Комплекс услуг по привидению в соответствие требованиям Банка России
Справка о заказчике:
ФКО
Организация предоставляет полный спектр актуальных банковских услуг.
Ответственный за проект:
Червяков Никита Радиславович, заместитель директора по развитию, руководитель отдела продаж.
Наименование услуги:
Проверка соответствия (аудит) требованиям Банка России для организаций кредитно-финансовой сферы
«В 2020 году между ООО «ЦИБИТ» и Банком был заключен договор на оказание услуг оценки (аудита) соответствия требованиям Положений Банка России:
- 672-П «О требованиях к защите информации в платёжной системе Банка России» (позднее договор был перезаключен в связи с выходом Положения 719-П, заменившего Положение 672-П);
- 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
По результатам проведённых аудитов экспертами «ЦИБИТ» была выставлена неудовлетворительная оценка из-за отсутствия у Банка соответствующих документов и SIEM-системы. В связи с этим специалистами Департамента финансового комплаенса было предложено заключение договора на приведение в соответствие требованиям Положений Банка России. Однако, организация приняла решение самостоятельно справиться с задачей повышения уровня соответствия требованиям к информационной безопасности.
В рамках заключительного этапа оказания услуги по проведению аудитов эксперты «ЦИБИТ» разработали ряд рекомендаций, которые специалисты компании-заказчика не смогли выполнить собственными силами в полном объёме: организация приобрела SIEM-систему, решив одну из проблем, но при этом не уделив достаточного внимания разработке необходимой документации. В связи с этим оценка соответствия по-прежнему не удовлетворяла желаемым показателям.
В результате проработки всех вопросов с нашими экспертами, представители банка приняли решение об инициировании проекта приведения в соответствие требованиям Положений ЦБ РФ с привлечением квалифицированных специалистов «ЦИБИТ».
Был заключен договор на оказание комплекса услуг по приведению в соответствие требованиям Банка России, и работы начались незамедлительно. В итоге уровень соответствия был повышен до желаемой оценки в кратчайшие сроки. Компания осталась довольна и выступила с инициативой продолжить сотрудничество с «ЦИБИТ» в рамках договора на регулярное комплексное обслуживание по аудиту информационной безопасности и проведению тестирования на проникновение (пентест).
Регулярное комплексное обслуживание предполагает постоянное сопровождение организации по направлениям:
- Аудит информационной безопасности. Согласно Положениям и стандартам Банка России, финансовые организации должны постоянно поддерживать системы защиты, удовлетворяющие требованиям регулятора.
- Тестирование на проникновение. Оценка защищенности ИТ-инфраструктуры (пентест)
В этот же период у организации появилась дополнительная потребность в проведении срочного аудита по SWIFT. Команда «ЦИБИТ» выполнила работы за один месяц и подготовила полный отчёт.
С тех пор наши отношения носят характер длительного плодотворного сотрудничества, специалисты «ЦИБИТ» продолжают помогать клиенту соответствовать требованиям», — комментирует проект Никита Радиславович.
В процессе работы эксперты “ЦИБИТ” выявили следующие проблемы:
- Неудовлетворительная оценка соответствия требованиям ГОСТ Р 57580;
- Невозможность самостоятельно повысить оценку соответствия до желаемого уровня;
- Отсутствие необходимой документации и технических средств.
Дополнительно была выявлена задача по проведению аудита по SWIFT.
Команда специалистов “ЦИБИТ” помогла организации, предоставив следующие услуги:
- Аудит текущего состояния бизнес-процессов в части соответствия требованиям 672-П (719-П) и 683-П;
- Консалтинг по ИБ;
- Повышение оценки соответствия путем разработки необходимой документации, а также содействие в приобретении, установке и наладке SIEM-системы;
- Аудит по SWIFT;
- Проведение необходимых аудитов на регулярной основе;
- Проведение пентестов (тестирования на проникновение) на регулярной основе.
Выгоды сотрудничества с «ЦИБИТ»:
- Получение оценки, соответствующей требованиям Положений Банка России;
- Оперативность проведения аудита и подготовки отчёта по SWIFT;
- Комплексное сопровождение по аудитам и тестированию на проникновение.