в 13 регионах России.

 

При решении задачи потребовалось создание централизованной системы ИБ и единой внутрихолдинговой системы контроля и оценки уровня ИБ всего агрохолдинга.

 

Развитие проекта

 

Масштабы холдинга, количество территориально распределенных подразделений с разной степенью защищенности и отношением к обеспечению ИБ способствовали выбору итерационного подхода к созданию бизнес-ориентированной системы ИБ.

 

Авторы

«Мы сосредоточили силы на защите активов, особенно важных и критичных для обеспечения жизнестойкости бизнеса. Проранжировали активы и процессы по ценности для бизнеса и применяем для их защиты соизмеримые средства, системы».

Александр Данченков

В 2017 году был проведен комплексный ИБ-аудит и сформирована долгосрочная стратегия ИБ

«Информатизация и автоматизация бизнеса ГК «Русагро» стремительно нарастали в последние 10 лет. Около шести лет назад пришло ясное понимание, что говорить о бесшовно и эффективно функционирующей ИБ на уровне всей группы компаний, об устойчивости ИТ-инфраструктуры и автоматизированных систем управления техпроцессами невозможно. Так стартовала стройка масштабного комплекса ИБ, которая заняла пять лет».

Артем Петров

 

Первичное ИБ-обследование охватило центральный офис и производственные площадки всех бизнес-направлений ГК «Русагро»: мясное, масложировое, сахарное и сельскохозяйственное. Для измерения уровня ИБ выбрали адаптированную под «Русагро» модель зрелости (CMMI), которая позволяет получить унифицированную оценку уровня зрелости процессов ИБ в различных подразделениях агрохолдинга.

 

«ГК «Русагро» — это образцовый пример последовательного и продуманного подхода к выстраиванию ИБ, грамотных и взвешенных инвестиций в развитие систем защиты и процессов. Важно и то, что развитие ИБ шло сразу в нескольких очень непохожих друг на друга бизнесах группы. При этом не получилось "лоскутного одеяла", когда участки с хорошим уровнем защищенности перемежаются "дырявой" заброшенной ИТ-инфраструктурой».

Андрей Янкин

На втором этапе (2018–2022 гг.) «Инфосистемы Джет» ежегодно проводила оценку зрелости процессов обеспечения ИБ в ГК «Русагро» с демонстрацией результатов сравнения между прошлым и текущим годом

Аудит ИТ-инфраструктуры

16

ключевых информационных систем

500+

серверов

4700

АРМ

80

контролей ИБ

 

Дополнительно «Инфосистемы Джет» провела пентесты: внешний, внутренний, веб-приложений, Wi-Fi, социотехническое тестирование. Также были проведены 82 интервью и подготовлено 1487 страниц отчетных документов.

 

Проект занял 60 рабочих дней и позволил наметить общий вектор для системного повышения зрелости ИБ в компании.

 

Результат: сформированы стратегия развития ИБ на пять лет и система оценки для отслеживания эффективности реализации проектов стратегии.

82

интервью

1487

страниц отчетных документов

60

рабочих дней

 

В стратегии были заложены механизмы контроля: ежегодный GAP-анализ изменений уровня зрелости обеспечения ИБ-процессов и оценка требуемых ресурсов, учитывающая специфику различных бизнес-направлений компании.

 

Работы охватывали не только корпоративный сегмент ИТ-инфраструктуры, но и технологический — промышленные автоматизированные системы, обеспечивающие работу производственных цепочек.

 

  • ИТ-инфраструктура: служба каталогов, корпоративная почта, серверы приложений и баз данных, виртуальная инфраструктура;
  • Информационные системы: бизнес-приложения — расчет ФОТ, управление персоналом, система электронного документооборота, системы управления производством, система управления холдингом.

 

От «Инфосистемы Джет» на GAP-аудитах одновременно работали 4 команды экспертов — по одной на каждое бизнес-направление холдинга, чтобы выдержать сжатые сроки в 2–2,5 месяца. В общей сложности — порядка 15 человек.

15

площадок

16

информационных систем

4

технологические системы (АСУ ТП)

«По результатам каждого аудита мы ежегодно корректировали стратегию и план мероприятий, отдавая приоритет самым актуальным и важным, учитывали новые угрозы и вызовы, актуальные именно для нашей компании».

Александр Данченков

Менеджеры проекта взаимодействовали напрямую с руководителями служб ИБ по каждому бизнес-направлению, координируя проведение работ. Состав аудиторов менялся от года к году, чтобы сохранить непредвзятость оценок.

 

В рамках аудита специалисты провели анализ защищенности, меняя объекты и виды тестирований на проникновение ежегодно, и оценили эффективность применяемых мер на практике. Такие работы позволяют оценить реальную вероятность взлома со стороны внешнего и внутреннего нарушителя.

 

По результатам была внедрена современная система мониторинга событий ИБ во всех бизнес-направлениях ГК «Русагро» с подключением 800 источников, системы контроля привилегированных пользователей и защиты веб-приложений. В компании был развернут свой собственный SOC — центр мониторинга информационной безопасности.

Переход «Русагро»на новую систему оценки — «модель здоровья ИБ» — и ежегодный ИБ-аудит в 2023 году

 

CMMI — хорошая модель оценки на старте, но затем многие идут путем ее усложнения и кастомизации под себя. Такой подход выбрала и ГК «Русагро».

 

Новая модель оценки уровня ИБ позволяет:

 

  • выстроить систему KPI и векторов развития ИТ- и ИБ-направлений, производить оценку показателей в нужных для менеджмента срезах;
  • повысить прозрачность взаимодействия между подразделениями службы ИБ и другими подразделениями компании в рамках сервисного подхода;
  • эффективно отслеживать актуальность локальных нормативных документов;
  • объективно оценить эффективность процессов блока ИБ и правильно расставить приоритеты в рамках их развития.

 

Модель основывается на процессном управлении ИБ, связывает ИБ- и ИТ-показатели с целями бизнеса. С помощью нее определяются показатели операционного и стратегического уровня для правильного принятия управленческих решений и фиксируются пороговые и целевые состояния показателей.

Разработали систему дашбордов, которая визуализирует значения и связь девяти ключевых бизнес-показателей с более чем 50 операционными метриками ИБ-процессов.

 

Кроме ежегодного аудита ИТ- и ИБ-инфраструктуры холдинга, в состав работ вошли:

 

  • аудит корреляционных правил SIEM-системы и рекомендации по их совершенствованию;
  • тестирование на проникновение веб-ресурсов и внутреннее тестирование на проникновение, тестирование Wi-Fi-сетей;
  • анализ на возможность реализации недопустимых для бизнеса событий и разработка рекомендаций;
  • анализ системы обработки и защиты персональных данных.

Все это позволило достичь целей снижения рисков нарушения доступности систем, что является критичным для непрерывного производства

Проект сегодня

 

Сотрудничество между компанией «Инфосистемы Джет» и ГК «Русагро» длится уже шесть лет и затрагивает не только направление информационной безопасности.

 

ГК «Русагро» активно внедряет инновационные технологии как с точки зрения оборудования, так и с точки зрения бизнес-практик. Так, специалисты «Инфосистемы Джет» спроектировали и внедрили защищенный контейнерный ЦОД для ГК «Русагро», который объединил 12 площадок (включая 3 завода) в Приморье. Инновационная инфраструктура способствует не только оптимизации текущих рабочих процессов, но и дальнейшей цифровизации предприятий, входящих в агрохолдинг.

 

Кроме того, ИТ-компания совместно с ГК «Русагро» разработала интеллектуальную систему планирования уборки урожая. Решение рассчитывает техническую спелость урожая, учитывает погодные факторы и планирует своевременную уборку полей.

 

«Для меня важно, что наша информационная безопасность сегодня не является тормозом для развития ИТ и бизнеса группы в целом. Наоборот, все направлено на поддержку этих изменений. За счет сервисного подхода участие ИБ понятно и прозрачно. Кроме того, проведенная реформа позволила сблизить позиции ИТ- и ИБ-направлений, сделать из них союзников и партнеров, что также считаю большим достижением».

Артем Петров

 

Для специалистов ИТ и ИБ «Русагро» «Инфосистемы Джет» каждый год проводит однодневную конференцию, где обсуждаются итоги обследования, проводятся обзор изменений законодательства в сфере ИБ и киберучения, обсуждаются планы по развитию ИБ на следующий год.

 

ГК «Русагро» — это образцовый пример последовательного и продуманного подхода к выстраиванию ИБ, грамотных и взвешенных инвестиций в развитие систем защиты и процессов. Важно и то, что развитие ИБ шло сразу в нескольких очень непохожих друг на друга бизнесах группы. При этом не получилось «лоскутного одеяла», когда участки с хорошим уровнем защищенности перемежаются «дырявой» заброшенной ИТ-инфраструктурой.

 

Результаты и планы развития

 

За счет итерационного подхода группе компаний сравнительно быстро удалось достичь равномерно высокой зрелости ИБ по всем бизнесам группы — от устранения локальных проблем до бизнес-ориентированной модели ИБ и создания выделенных центров компетенций по направлениям:

 

  • прикладные системы защиты информации и криптографическая защита;
  • мониторинг и реагирование на инциденты;
  • защита сетевой инфраструктуры;
  • архитектура ИБ и методология.

 

ГК «Русагро» уже использует более сложную систему оценки уровня ИБ. Следующий этап — это повышение операционной эффективности, в том числе за счет киберучений, и переход на всеобъемлющую сервисную модель ИБ, которая позволит:

 

  • снизить капитальные и операционные расходы на ИТ и ИБ;
  • нивелировать нехватку квалифицированных ИБ-специалистов на географически разнесенных объектах;
  • обеспечить прогнозируемый уровень защиты с четкими SLA, необходимую масштабируемость и быстрое подключение сервисов для новых компаний.

 

Ключевые цифры

2,5

месяца срок проведения ежегодного иб-аудита холдинга

 

20

ИТ-систем в среднем проходили аудит: 16 информационных, 4 технологических (АСУ ТП)

 

4

бизнес-направления

13

регионов России границы проведения ИБ-аудита

Уведомления об обновлении тем – в вашей почте

О проектировании систем безопасности современного технического уровня

По оценкам, содержащимся в различных источниках информации, общий объем рынка технических средств (ТС) безопасности в России на 2004 г. составил по порядку величины несколько сот миллионов долларов (эта оценка может быть заниженной).   Из ...

Круглый стол: будущее бизнеса и ИТ после коронавируса

Нужно ли сейчас внедрять цифровые места и кому это поручить? Что будет с бюджетами на ИТ? Как пандемия повлияла на промышленность?

Искусственного интеллекта не существует, есть искусственная разумность

Почему необходимо осуществлять мониторинг промышленной безопасности? В интервью редакции JETINFO рассказал Самуэль Левин, первый заместитель генерального директора компании «РКСС — Программные Системы».

Реализация ИИ-проектов в нефтегазовом секторе

Почему ИИ лучше всех в мире играет в шахматы, но не готов заменить менеджмент на производстве?

Решили самостоятельно внедрять IIoT? Не удивляйтесь, но вас могут посадить

Почему IIoT-проекты нужно обязательно отдавать на аутсорсинг? Что будет, если поставить оборудование, работающее на нелицензированных частотах 5? Почему IIoT — это лишь начало пути?

Красной нитью через весь завод: как оцифровать груду металлолома

Почему металлурги настороженно относятся к цифровизации? Какие меры способны в 10 раз повысить отказоустойчивость оборудования?

Индустрия 4.0 в России: роботы, большие данные и искусственный интеллект

Беседуем с директором по продажам в дискретной промышленности компании «Цифра» Андреем Никитиным.

Цифровая нефть

Как изменилась нефтедобывающая отрасль за последние 20 лет?

Аутсорсинг для промышленности

По оценке TAdviser, в последние 2 года российский рынок ИТ-аутсорсинга стабильно растет на 15–17%.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня