Проект

Leta оценила соответствие ИТ-инфраструктуры «МАК-банка» требованиям стандартов ИБ

Заказчики: МАК-Банк

Финансовые услуги, инвестиции и аудит

Подрядчики: Leta IT-company
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2011/03
Технология: ИБ - Антивирусы
подрядчики - 310
проекты - 1321
системы - 443
вендоры - 132
Технология: ИБ - Антиспам
подрядчики - 271
проекты - 1111
системы - 232
вендоры - 95
Технология: ИБ - Аутентификация
подрядчики - 316
проекты - 992
системы - 483
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1452
системы - 728
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 277
проекты - 1111
системы - 426
вендоры - 245
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 224
проекты - 776
системы - 314
вендоры - 146
Технология: ИБ - Средства шифрования
подрядчики - 277
проекты - 847
системы - 474
вендоры - 246

Компания Leta, оператор типизированных ИТ-услуг, объявила о завершении в коммерческом банке «МАК-банк» проекта по комплексной оценке соответствия уровня защищенности информационной инфраструктуры банка и его процессингового центра требованиям основополагающих стандартов в сфере ИБ: российского стандарта СТО БР ИББС-1.0, международного стандарта безопасности данных индустрии платежных карт (PCI DSS), а также нормативной базы по защите персональных данных.

Работы в «МАК-банке» основывались на комплексном подходе к информационной безопасности финансово-кредитных организаций, воплощенном в специальной услуге Leta «Все стандарты ИБ. Банки». При этом оригинальная методика, разработанная специалистами Leta, обеспечивает банку выполнение всех требований СТО БР ИББС-1.0, включая и положения по защите персональных данных, подчеркнули в Leta. Кроме того, так как банк осуществляет процессинг пластиковых карт, данная методика предусматривает и выполнение требований PCI DSS.

Проект, проходивший по типизированной схеме, состоял из трех этапов. Первый был посвящен собственно обследованию информационных систем. При этом в область проекта были включены сотрудники банка, технические и информационные системы, а также реализуемые ими процессы обработки данных держателей платежных карт, персональных данных и обеспечения информационной безопасности. Методика, использованная для проведения проектных работ, основана на многолетнем опыте экспертов Leta и отвечает соответствующим требованиям стандартов, а также отечественных руководящих документов в области защиты информации.

В целом в рамках проекта в «МАК-банке» был выполнен широкий комплекс работ. Проведены: анализ инфраструктуры банка, организационно-распорядительной документации в области ИБ и смежных областях, обследование и подготовку рекомендаций по корректировке бизнес-процессов, в рамках которых ведется обработка данных платежных карт и персональных данных. Также специалисты Leta подготовили необходимые отчеты по обеспечению безопасности персональных данных; в соответствии с методикой СТО БР ИББС провели оценку выполнения требований стандарта и подготовили рекомендации по приведению в соответствие с ними информационной системы заказчика.

Кроме того, согласно процедуре PCI DSS Security Audit Procedure была проведена оценка соответствия информационной инфраструктуры требованиям PCI DSS, подготовлены отчет о соответствии (Report on Compliance) и план мероприятий (Action Plan), а также экспертное заключение с рекомендациями по приведению инфраструктуры в соответствие требованиям PCI DSS.

На следующем этапе был проведен анализ собранной информации и разработана отчетная документация. Чтобы оценить соответствие банка требованиям стандартов СТО БР ИББС-1.0-2010 и PCI DSS v. 1.2.1, а также определить порядок обработки ПДн с использованием средств автоматизации и без применения таковых, эксперты Leta изучили документы, используемые в работе банка, провели серии интервью с сотрудниками подразделений, участвующих в обработке персональных данных и данных держателей платежных карт, а также подразделений, отвечающих за обслуживание ИТ-инфраструктуры и обеспечение информационной и общей безопасности.

Для устранения выявленных недостатков на заключительном этапе проекта специалисты Leta, опираясь на полученные оценки, разработали комплект документов с выводами о степени соответствия ИС КБ «МАК-банк» вышеперечисленным стандартам и с конкретными рекомендациями по приведению системы ИБ в соответствие требованиям стандартов СТО БР ИББС-1.0-2010 и PCI DSS v. 1.2.1, а также нормативной базы по защите ПДн. Отметим, что эти рекомендации охватывали основную ИС банка и информационную инфраструктуру процессингового центра.

В дальнейшем «МАК-банк» планирует, основываясь на предложениях Leta, продолжить работу по приведению своих информационных систем в соответствие требованиям вышеперечисленных стандартов ИБ, провести внедрение необходимых технических и организационных средств.

«Данный проект исключительно важен для нашего банка. Ведь точное знание всей совокупности изменений, которые необходимо произвести в системе для гарантированного соблюдения требований всех основных стандартов ИБ — это тот фундамент, без которого запускать конкретные проекты было бы крайне рискованно, — заявил Соломонов Сергей, начальник управления автоматизации «МАК-банк». — Учитывая особую сложность этой задачи, мы и выбрали компанию Leta в качестве исполнителя работ».