Проект

Leta оценила соответствие ИТ-инфраструктуры «МАК-банка» требованиям стандартов ИБ

Заказчики: МАК-Банк

Финансовые услуги, инвестиции и аудит

Подрядчики: Leta IT-company
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2011/03
Технология: ИБ - Антивирусы
подрядчики - 300
проекты - 1296
системы - 438
вендоры - 129
Технология: ИБ - Антиспам
подрядчики - 261
проекты - 1087
системы - 228
вендоры - 91
Технология: ИБ - Аутентификация
подрядчики - 300
проекты - 954
системы - 464
вендоры - 278
Технология: ИБ - Межсетевые экраны
подрядчики - 371
проекты - 1409
системы - 707
вендоры - 251
Технология: ИБ - Предотвращения утечек информации
подрядчики - 266
проекты - 1069
системы - 418
вендоры - 242
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 216
проекты - 753
системы - 303
вендоры - 137
Технология: ИБ - Средства шифрования
подрядчики - 269
проекты - 824
системы - 465
вендоры - 242

Компания Leta, оператор типизированных ИТ-услуг, объявила о завершении в коммерческом банке «МАК-банк» проекта по комплексной оценке соответствия уровня защищенности информационной инфраструктуры банка и его процессингового центра требованиям основополагающих стандартов в сфере ИБ: российского стандарта СТО БР ИББС-1.0, международного стандарта безопасности данных индустрии платежных карт (PCI DSS), а также нормативной базы по защите персональных данных.

Работы в «МАК-банке» основывались на комплексном подходе к информационной безопасности финансово-кредитных организаций, воплощенном в специальной услуге Leta «Все стандарты ИБ. Банки». При этом оригинальная методика, разработанная специалистами Leta, обеспечивает банку выполнение всех требований СТО БР ИББС-1.0, включая и положения по защите персональных данных, подчеркнули в Leta. Кроме того, так как банк осуществляет процессинг пластиковых карт, данная методика предусматривает и выполнение требований PCI DSS.

Проект, проходивший по типизированной схеме, состоял из трех этапов. Первый был посвящен собственно обследованию информационных систем. При этом в область проекта были включены сотрудники банка, технические и информационные системы, а также реализуемые ими процессы обработки данных держателей платежных карт, персональных данных и обеспечения информационной безопасности. Методика, использованная для проведения проектных работ, основана на многолетнем опыте экспертов Leta и отвечает соответствующим требованиям стандартов, а также отечественных руководящих документов в области защиты информации.

В целом в рамках проекта в «МАК-банке» был выполнен широкий комплекс работ. Проведены: анализ инфраструктуры банка, организационно-распорядительной документации в области ИБ и смежных областях, обследование и подготовку рекомендаций по корректировке бизнес-процессов, в рамках которых ведется обработка данных платежных карт и персональных данных. Также специалисты Leta подготовили необходимые отчеты по обеспечению безопасности персональных данных; в соответствии с методикой СТО БР ИББС провели оценку выполнения требований стандарта и подготовили рекомендации по приведению в соответствие с ними информационной системы заказчика.

Кроме того, согласно процедуре PCI DSS Security Audit Procedure была проведена оценка соответствия информационной инфраструктуры требованиям PCI DSS, подготовлены отчет о соответствии (Report on Compliance) и план мероприятий (Action Plan), а также экспертное заключение с рекомендациями по приведению инфраструктуры в соответствие требованиям PCI DSS.

На следующем этапе был проведен анализ собранной информации и разработана отчетная документация. Чтобы оценить соответствие банка требованиям стандартов СТО БР ИББС-1.0-2010 и PCI DSS v. 1.2.1, а также определить порядок обработки ПДн с использованием средств автоматизации и без применения таковых, эксперты Leta изучили документы, используемые в работе банка, провели серии интервью с сотрудниками подразделений, участвующих в обработке персональных данных и данных держателей платежных карт, а также подразделений, отвечающих за обслуживание ИТ-инфраструктуры и обеспечение информационной и общей безопасности.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.2 т

Для устранения выявленных недостатков на заключительном этапе проекта специалисты Leta, опираясь на полученные оценки, разработали комплект документов с выводами о степени соответствия ИС КБ «МАК-банк» вышеперечисленным стандартам и с конкретными рекомендациями по приведению системы ИБ в соответствие требованиям стандартов СТО БР ИББС-1.0-2010 и PCI DSS v. 1.2.1, а также нормативной базы по защите ПДн. Отметим, что эти рекомендации охватывали основную ИС банка и информационную инфраструктуру процессингового центра.

В дальнейшем «МАК-банк» планирует, основываясь на предложениях Leta, продолжить работу по приведению своих информационных систем в соответствие требованиям вышеперечисленных стандартов ИБ, провести внедрение необходимых технических и организационных средств.

«Данный проект исключительно важен для нашего банка. Ведь точное знание всей совокупности изменений, которые необходимо произвести в системе для гарантированного соблюдения требований всех основных стандартов ИБ — это тот фундамент, без которого запускать конкретные проекты было бы крайне рискованно, — заявил Соломонов Сергей, начальник управления автоматизации «МАК-банк». — Учитывая особую сложность этой задачи, мы и выбрали компанию Leta в качестве исполнителя работ».