Компания «Информзащита» завершила проект по созданию системы управления рисками нарушения информационной безопасности (СУРИБ) Банка Москвы. С помощью системы банк сможет выявлять риски нарушения ИБ в различных разрезах (по подразделениям, банковским продуктам и автоматизированным системам), определять меры для минимизации рисков и оценивать их эффективность.
В основу проектирования СУРИБ лег стандарт безопасности Банка России СТО БР ИББС. Процедуры и методики оценки рисков, определенные регулятором, были адаптированы под актуальные потребности Банка Москвы и дополнены лучшими практиками, представленными организациями ISO и ISACA.
Специалисты компании «Информзащита» собрали всю необходимую информацию об информационной инфраструктуре банка и имевшихся инцидентах ИБ за последние пять лет. Сканирование уязвимостей позволило проверить все ключевые компоненты инфраструктуры. Было обследовано более 100 подразделений банка, 50 критичных для бизнеса информационных систем и 1000 типов файловых ресурсов и бумажных носителей.
Для обработки в ручном режиме такого большого объема полученных данных потребовалось бы более полутора лет. В связи с этим специалистами «Информзащиты» был разработан прототип автоматизированного решения, с помощью которого данные были проанализированы и структурированы за короткий промежуток времени. Тексты прототипа были полностью переданы банку для его дальнейшего развития на системной основе.
«В результате проведенных работ были определены семь информационных систем с наиболее высоким значением риска, – сообщил Лев Фисенко, директор департамента по работе с финансовыми организациями компании «Информзащита». – Некоторым рискам была дана стоимостная оценка. Банк получил сведения о зависимости подразделений от информационных ресурсов, критичности систем и используемых средств защиты. Внедренная система управления рисками нарушения ИБ повысила уровень защищенности информационных активов банка и теперь позволит оптимизировать траты на развитие всей системы ИБ».
«Банк Москвы получил ощутимые результаты, позволяющие реализовать на практике риск-ориентированный подход к вопросам защиты информации, – прокомментировал результаты проекта начальник управления информационной безопасностью Банка Москвы Василий Окулесский. – Одним из ключевых показателей качества выполненных работ является то, что Банк Москвы в настоящий момент полностью выполняет все требования отраслевого стандарта Банка России по обеспечению ИБ (в части управления рисками нарушения ИБ), банку присвоен максимальный 5-й уровень соответствия по групповым показателям М12, М13, М14[1]».[1] В соответствии с «Методикой оценки соответствия информационной безопасности организации банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010»