STEP LOGIC внедрил комплексное решение для защиты ОКИИ на горнодобывающем предприятии

STEP LOGIC внедрил комплексное решение для обеспечения антивирусной защиты и контроля целостности объектов критической информационной инфраструктуры (ОКИИ) на одном из крупнейших российских горнодобывающих предприятий.

Перед специалистами компании стояла задача по обеспечению защиты ИТ-инфраструктуры ОКИИ в соответствии с требованиями законодательства РФ и моделью угроз, учитывающей реальные инциденты ИБ на 5 производственных площадках, территориально удаленных от мегаполисов. В общей сложности инфраструктура заказчика включала в себя более 700 узлов, часть из которых относилась к автоматизированным системам управления производством, размещенным в изолированных сетях без возможности удаленного подключения.

Учитывая специфику работы предприятия и требования законодательства в области защиты ОКИИ, заказчику было предложено комплексное решение по обеспечению ИБ, состоящее из продуктов «Лаборатории Касперского»: Kaspersky Security для Windows Server и Kaspersky Endpoint Security – для защиты серверов и рабочих станций ОКИИ в корпоративной сети, KICS for Nodes – для сегмента АСУ ТП, Kaspersky Security Center – для централизованного управления политиками безопасности.

Ввиду территориальной удаленности объектов и отсутствия возможности удаленной установки ПО, команда проекта разработала детальный план выполнения работ, включающий 4 этапа.

На первом этапе в виртуальной среде были созданы копии типовых АРМ и серверов с установленным технологическим ПО для предварительного тестирования политик безопасности продуктов «Лаборатории Касперского». В результате удалось собрать дополнительные данные о работе ПО АСУ ТП для корректировки стандартных политик безопасности, что позволило исключить ошибки совместимости при внедрении, устранить ложные срабатывания из журналов мониторинга и скорректировать требования к АРМ и серверам.

Далее специалисты STEP LOGIC внедрили продукты вендора на пилотных группах АРМ и серверах на производственных площадках. Чтобы исключить заражение инфраструктуры через съемные носители с дистрибутивами, на них была установлена защита от записи. После установки антивирусных клиентов на всех АРМ и серверах выполнялась полная антивирусная проверка и лечение зараженных объектов. В случае ложных срабатываний результаты сканирования отправлялись вендору для корректировки сигнатур.

На третьем этапе специалисты компании приступили к пилотированию на «боевых объектах без дублеров» – установке решений на «standalone» серверы, на которых отсутствовало резервирование и резервное копирование, а затем – на все АРМ и серверы площадок.

Для повышения эффективности внедряемых мер защиты, снижения общего объема событий безопасности, формируемых антивирусными решениями, и исключения ложных срабатываний при использовании функционала мониторинга работы ПО АСУ ТП специалисты компании выполнили переопределение стандартных параметров в политике Kaspersky Industrial CyberSecuirty for Nodes. В частности, было разработано более 23 тыс. правил для модуля «Контроль запуска программ», определены исключения из зоны мониторинга для модуля «Мониторинг файловых операций», а также адаптированы настройки модуля «Анализ журналов» – отключены правила, генерирующие события, не свидетельствующие о несанкционированных изменениях в работе ПО АСУ ТП.

«Корректировка правил позволила снизить нагрузку на средства мониторинга на 80%, – подчеркивает директор Департамента информационной безопасности STEP LOGIC Николай Забусов. – Таким образом, заказчик смог не только выполнить предписания регуляторов, но и значительно повысил общий уровень защиты в изолированных сетях, а также оптимизировал нагрузку на персонал, обеспечивающий информационную безопасность на предприятии».