Проект усиленной IT-безопасности для конструкторского бюро НПП «ЭСТО»
Для конструкторского бюро одного из наших постоянных клиентов на тарифе IT-обслуживания Premium – компании НПП «ЭСТО» – наши специалисты внедрили усиленную IT-безопасность, направленную на защиту корпоративной информации от внутренних хищений. Теперь данные компании надежно защищены.
В последнее время конструкторское бюро компании развивалось ускоренными темпами. Год назад мы инфраструктурно выделили КБ из структуры компании: у них появился свой роутер, локальная сеть и серверы. Регулярно мы организовываем для бюро новые рабочие станции.
Рост количества сотрудников в конструкторском бюро негативно сказывается на IT-безопасности компании. А с учетом того, что организация проводит важные конструкторские разработки, вопрос безопасности и «слива» информации становится как никогда актуальным. Руководство компании попросило наших специалистов глубоко проработать усиление IT-безопасности и внести свои предложения. Главная задача – свести к минимуму опасность утечки корпоративной информации.
Мы предложили КБ НПП «ЭСТО» план по улучшению цифровой безопасности, состоящий из 8 пунктов:
Рабочие станции – введение всех компьютеров конструкторского бюро в доменную инфраструктуру;
Создание резервного контроллера домена в сети – отдельная виртуальная машина с ролью Backup Domain на сервере в КБ позволит нивелировать возможные проблемы и повысить отказоустойчивость;
Единые доменные учетные записи – каждый сотрудник получил личную учетку, с помощью которой может работать во всех сервисах компании: 1С, почта, файловый сервер и тд. В случае увольнения, мы просто блокируем эту учетную запись, и сотрудник теряет доступ к сервисам. Это исключает наличие множества учетных записей у одного человека – при увольнении можно забыть что-то отключить, и тогда у постороннего человек останется доступ к важной информации;
Сложные пароли – с буквами нижнего и верхнего регистров, символами и периодической заменой;
«Белый» список – строгий список сотрудников, имеющий доступ к серверам конструкторского бюро. Только они имеют доступ к сегментам информации, на работу с которой у них есть право. Другие пользователи, которые не попадают в этот список, доступ к серверам не имеют. Для организации этого пункта IT-безопасности с компьютеров пользователей «белого» списка были проложены защищенные и шифрованные VPN-туннели до сервера;
Полный запрет на подключение съемных носителей к компьютерам – чтобы нельзя было перенести корпоративную информацию на флешки и телефоны;
Блокировка интернета на конструкторских компьютерах – специалисты КБ могут работать на своих рабочих станциях только с установленными программами и сервисами, а также имеют выход в локальную сеть. Для выхода в интернет мы установили отдельный терминальный компьютер, который не подключен к локальной сети. Таким образом, мы разделили устройства, с которых специалисты работают с внутренний информацией и с которых могут выйти в интернет – утечка через интернет теперь стала невозможной.
Гостевой Wi-Fi канал – мы провели модернизацию беспроводной сети внутри компании. Раньше к единой Wi-Fi-сети подключались и сотрудники, и сторонние посетители – пароли имели много «лишних» людей. Через Wi-Fi можно было попасть в локальную сеть – это могло привести к утечкам информации. Мы выделили рабочий защищенный Wi-Fi-канал для сотрудников, и ограниченный гостевой канал для посетителей. Раньше в сетевую структуру КБ «ЭСТО» входило большое количество WiFi точек доступа домашнего уровня – мы заменили их на профессиональные Ubiquiti с улучшенной безопасностью.
Важной особенностью проекта стало то, что все эти пункты необходимо было задокументировать и описать технически. В этой работе нам помогал сторонний специалист, занятый в обеспечении IT-безопасности на биржах. Он также предложил дополнительные варианты обеспечения безопасности, например, 2-факторную авторизацию в сервисах, повышение безопасности в работе системы видеонаблюдения и СКУД, которые также были реализованы.
Сегодня IT-инфраструктура конструкторского бюро НПП «ЭСТО» находится в полной безопасности от хищения и утечки корпоративной информации собственными сотрудниками, а также от их злонамеренных действий. Реализованные пункты IT-безопасности стали частью наших внутреннего и внешнего периметра безопасности – новшества мы планируем внедрять и у других наших клиентов в рамках обслуживания – без дополнительной платы.
