Главная страница
Навигация по странице:

  • Тестовое задание

  • Москва2022

  • Тестовое задание_2022. Тестовое задание


    Скачать 0.65 Mb.
    НазваниеТестовое задание
    Дата10.07.2022
    Размер0.65 Mb.
    Формат файлаdocx
    Имя файлаТестовое задание_2022.docx
    ТипДокументы
    #628119













    Тестовое задание










    Москва
    2022



    Описание организации


    Компания ООО «Ромашка» занимается выращиванием и продажей цветов на розничный рынок и является компанией полного цикла (от производства до продажи).

    У компании есть следующие площадки:

    • Центральный офис в г. Москва.

    • Ферма со складом в г. Зеленоград.

    • Пять розничных точек продажи в г. Москва.

    В компании работают 67 работников:

    • Генеральный директор – 1.

    • Служба кадров – 3.

    • Бухгалтерия – 3.

    • Служба финансов – 2.

    • Отдел маркетинга – 3.

    • Служба безопасности (включая охранников) – 4 человека.

    • Хозяйственная служба (логисты, кладовщики, грузчики, водители, садовники/агрономы, технологи) – 25 человек.

    • Отдел продаж (включая кассиров/флористов на 5 розничных точках) – 15.

    • Разработчики – 3 человека.

    • ИТ служба – 6.

    • ИБ служба – 1.

    Логическая схема компании для наглядности отражена ниже:



    Компания применяет передовые методы по выращиванию цветов:

    • В почву внедрены датчики, отслеживающие уровень кислорода, уровень содержания удобрения и т.д.

    • Используется система кондиционирования с возможностью централизованной смены (реализуется главным технологом из центрального офиса на основе полученных данных) температуры и влажности воздуха.

    • технологические работники используют планшеты для сбора информации с датчиков и передачи информации посредством wi-fi через сеть интернет в «Систему мониторинга растениеводства».

    Критически важными для компании является приложение «Система мониторинга растениеводства», которое работает в режиме 24/7/365. Приложение является собственной разработкой, оно также позволяет получать технологическую эффективность в 196% по сравнению с обычными методами выращивания цветов.

    Кроме этого, в компании есть следующие ИТ-сервисы и ИС, которые физически размещены в Серверной в Центральном офисе:

    • Active Directory (1 лес, 1 домен, 1 контроллер домена).

    • Почтовая служба (Exchange), в т.ч. приложение Outlook Web App.

    • 1С: Зарплата и управление персоналом.

    • 1С: Бухгалтерия.

    • 1С: Розница.

    Компания существует 1 год и показывает феноменальные экономические результаты. В компанию буквально месяц назад наняли руководителя службы ИБ, который в первый месяц своей работы описал следующее положение дел:

    • Нет формализованных документов в области ИБ, кроме политики по информационной безопасности, которая была скачана из Интернета и немного адаптирована работниками службы ИТ.

    • В настоящий момент не проводятся никакие мероприятия, направленные на защиту персональных данных в компании.

    • В компании есть сетевой инженер в службе ИТ, который спроектировал и реализовал сетевую инфраструктуру, но проектной документации никакой нет, вся информация у сетевого инженера в голове, схема (l2-l3) сети есть лишь на листе А4 карандашом, который висит на рабочем месте сетевого инженера.

    • Сеть сегментирована на несколько vlan на коммутаторе ядра, в отдельные сегменты выделены: 1) АРМ работников в офисе, телефонов и офисного оборудования, 2) ИТ-сервисы и ИС, 3) АРМ кассиров в розничных филиалах.

    • Единственный источник информации о проблемах в работе сети – жалобы пользователей.

    • После аварии на центральном коммутаторе, восстановление работоспособности сети заняло более трех дней, несмотря на то, что подменное оборудование производителем было предоставлено уже на следующий день.

    • Почтовая служба (включая OWA, ActiveSync, smtp и imap) доступна пользователям компании из сети Интернет посредством port forwarding на пограничном маршрутизаторе.

    • ИС на базе 1С и интерфейсы администрирования Active Directory доступны только из внутренних корпоративных сегментов.

    • Приложение «Система мониторинга растениеводства» имеет клиент-серверную архитектуру:

      • Клиентская часть устанавливается вручную на Android планшеты технологов с root-правами.

      • Серверная часть приложения развернута в серверной комнате в центральном офисе и опубликована в интернет посредством port forwarding на пограничном маршрутизаторе.

      • Информация с планшетов передается через сеть Интернет посредством протокола TLS 1.1.

    • Кассы в розничных филиалах арендуют терминалы ДБО у Банка для совершения платежей за покупки.

    • Разграничение прав доступа не производилось, всем пользователям назначены те права, которые они попросили, но в то же время пользователям запрещено работать под локальной учетной записью администратора.

    • На рабочих местах работников в центральном офисе установлены антивирусные решения с возможностью централизованного управления.

    • Компания достаточно быстро растёт, нет актуального реестра активов, компьютеры и планшеты закупаются «стихийно и хаотично».

    • ПО на компьютерах и планшетах обновляется в соответствии с настройками автоматического обновления по-умолчанию, ПО на серверах обновляется в случае обнаружения некорректной работы ПО по жалобам пользователей.

    • Пользователям запрещено использовать флешки и любые другие съемные носители информации.

    • В связи с эпидемиологической обстановкой работники центрального офиса частично (посменно) перешли на удаленный режим, для доступа к рабочим стациям в корпоративной сети ИТ-служба организовала VPN доступ на базе Open Source решения с однофакторной доменной аутентификацией с личных домашних компьютеров пользователей.

    • За время существования компании уволились несколько человек, их учетные записи до сих пор активны в AD.

    • Пользователям, работающим на ферме и складе запрещено выносить планшеты и устанавливать любое ПО самостоятельно.

    • Лишь 3 работника сменили (по собственной инициативе) пароль от доменной учетной записи за 1 год работы.

    • Для доступа к ИТ-инфраструктуре проброшен один ssh-туннель, о котором было известно лишь сетевому инженеру.

    • Резервное копирование осуществляется только лишь для критически важного приложения «Система мониторинга растениеводства».

    • Сканирование на уязвимости никогда не производилось.

    • СЗИ, за исключением антивирусного ПО, в компании отсутствуют.

    • Разработчики периодически дописывают приложение и принудительно обновляют в ручном режиме на планшетах. Никакую информацию о приложении никому не сообщают, даже вновь пришедшему руководителю службы ИБ.

    • Все разработчики работают удаленно.

    • Исходные коды приложения «Система мониторинга растениеводства» хранятся непосредственно на сервере приложения.

    • Компания в том числе сотрудничает с различного рода поставщиками удобрений и оптовых партнеров по продаже цветов.

    Описание задачи1


    Руководитель службы ИБ ООО «Ромашка» пригласил вас в качестве стороннего аудитора, для того чтобы вы посмотрели на ситуацию своим экспертным взглядом и сообщили:

    1. Существующие топ-5 критических проблем с обоснованием, почему выбраны именно они, с опциональным описанием нежелательных ситуаций, к которым они могут привести, и с обязательным quick win по их устранению.

    2. На какие аспекты деятельности компании с точки зрения ИБ стоит обратить внимание, кроме тех, что указал руководитель службы ИБ ООО «Ромашка»?

    3. Генеральный директор попросил руководителя службы ИБ привести в порядок существующую ситуацию в ИБ в соответствии с Российским законодательством и лучшими мировыми практиками, чтобы избежать возможных кибер-рисков. Соответственно руководитель службы ИБ попросил вас, как эксперта в области ИБ, помочь ему с поставленной задачей. Какие мероприятия вы посоветуете реализовать для достижения поставленных целей? Какие топ-5 организационных и топ-5 технических мер вы предложите реализовать в рамках этих мероприятий?



    1 Вы можете задавать любые вопросы относительно задания через HR любым удобным для вас средством коммуникации.


    написать администратору сайта