Заказчики: Смартбанк Москва; Финансовые услуги, инвестиции и аудит Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2013/01 — 2013/04
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
«Смартбанк» осуществлял предоставление спектра банковских услуг и операций, требующих обеспечения мер информационной безопасности (ИБ) задействованных в работе ИТ-систем на уровне, соответствующем действующим нормам законодательства РФ и требованиями Банка России. Операционный процессинг банка требует соблюдения норм федеральных законов о персональных данных № 152-ФЗ и о национальной платежной системе №161-ФЗ, а вся ИТ-инфраструктура должна выполнять нормы стандарта Банка России БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
Исполнителем проекта разработки комплексной системы обеспечения ИБ банка с целью приведения ее в соответствие нормативным требованиям на основании проведенного конкурса была выбрана «АСТ», предложив лучшие условия выполнения проекта и полностью выполнив квалификационные требования.
Целью проекта явился весь пул вопросов обеспечения защиты данных, содержащихся и обрабатываемых информационными системами банка, включая решение следующих задач:
- Определение текущего состояния ИБ и средств защиты на момент начала проекта.
- Определение наиболее эффективных мер, позволяющих обеспечить необходимый уровень защищенности информационной системы и ее соответствие требованиям федерального законодательства.
- Техническое проектирование комплексной системы защиты персональных данных.
- Предоставление заключения о результатах проведения контроля соответствия требованиям 152-ФЗ.
- Разработка нормативно-распорядительной документации в соответствие с требованиями 152-ФЗ и 161-ФЗ.
Реализация проектных работ охватила весь ИТ-комплекс банка, включая основную банковскую информационную систему и связанные подсистемы, серверный парк, сетевую инфраструктуру, все рабочие места, а сами работы выполнялись во всех офисах кредитно-финансового учреждения, включая ныне закрытый офис в Уфе. Срок реализации составил 7 месяцев. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
В рамках проекта было выполнено:
- Предварительное обследование и сбор исходных данных об информационной системе заказчика.
- Документальный анализ защищенности внешнего и внутреннего периметра локальной вычислительной сети (ЛВС) и выработка рекомендаций по повышению защищенности сетевой инфраструктуры.
- Расчет исходной оценки соответствия текущего уровня обеспечения ИБ информационных систем банка требованиям отраслевых стандартов и федеральному законодательству.
- Анализ организационно-распорядительной документации по обеспечению режима ИБ и выработка рекомендаций по ее совершенствованию.
- Разработка модели угроз с учетом отраслевой модели угроз. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов информационной системы Банка по методологии РС БР ИББС 2.2 2009,
- Выработка рекомендаций по повышению эффективности системы управления ИБ в Банке, процессов и процедур ее обеспечения.
- Разработка технического проекта на создание Системы Защиты Персональных Данных (СЗПДн).
- Разработка нормативно-распорядительной документации в соответствии с требованиями 152-ФЗ и 161-ФЗ.
- Внедрение средств защиты и процедур ИБ.
Сергиенко Инна, Руководитель направления комплексного обеспечения информационной безопасности ЗАО «АСТ»: «В ходе выполнения проекта нам потребовалось привлечение комплексных экспертиз нескольких технологических и отраслевых направлений нашей компании. «Смартбанк» имеет не очень большую физическую структуру, но предоставляет развитые финансовые услуги, что обеспечивается целым пулом ИТ-решений и информационных систем. Весь этот пул требовал обследования и приведения по уровню информационной безопасности в четкое соответствие требованиям регулятора и законодательства России. Нами проведена очень кропотливая работа, в результате которой удалось в полной мере решить те задачи, которые перед нами ставились».