«Банк Москвы» внедрил систему управления рисками нарушения информационной безопасности
Компания «Информзащита» завершила проект по созданию системы управления рисками нарушения информационной безопасности (СУРИБ) в «Банке Москвы». С помощью системы банк сможет выявлять риски нарушения ИБ в различных разрезах (по подразделениям, банковским продуктам и автоматизированным системам), определять меры для минимизации рисков и оценивать их эффективность, сообщили CNews в «Информзащите».
В основу проектирования СУРИБ лег стандарт безопасности «Банка России» СТО БР ИББС. Процедуры и методики оценки рисков, определенные регулятором, были адаптированы под актуальные потребности «Банка Москвы» и дополнены передовыми практиками, представленными организациями ISO и ISACA.
Специалисты «Информзащиты» собрали всю необходимую информацию об информационной инфраструктуре банка и имевшихся инцидентах ИБ за последние пять лет. Сканирование уязвимостей позволило проверить все ключевые компоненты инфраструктуры. Всего было обследовано более 100 подразделений банка, 50 критичных для бизнеса информационных систем и 1000 типов файловых ресурсов и бумажных носителей.
Как отметили в компании, для обработки в ручном режиме такого большого объема полученных данных потребовалось бы более полутора лет. В связи с этим специалистами «Информзащиты» был разработан прототип автоматизированного решения, с помощью которого данные были проанализированы и структурированы за короткий промежуток времени. Тексты прототипа были полностью переданы банку для его дальнейшего развития на системной основе.
«В результате проведенных работ были определены семь информационных систем с наиболее высоким значением риска, — рассказал Лев Фисенко, директор департамента по работе с финансовыми организациями компании «Информзащита». — Некоторым рискам была дана стоимостная оценка. Банк получил сведения о зависимости подразделений от информационных ресурсов, критичности систем и используемых средств защиты. Внедренная система управления рисками нарушения ИБ повысила уровень защищенности информационных активов банка и теперь позволит оптимизировать траты на развитие всей системы ИБ».
«Банк Москвы» получил ощутимые результаты, позволяющие реализовать на практике риск-ориентированный подход к вопросам защиты информации, — прокомментировал результаты проекта начальник управления информационной безопасностью «Банка Москвы» Василий Окулесский. — Одним из ключевых показателей качества выполненных работ является то, что «Банк Москвы» в настоящий момент полностью выполняет все требования отраслевого стандарта «Банка России» по обеспечению ИБ (в части управления рисками нарушения ИБ), банку присвоен максимальный 5-й уровень соответствия по групповым показателям М12, М13, М14».
© CNews