Оценка соответствия информационных систем и бизнес-процессов МС Банка Рус

АО «МС Банк Рус» (до 2014 года банк «Капитал-Москва») был учрежден в 1994 году. Изначально деятельность банка в основном была сосредоточена в области финансирования развития предприятий автомобильного бизнеса. С апреля 2014 года АО «МС Банк Рус» диверсифицировал свою деятельность и открыл совместную с Mitsubishi Corporation программу для физических лиц по льготному кредитованию при покупке автомобилей Mitsubishi. Сегодня банк имеет 12 собственных операционных офисов в Москве и Санкт-Петербурге, а также сеть операционных узлов, расположенных во всех дилерских центрах Mitsubishi на всей территории России. Головной офис АО «МС Банк Рус» находится в Москве.

Для осуществления основной деятельности банк использует ряд информационных систем (ИС), осуществляющих, в том числе, автоматизацию операций, связанных с переводом денежных средств в рамках национальной платежной системы. Этот процесс регулируется Положением Банка России № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

С целью приведения ИС в соответствие требованиям данного положения АО «МС Банк Рус» инициировал работы по оценке соответствия всего комплекса информационных систем и бизнес-процессов банка, в том числе:

• Обследование информационной инфраструктуры, включающее разработку рекомендаций по приведению в соответствие требованиям Положения № 382-П по защите информации при осуществлении переводов денежных средств.
• Итоговая оценка соответствия требованиям Положения №382-П.

Подрядчик на выполнение проекта был выбран на основании проведенного конкурса, по результатам которого им стала «АСТ», предложив лучшие условия и полностью выполнив квалификационные требования конкурса.

Выполнение всего комплекса работ заняло 2 месяца, а сам проект охватил все точки присутствия банка на момент его выполнения, включая головной офис. В процессе были решены следующие задачи:

Обследование объектов и бизнес-процессов, сбор исходной информации, анализ текущей ситуации:

• Определение перечня ИС, участвующих в переводе денежных средств, их последующее обследование.
• Анализ мер по обеспечению безопасности, включая физическую и информационную безопасность.
• Определение подразделений и должностных лиц, участвующих в переводе денежных средств, их ролей, функций и ответственности.
• Сбор информации о бизнес-процессах, связанных с переводом денежных средств, их функциональных параметрах.
• Изучение состояния организационно-распорядительной документации.
• Определение текущего уровня соответствия требованиям Положения №382-П.

Разработка рекомендаций по повышению уровня соответствия требованиям Положения №382-П, включая:

• Аналитический отчет о предварительной оценке соответствия требованиям.
• Предложения по всему комплексу мер, этапам развития системы обеспечения информационной безопасности.
• Рекомендации по первоочередным мероприятиям по достижению соответствия уровня информационной безопасности.

Формирование отчета об оценке соответствия системы обеспечения информационной безопасности банка требованиям Положения Банка России №382-П.

Сергиенко Инна, Руководитель направления комплексного обеспечения информационной безопасности ЗАО "АСТ": «Для АО «МС Банк Рус» на момент их обращения было важно незамедлительно выполнить появившиеся тогда нормативы Банка России. Клиент «в первых рядах» оценил всю значимость и важность данных мер. Мы провели работы, по результатам которых не только смогли полностью закрыть этот вопрос, но и обозначили важные шаги по совершенствованию средств ИБ банка, что для него является одним из заявленных ориентиров».

В итоге реализации первоочередных мероприятий по достижению соответствия уровня информационной безопасности значение итогового показателя повысилось с 0,21 (неудовлетворительно) до 0,72 (удовлетворительно).