Компания «Информзащита» завершила проект по созданию системы управления рисками нарушения информационной безопасности (СУРИБ) «Банка Москвы». С помощью системы банк сможет выявлять риски нарушения ИБ в различных разрезах (по подразделениям, банковским продуктам и автоматизированным системам), определять меры для минимизации рисков и оценивать их эффективность.
В основу проектирования СУРИБ лег стандарт безопасности «Банка России» СТО БР ИББС. Процедуры и методики оценки рисков, определенные регулятором, были адаптированы под актуальные потребности «Банка Москвы» и дополнены лучшими практиками, представленными организациями ISO и ISACA.
Специалисты компании «Информзащита» собрали всю необходимую информацию об информационной инфраструктуре банка и имевшихся инцидентах ИБ за последние пять лет. Сканирование уязвимостей позволило проверить все ключевые компоненты инфраструктуры. Было обследовано более 100 подразделений банка, 50 критичных для бизнеса информационных систем и 1000 типов файловых ресурсов и бумажных носителей.
Для обработки в ручном режиме такого большого объема полученных данных потребовалось бы более полутора лет. В связи с этим специалистами «Информзащиты» был разработан прототип автоматизированного решения, с помощью которого данные были проанализированы и структурированы за короткий промежуток времени. Тексты прототипа были полностью переданы банку для его дальнейшего развития на системной основе.
«В результате проведенных работ были определены семь информационных систем с наиболее высоким значением риска, — сообщил Лев Фисенко, директор департамента по работе с финансовыми организациями компании „Информзащита“. — Некоторым рискам была дана стоимостная оценка. Банк получил сведения о зависимости подразделений от информационных ресурсов, критичности систем и используемых средств защиты. Внедренная система управления рисками нарушения ИБ повысила уровень защищенности информационных активов банка и теперь позволит оптимизировать траты на развитие всей системы ИБ».
«„Банк Москвы“ получил ощутимые результаты, позволяющие реализовать на практике риск-ориентированный подход к вопросам защиты информации, — прокомментировал результаты проекта начальник управления информационной безопасностью „Банка Москвы“ Василий Окулесский. — Одним из ключевых показателей качества выполненных работ является то, что „Банк Москвы“ в настоящий момент полностью выполняет все требования отраслевого стандарта „Банка России“ по обеспечению ИБ (в части управления рисками нарушения ИБ), банку присвоен максимальный