Проект

«ДиалогНаука» провела тест на проникновение для ПАО «Запсибкомбанк»

Заказчики: Западно-Сибирский коммерческий банк (Запсибкомбанк)

Тюмень; Финансовые услуги, инвестиции и аудит

Подрядчики: ДиалогНаука
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2016/01 — 2016/03
Технология: ИБ - Антивирусы
подрядчики - 314
проекты - 1330
системы - 446
вендоры - 135
Технология: ИБ - Антиспам
подрядчики - 275
проекты - 1119
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 322
проекты - 1002
системы - 486
вендоры - 289
Технология: ИБ - Межсетевые экраны
подрядчики - 391
проекты - 1466
системы - 734
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 226
проекты - 783
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 278
проекты - 856
системы - 478
вендоры - 246

Компания «ДиалогНаука выполнила в начале 2016 года работы для ПАО «[1]» по проведению теста на проникновение, позволяющего определить степень защищённости автоматизированной системы банка от внешних и внутренних атак со стороны потенциальных злоумышленников. «ДиалогНаука» была выбрана в качестве исполнителя по итогам оценки специалистами ПАО «Запсибкомбанк» предложений нескольких российских компаний – поставщиков услуг в сфере информационной безопасности. В результате работ специалисты заказчика получили объективную информацию о состоянии защиты информационных систем банка и возможных шагах по ее дальнейшему совершенствованию и развитию.

ПАО «Западно-Сибирский коммерческий банк» (Запсибкомбанк) является одним из крупнейших по размеру активов региональным банком, занимающим лидирующую позицию среди банков Тюменской области. Основные направления деятельности — розничный бизнес, кредитование предприятий и физлиц, привлечение средств во вклады и расчетно-кассовое обслуживание. Банк предоставляет своим клиентам широкий спектр высокотехнологичных банковских услуг и выделяет как одну из основных задач обеспечение высокого уровня информационной безопасности автоматизированной банковской системы.

Для решения этой задачи в частности необходима независимая и объективная оценка текущего состояния защиты от внешних и внутренних угроз со стороны потенциальных злоумышленников. Именно поэтому руководством ПАО «Запсибкомбанк» было принято решение провести тест на проникновение, который после анализа предложений от возможных поставщиков услуг был доверен консультантам компании «ДиалогНаука».

Тестирование на проникновение представляло из себя моделирование атак потенциальных злоумышленников на информационные активы ПАО «Запсибкомбанк». Были смоделированы атаки, направленные на выявление организационных, эксплуатационных и технологических уязвимостей в инфраструктуре банка. Дополнительно была проведена базовая оценка существующих процессов обеспечения информационной безопасности и разработан перечень мероприятий по повышению уровня ИБ ПАО «Запсибкомбанк».

По результатам теста на проникновение консультантами «ДиалогНауки» был подготовлен отчет, который включал в себя описание границ аудита, использованных методов и средств, перечень выявленных уязвимостей и недостатков, ранжированных по уровню риска их использования потенциальными злоумышленниками. Были описаны предпринятые сценарии проникновения и достигнутые результаты, проведена оценка рисков ИБ и процессов обеспечения ИБ банка. В заключение были представлены рекомендации по устранению выявленных уязвимостей и совершенствованию процессов обеспечения ИБ ПАО «Запсибкомбанк», а также план работ по совершенствованию процессов обеспечения ИБ.

«ИТ-инфраструктура финансовой организации выполняет основную роль в деле обеспечения непрерывности процессов банка и сервисов для клиентов. А тест на проникновение позволяет оценить, насколько эффективна на практике защита этой инфраструктуры от атак реальных хакеров. Поэтому мы считаем важным данный проект, – прокомментировал вице-президент ПАО «Запсибкомбанк» Чеснов Виктор Александрович. – По результатам теста на проникновение мы получили исчерпывающую информацию о текущем состоянии периметра защиты корпоративной системы и о возможных шагах по ее совершенствованию. Уверен, что это будет способствовать в будущем повышению уровня информационной безопасности банка».