Проект

Разработка комплексной системы обеспечения информационной безопасности для «Смартбанка»

Заказчики: Смартбанк

Москва; Финансовые услуги, инвестиции и аудит

Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2013/01 — 2013/04
Технология: ИБ - Антивирусы
подрядчики - 314
проекты - 1330
системы - 446
вендоры - 135
Технология: ИБ - Антиспам
подрядчики - 275
проекты - 1119
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 322
проекты - 1002
системы - 486
вендоры - 289
Технология: ИБ - Межсетевые экраны
подрядчики - 391
проекты - 1466
системы - 734
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 226
проекты - 783
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 278
проекты - 856
системы - 478
вендоры - 246

«Смартбанк» осуществлял предоставление спектра банковских услуг и операций, требующих обеспечения мер информационной безопасности (ИБ) задействованных в работе ИТ-систем на уровне, соответствующем действующим нормам законодательства РФ и требованиями Банка России. Операционный процессинг банка требует соблюдения норм федеральных законов о персональных данных № 152-ФЗ и о национальной платежной системе №161-ФЗ, а вся ИТ-инфраструктура должна выполнять нормы стандарта Банка России БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

Исполнителем проекта разработки комплексной системы обеспечения ИБ банка с целью приведения ее в соответствие нормативным требованиям на основании проведенного конкурса была выбрана «АСТ», предложив лучшие условия выполнения проекта и полностью выполнив квалификационные требования.

Целью проекта явился весь пул вопросов обеспечения защиты данных, содержащихся и обрабатываемых информационными системами банка, включая решение следующих задач:

  • Определение текущего состояния ИБ и средств защиты на момент начала проекта.
  • Определение наиболее эффективных мер, позволяющих обеспечить необходимый уровень защищенности информационной системы и ее соответствие требованиям федерального законодательства.
  • Техническое проектирование комплексной системы защиты персональных данных.
  • Предоставление заключения о результатах проведения контроля соответствия требованиям 152-ФЗ.
  • Разработка нормативно-распорядительной документации в соответствие с требованиями 152-ФЗ и 161-ФЗ.

Реализация проектных работ охватила весь ИТ-комплекс банка, включая основную банковскую информационную систему и связанные подсистемы, серверный парк, сетевую инфраструктуру, все рабочие места, а сами работы выполнялись во всех офисах кредитно-финансового учреждения, включая ныне закрытый офис в Уфе. Срок реализации составил 7 месяцев.

В рамках проекта было выполнено:

  • Предварительное обследование и сбор исходных данных об информационной системе заказчика.
  • Документальный анализ защищенности внешнего и внутреннего периметра локальной вычислительной сети (ЛВС) и выработка рекомендаций по повышению защищенности сетевой инфраструктуры.
  • Расчет исходной оценки соответствия текущего уровня обеспечения ИБ информационных систем банка требованиям отраслевых стандартов и федеральному законодательству.
  • Анализ организационно-распорядительной документации по обеспечению режима ИБ и выработка рекомендаций по ее совершенствованию.
  • Разработка модели угроз с учетом отраслевой модели угроз. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов информационной системы Банка по методологии РС БР ИББС 2.2 2009,
  • Выработка рекомендаций по повышению эффективности системы управления ИБ в Банке, процессов и процедур ее обеспечения.
  • Разработка технического проекта на создание Системы Защиты Персональных Данных (СЗПДн).
  • Разработка нормативно-распорядительной документации в соответствии с требованиями 152-ФЗ и 161-ФЗ.
  • Внедрение средств защиты и процедур ИБ.

Сергиенко Инна, Руководитель направления комплексного обеспечения информационной безопасности ЗАО «АСТ»: «В ходе выполнения проекта нам потребовалось привлечение комплексных экспертиз нескольких технологических и отраслевых направлений нашей компании. «Смартбанк» имеет не очень большую физическую структуру, но предоставляет развитые финансовые услуги, что обеспечивается целым пулом ИТ-решений и информационных систем. Весь этот пул требовал обследования и приведения по уровню информационной безопасности в четкое соответствие требованиям регулятора и законодательства России. Нами проведена очень кропотливая работа, в результате которой удалось в полной мере решить те задачи, которые перед нами ставились».