В «Газпром бурение» внедрили импортонезависимую систему защиты персональных данных в корпоративном портале

К2 Кибербезопасность (входит в экосистему ИТ-компании К2Тех) запустила защищённый контур конфиденциальной информации для корпоративного портала ООО «Газпром бурение» полностью на отечественных ИБ-решениях. В результате проекта сведены к минимуму риски нарушения конфиденциальности данных и репутационные риски для компании и сотрудников. Исключена возможность получения штрафов за нарушение требований законодательства. В перспективе планируется включить в состав защищённого контура новые информационные системы компании.

Новый портал для доступа более 6000 сотрудников к корпоративным данным и приложениям на базе отечественного решения 1С-Битрикс нуждался в защите от угроз информационной безопасности (ИБ).

«Для ООО «Газпром бурение» было важно защитить данные корпоративного портала и при этом обеспечить совместимость новой системы с другими средствами защиты информации компании, а также ее соответствие всем законодательным требованиям. Это удалось реализовать в сжатые сроки благодаря совместной работе с командой К2 Кибербезопасности. В перспективе мы планируем расширять защищённый контур на другие информационные системы организации», — отметил заместитель генерального директора по развитию цифровых технологий «Газпром бурение» Дмитрий Гаренских.

В рамках проекта за 3 месяца (без учета времени на оценку соответствия) команда К2 Кибербезопасности создала для корпоративного портала «Битрикс24» систему защиты ПДн. Она включает 7 подсистем: анализ защищённости; средства резервного копирования и восстановления; защиту от несанкционированного доступа; антивирусную защиту; межсетевое экранирование; защиту web-приложений; защиту среды виртуализации.

Важно, что защищённый контур — это не коробочное решение, а собранная командой К2 Кибербезопасности конфигурация средств защиты ПДн (ПО и оборудования) отечественного производства от разных вендоров, интегрированных между собой и с работающей ИТ-инфраструктурой.

Каждая подсистема имеет встроенные функции уведомлений о событиях и инцидентах ИБ. Это позволяет своевременно реагировать на компьютерные атаки. Только за период внедрения зафиксировано 23,6 млн запросов к системе защиты персональных данных; 2,67 тыс. срабатываний правил доступа; 6 инцидентов, связанных с обеспечением безопасности системы.

После завершения этапа построения защищённого контура проведена оценка эффективности СЗПДн (средств защиты персональных данных) и оформлена декларация соответствия необходимому уровню безопасности.

В результате обеспечена защита на всех 7 уровнях сетевой модели OSI (Open System Interconnection), все несанкционированные подключения блокируются. Система защиты персональных данных сводит к минимуму риски утечки конфиденциальных данных, получения штрафов, а также возникновение репутационных проблем для компании и сотрудников. При этом обеспечена непрерывность работы портала, целостность и доступность хранимой на нем информации.

Важно, что система для защиты ПДн полностью реализована на российских ИТ-решениях, которые входят в реестр отечественного ПО и включены в реестр российской радиоэлектронной продукции. В ходе реализации проекта была использована информация из банка данных угроз безопасности информации ФСТЭК РФ для устранения известных уязвимостей в прикладном ПО.

В перспективе планируется, во-первых, повысить уровень защищённости информационных систем в контуре, реализовывая принцип глубокоэшелонированной защиты (ГЭЗ), то есть защиты на всех уровнях: от организационных мер и физического доступа (камеры, двери) до сетевой защиты, защиты конечной точки, приложений и данных. Во-вторых, добавлять в состав контура новые информационные системы. Это возможно благодаря масштабируемости системы защиты персональных данных как со стороны аппаратных и программных ресурсов, так и со стороны нормативно-технических требований. Кроме того, портал можно тиражировать на другие дочерние общества в рамках группы компаний ПАО «Газпром». Это задача в плане у заказчика.

«Важным фактором успешной реализации проекта в «Газпром бурение» в сжатые сроки стало доверие между заказчиком и ИТ-партнером. При этом одной из ключевых задач К2Тех как ИТ-интегратора было — обеспечить совместимость внедряемых решений разных вендоров. Это было сделано благодаря опыту работы с нефтегазовыми предприятиями и заказчиками из других промышленных отраслей, а также с большим количеством российских поставщиков ПО», — сказал заместитель генерального директора К2Тех Игорь Зельдец.

«Согласно нашим исследованиям, только треть компаний уверена в своей системе защиты персональных данных. Это особенно критично в преддверии вступления в силу закона повышающего штрафы за утечку ПДн. Для объектов КИИ ситуация усложняется еще и необходимостью реализовывать эффективную кибербезопасность исключительно российскими решениями. Выбранное нами сочетание продуктов только от отечественных разработчиков ранее не применялось на рынке нефтегазовой отрасли и обеспечило комплексную защиту от возможных утечек данных. Проект был также высоко оценен в рамках премии CIPR Digital 2025 и попал в шортлисты номинаций «Цифровая энергия» и «Легенды инфобеза», — прокомментировал директор по развитию бизнеса в К2 Кибербезопасность Андрей Заикин.