Компания «КСБ-СОФТ» провела аттестацию объекта информатизации Администрации города Тюмени – инфраструктуры центра обработки данных (ЦОД).
На мощностях ЦОДа городской администрации размещены информационные системы как муниципальных учреждений, так и используемых горожанами для обращения в органы власти, выражения мнений по вопросам управления городом.
Данные об исходном состоянии информационной безопасности инфраструктуры ЦОД специалисты «КСБ-СОФТ» получили, проведя экспертный аудит. По итогам проведенных работ заказчик получил проекты порядка 20 организационно-распорядительных и технических документов, в том числе модель угроз безопасности инфраструктуры, техническое задание на создание системы защиты информации, технический проект на систему защиты информации, технический паспорт инфраструктуры.
При проведении мероприятий, связанных с подготовкой и самой аттестацией инфраструктуры ЦОД, в том числе разработке проектов организационных документов была использована система для автоматизации формирования и актуализации внутренней документации по защите информации. Функционал системы обеспечивает учет инцидентов ИБ, формирует типовые сценарии реагирования на различные категории и типы инцидентов, файлы с информацией об инциденте в формате, установленном НКЦКИ, журнал обращений.
После оценки состояния защиты информации специалисты «КСБ-СОФТ» провели анализ уязвимостей объектов ЦОД: АРМ, серверы, иные сетевые единицы. В ходе работ определены используемые типы устройств и операционных систем, сетевые службы и сервисы исследуемых объектов, выполнен инструментальный и ручной поиск известных уязвимостей и слабостей конфигурации, проверен аудит стойкости паролей, дана оценка реализованных методов сегментации сетей и защиты передачи данных. В случае выявления уязвимостей «КСБ-СОФТ» передавал информацию о них представителям городской администрации, ответственным за обеспечение информационной безопасности.
Завершающим этапом работ стали аттестационные испытания инфраструктуры ЦОД на соответствие требованиям приказам ФСТЭК России № 17 от 11 февраля 2013 года и № 21 от 11 февраля 2013 года. Центр обработки данных получил аттестат соответствия требованиям по обеспечению безопасности информации.
