Разработка комплексной системы обеспечения информационной безопасности для «Смартбанка»

«Смартбанк» осуществлял предоставление спектра банковских услуг и операций, требующих обеспечения мер информационной безопасности (ИБ) задействованных в работе ИТ-систем на уровне, соответствующем действующим нормам законодательства РФ и требованиями Банка России. Операционный процессинг банка требует соблюдения норм федеральных законов о персональных данных № 152-ФЗ и о национальной платежной системе №161-ФЗ, а вся ИТ-инфраструктура должна выполнять нормы стандарта Банка России БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

Исполнителем проекта разработки комплексной системы обеспечения ИБ банка с целью приведения ее в соответствие нормативным требованиям на основании проведенного конкурса была выбрана «АСТ», предложив лучшие условия выполнения проекта и полностью выполнив квалификационные требования.

Целью проекта явился весь пул вопросов обеспечения защиты данных, содержащихся и обрабатываемых информационными системами банка, включая решение следующих задач:

• Определение текущего состояния ИБ и средств защиты на момент начала проекта.
• Определение наиболее эффективных мер, позволяющих обеспечить необходимый уровень защищенности информационной системы и ее соответствие требованиям федерального законодательства.
• Техническое проектирование комплексной системы защиты персональных данных.
• Предоставление заключения о результатах проведения контроля соответствия требованиям 152-ФЗ.
• Разработка нормативно-распорядительной документации в соответствие с требованиями 152-ФЗ и 161-ФЗ.

Реализация проектных работ охватила весь ИТ-комплекс банка, включая основную банковскую информационную систему и связанные подсистемы, серверный парк, сетевую инфраструктуру, все рабочие места, а сами работы выполнялись во всех офисах кредитно-финансового учреждения, включая ныне закрытый офис в Уфе. Срок реализации составил 7 месяцев.

В рамках проекта было выполнено:

• Предварительное обследование и сбор исходных данных об информационной системе заказчика.
• Документальный анализ защищенности внешнего и внутреннего периметра локальной вычислительной сети (ЛВС) и выработка рекомендаций по повышению защищенности сетевой инфраструктуры.
• Расчет исходной оценки соответствия текущего уровня обеспечения ИБ информационных систем банка требованиям отраслевых стандартов и федеральному законодательству.
• Анализ организационно-распорядительной документации по обеспечению режима ИБ и выработка рекомендаций по ее совершенствованию.
• Разработка модели угроз с учетом отраслевой модели угроз. Анализ рисков, связанных с осуществлением угроз безопасности в отношении ресурсов информационной системы Банка по методологии РС БР ИББС 2.2 2009,
• Выработка рекомендаций по повышению эффективности системы управления ИБ в Банке, процессов и процедур ее обеспечения.
• Разработка технического проекта на создание Системы Защиты Персональных Данных (СЗПДн).
• Разработка нормативно-распорядительной документации в соответствии с требованиями 152-ФЗ и 161-ФЗ.
• Внедрение средств защиты и процедур ИБ.

Сергиенко Инна, Руководитель направления комплексного обеспечения информационной безопасности ЗАО «АСТ»: «В ходе выполнения проекта нам потребовалось привлечение комплексных экспертиз нескольких технологических и отраслевых направлений нашей компании. «Смартбанк» имеет не очень большую физическую структуру, но предоставляет развитые финансовые услуги, что обеспечивается целым пулом ИТ-решений и информационных систем. Весь этот пул требовал обследования и приведения по уровню информационной безопасности в четкое соответствие требованиям регулятора и законодательства России. Нами проведена очень кропотливая работа, в результате которой удалось в полной мере решить те задачи, которые перед нами ставились».