Проект

Как выполнить требования положения Банка России № 382-П

Заказчики: Ренессанс Кредит

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: ДиалогНаука
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2015/03 — 2015/09
Технология: ИБ - Антивирусы
подрядчики - 310
проекты - 1323
системы - 443
вендоры - 132
Технология: ИБ - Антиспам
подрядчики - 271
проекты - 1113
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 317
проекты - 994
системы - 484
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1454
системы - 728
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 278
проекты - 1114
системы - 427
вендоры - 246
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 224
проекты - 778
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 277
проекты - 850
системы - 474
вендоры - 246

Компания «ДиалогНаука», системный интегратор в области информационной безопасности, завершила летом 2015 года оценку выполнения требований положения Банка России № 382-П, а также провела аудит информационной безопасности системы обеспечения информационной безопасности для КБ «Ренессанс». В результате проверки было сформировано положительное заключение о выполнении банком требований к обеспечению защиты информации при переводах денежных средств и подготовлен список рекомендаций по возможному улучшению систем обеспечения информационной безопасности банка.

КБ «Ренессанс» - это финансово кредитное учреждение, основой политики которого служит следование новым информационным и банковским технологиям ХХI века, внедрение наиболее современных и актуальных банковских услуг и совершенствование бизнес-процессов, осуществляемых при непосредственном участии банка. Кредитный портфель банка на 1 января 2015 года составил 6,08 млрд рублей. КБ «Ренессанс» является участником «Объединенной расчетной системы», располагающей более 45 000 точек обслуживания клиентов. Банк входит в систему обязательного страхования вкладов с сентября 2005 года.

Следование законодательству в сфере защиты информации и обеспечения безопасности работы при осуществлении банковских операций – это обязательное условие для осуществления банковской деятельности на территории Российской Федерации. Для улучшения состояния информационной безопасности банка, а также в целях проверки обеспечения соответствия требованиям регулятора КБ «Ренессанс» решил обратиться к компании, владеющей необходимыми знаниями и ресурсами, для проведения работ по оценке соответствия системы обеспечения информационной безопасности требованиям стандарта Банка России и Положения Банка России 382-П.

После детального ознакомления с предложениями участников рынка информационной безопасности, их компетенциями и рекомендациями, КБ «Ренессанс» выбрал компанию «ДиалогНаука» в качестве исполнителя проекта по организации оценки соответствия требованиям Положения Банка России № 382-П и проведению аудита ИБ.

Главными задачами, поставленными перед специалистами АО «ДиалогНаука», были проведение независимой объективной оценки выполнения банком установленных положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также инструментальная проверка надежности системы информационной безопасности КБ «Ренессанс».

По согласованию с заказчиком проект был поделен на 5 основных этапов:

  • подготовка к проведению оценки соответствия;
  • документационная проверка;
  • сбор свидетельств оценки соответствия;
  • оценка соответствия и формирование отчетных материалов;
  • аудит информационной безопасности системы обеспечения ИБ.

Первым шагом стала подготовка банка к проведению оценки соответствия требованиям 382-П: совместно с заказчиком были определены состав и порядок проведения оценки соответствия и был сформирован перечень документов, которые могут являться источниками свидетельств выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

Следующим пунктом был проведен анализ документов, предоставленных КБ «Ренессанс» на соответствие критериям оценки соответствия. По результатам анализа в рамках данной работы были осуществлены сбор, документирование и проверка достоверности свидетельств оценки соответствия положению 382-П, а также разработан план проведения оценки соответствия на месте.

Далее на этапе сбора свидетельств оценки соответствия командой АО «ДиалогНаука» был проведен расчет различных показателей, определяющих степень соответствия защиты информации при осуществлении переводов денежных средств требованиям положения 382-П, сформированы отчетные материалы и представлены рекомендации по улучшению защиты информации при осуществлении переводов денежных средств.

При аудите информационной безопасности КБ «Ренессанс» использовался инструментальный анализ защищенности для выявления технологических уязвимостей и ошибок в программно-аппаратном обеспечении. В результате проведенного аудита был подготовлен отчет, содержащий результаты проведенного инструментального анализа корпоративной сети заказчика, оценку существующих процессов ИБ и рекомендации по совершенствованию процессов обеспечения информационной безопасности. По окончанию полного списка работ «ДиалогНаука» выдала КБ «Ренессанс» положительное заключение о полном соответствии безопасности информационных систем банка положению 382-П.