Тестовое задание_2022. Тестовое задание
Скачать 0.65 Mb.
|
Описание организацииКомпания ООО «Ромашка» занимается выращиванием и продажей цветов на розничный рынок и является компанией полного цикла (от производства до продажи). У компании есть следующие площадки: Центральный офис в г. Москва. Ферма со складом в г. Зеленоград. Пять розничных точек продажи в г. Москва. В компании работают 67 работников: Генеральный директор – 1. Служба кадров – 3. Бухгалтерия – 3. Служба финансов – 2. Отдел маркетинга – 3. Служба безопасности (включая охранников) – 4 человека. Хозяйственная служба (логисты, кладовщики, грузчики, водители, садовники/агрономы, технологи) – 25 человек. Отдел продаж (включая кассиров/флористов на 5 розничных точках) – 15. Разработчики – 3 человека. ИТ служба – 6. ИБ служба – 1. Логическая схема компании для наглядности отражена ниже: Компания применяет передовые методы по выращиванию цветов: В почву внедрены датчики, отслеживающие уровень кислорода, уровень содержания удобрения и т.д. Используется система кондиционирования с возможностью централизованной смены (реализуется главным технологом из центрального офиса на основе полученных данных) температуры и влажности воздуха. технологические работники используют планшеты для сбора информации с датчиков и передачи информации посредством wi-fi через сеть интернет в «Систему мониторинга растениеводства». Критически важными для компании является приложение «Система мониторинга растениеводства», которое работает в режиме 24/7/365. Приложение является собственной разработкой, оно также позволяет получать технологическую эффективность в 196% по сравнению с обычными методами выращивания цветов. Кроме этого, в компании есть следующие ИТ-сервисы и ИС, которые физически размещены в Серверной в Центральном офисе: Active Directory (1 лес, 1 домен, 1 контроллер домена). Почтовая служба (Exchange), в т.ч. приложение Outlook Web App. 1С: Зарплата и управление персоналом. 1С: Бухгалтерия. 1С: Розница. Компания существует 1 год и показывает феноменальные экономические результаты. В компанию буквально месяц назад наняли руководителя службы ИБ, который в первый месяц своей работы описал следующее положение дел: Нет формализованных документов в области ИБ, кроме политики по информационной безопасности, которая была скачана из Интернета и немного адаптирована работниками службы ИТ. В настоящий момент не проводятся никакие мероприятия, направленные на защиту персональных данных в компании. В компании есть сетевой инженер в службе ИТ, который спроектировал и реализовал сетевую инфраструктуру, но проектной документации никакой нет, вся информация у сетевого инженера в голове, схема (l2-l3) сети есть лишь на листе А4 карандашом, который висит на рабочем месте сетевого инженера. Сеть сегментирована на несколько vlan на коммутаторе ядра, в отдельные сегменты выделены: 1) АРМ работников в офисе, телефонов и офисного оборудования, 2) ИТ-сервисы и ИС, 3) АРМ кассиров в розничных филиалах. Единственный источник информации о проблемах в работе сети – жалобы пользователей. После аварии на центральном коммутаторе, восстановление работоспособности сети заняло более трех дней, несмотря на то, что подменное оборудование производителем было предоставлено уже на следующий день. Почтовая служба (включая OWA, ActiveSync, smtp и imap) доступна пользователям компании из сети Интернет посредством port forwarding на пограничном маршрутизаторе. ИС на базе 1С и интерфейсы администрирования Active Directory доступны только из внутренних корпоративных сегментов. Приложение «Система мониторинга растениеводства» имеет клиент-серверную архитектуру: Клиентская часть устанавливается вручную на Android планшеты технологов с root-правами. Серверная часть приложения развернута в серверной комнате в центральном офисе и опубликована в интернет посредством port forwarding на пограничном маршрутизаторе. Информация с планшетов передается через сеть Интернет посредством протокола TLS 1.1. Кассы в розничных филиалах арендуют терминалы ДБО у Банка для совершения платежей за покупки. Разграничение прав доступа не производилось, всем пользователям назначены те права, которые они попросили, но в то же время пользователям запрещено работать под локальной учетной записью администратора. На рабочих местах работников в центральном офисе установлены антивирусные решения с возможностью централизованного управления. Компания достаточно быстро растёт, нет актуального реестра активов, компьютеры и планшеты закупаются «стихийно и хаотично». ПО на компьютерах и планшетах обновляется в соответствии с настройками автоматического обновления по-умолчанию, ПО на серверах обновляется в случае обнаружения некорректной работы ПО по жалобам пользователей. Пользователям запрещено использовать флешки и любые другие съемные носители информации. В связи с эпидемиологической обстановкой работники центрального офиса частично (посменно) перешли на удаленный режим, для доступа к рабочим стациям в корпоративной сети ИТ-служба организовала VPN доступ на базе Open Source решения с однофакторной доменной аутентификацией с личных домашних компьютеров пользователей. За время существования компании уволились несколько человек, их учетные записи до сих пор активны в AD. Пользователям, работающим на ферме и складе запрещено выносить планшеты и устанавливать любое ПО самостоятельно. Лишь 3 работника сменили (по собственной инициативе) пароль от доменной учетной записи за 1 год работы. Для доступа к ИТ-инфраструктуре проброшен один ssh-туннель, о котором было известно лишь сетевому инженеру. Резервное копирование осуществляется только лишь для критически важного приложения «Система мониторинга растениеводства». Сканирование на уязвимости никогда не производилось. СЗИ, за исключением антивирусного ПО, в компании отсутствуют. Разработчики периодически дописывают приложение и принудительно обновляют в ручном режиме на планшетах. Никакую информацию о приложении никому не сообщают, даже вновь пришедшему руководителю службы ИБ. Все разработчики работают удаленно. Исходные коды приложения «Система мониторинга растениеводства» хранятся непосредственно на сервере приложения. Компания в том числе сотрудничает с различного рода поставщиками удобрений и оптовых партнеров по продаже цветов. Описание задачи1Руководитель службы ИБ ООО «Ромашка» пригласил вас в качестве стороннего аудитора, для того чтобы вы посмотрели на ситуацию своим экспертным взглядом и сообщили: Существующие топ-5 критических проблем с обоснованием, почему выбраны именно они, с опциональным описанием нежелательных ситуаций, к которым они могут привести, и с обязательным quick win по их устранению. На какие аспекты деятельности компании с точки зрения ИБ стоит обратить внимание, кроме тех, что указал руководитель службы ИБ ООО «Ромашка»? Генеральный директор попросил руководителя службы ИБ привести в порядок существующую ситуацию в ИБ в соответствии с Российским законодательством и лучшими мировыми практиками, чтобы избежать возможных кибер-рисков. Соответственно руководитель службы ИБ попросил вас, как эксперта в области ИБ, помочь ему с поставленной задачей. Какие мероприятия вы посоветуете реализовать для достижения поставленных целей? Какие топ-5 организационных и топ-5 технических мер вы предложите реализовать в рамках этих мероприятий? 1 Вы можете задавать любые вопросы относительно задания через HR любым удобным для вас средством коммуникации. |