Проект

Оценка соответствия информационных систем и бизнес-процессов МС Банка Рус

Заказчики: МС Банк Рус (Банк Капитал Москва) MC Bank Rus

Москва; Финансовые услуги, инвестиции и аудит

Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2014/03 — 2014/09
Технология: ИБ - Антивирусы
подрядчики - 314
проекты - 1330
системы - 446
вендоры - 135
Технология: ИБ - Антиспам
подрядчики - 275
проекты - 1119
системы - 233
вендоры - 96
Технология: ИБ - Аутентификация
подрядчики - 322
проекты - 1002
системы - 485
вендоры - 288
Технология: ИБ - Межсетевые экраны
подрядчики - 391
проекты - 1466
системы - 734
вендоры - 263
Технология: ИБ - Предотвращения утечек информации
подрядчики - 281
проекты - 1122
системы - 429
вендоры - 248
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 226
проекты - 783
системы - 315
вендоры - 147
Технология: ИБ - Средства шифрования
подрядчики - 278
проекты - 855
системы - 478
вендоры - 246
АО «МС Банк Рус» (до 2014 года банк «Капитал-Москва») был учрежден в 1994 году. Изначально деятельность банка в основном была сосредоточена в области финансирования развития предприятий автомобильного бизнеса. С апреля 2014 года АО «МС Банк Рус» диверсифицировал свою деятельность и открыл совместную с Mitsubishi Corporation программу для физических лиц по льготному кредитованию при покупке автомобилей Mitsubishi. Сегодня банк имеет 12 собственных операционных офисов в Москве и Санкт-Петербурге, а также сеть операционных узлов, расположенных во всех дилерских центрах Mitsubishi на всей территории России. Головной офис АО «МС Банк Рус» находится в Москве.

Для осуществления основной деятельности банк использует ряд информационных систем (ИС), осуществляющих, в том числе, автоматизацию операций, связанных с переводом денежных средств в рамках национальной платежной системы. Этот процесс регулируется Положением Банка России № 382-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

С целью приведения ИС в соответствие требованиям данного положения АО «МС Банк Рус» инициировал работы по оценке соответствия всего комплекса информационных систем и бизнес-процессов банка, в том числе:

  • Обследование информационной инфраструктуры, включающее разработку рекомендаций по приведению в соответствие требованиям Положения № 382-П по защите информации при осуществлении переводов денежных средств.
  • Итоговая оценка соответствия требованиям Положения №382-П.

Подрядчик на выполнение проекта был выбран на основании проведенного конкурса, по результатам которого им стала «АСТ», предложив лучшие условия и полностью выполнив квалификационные требования конкурса. TAdviser Security 100: Крупнейшие ИБ-компании в России 58.8 т

Выполнение всего комплекса работ заняло 2 месяца, а сам проект охватил все точки присутствия банка на момент его выполнения, включая головной офис. В процессе были решены следующие задачи:

Обследование объектов и бизнес-процессов, сбор исходной информации, анализ текущей ситуации:

  • Определение перечня ИС, участвующих в переводе денежных средств, их последующее обследование.
  • Анализ мер по обеспечению безопасности, включая физическую и информационную безопасность.
  • Определение подразделений и должностных лиц, участвующих в переводе денежных средств, их ролей, функций и ответственности.
  • Сбор информации о бизнес-процессах, связанных с переводом денежных средств, их функциональных параметрах.
  • Изучение состояния организационно-распорядительной документации.
  • Определение текущего уровня соответствия требованиям Положения №382-П.

Разработка рекомендаций по повышению уровня соответствия требованиям Положения №382-П, включая:

  • Аналитический отчет о предварительной оценке соответствия требованиям.
  • Предложения по всему комплексу мер, этапам развития системы обеспечения информационной безопасности.
  • Рекомендации по первоочередным мероприятиям по достижению соответствия уровня информационной безопасности.

Формирование отчета об оценке соответствия системы обеспечения информационной безопасности банка требованиям Положения Банка России №382-П.

Сергиенко Инна, Руководитель направления комплексного обеспечения информационной безопасности ЗАО "АСТ": «Для АО «МС Банк Рус» на момент их обращения было важно незамедлительно выполнить появившиеся тогда нормативы Банка России. Клиент «в первых рядах» оценил всю значимость и важность данных мер. Мы провели работы, по результатам которых не только смогли полностью закрыть этот вопрос, но и обозначили важные шаги по совершенствованию средств ИБ банка, что для него является одним из заявленных ориентиров».
В итоге реализации первоочередных мероприятий по достижению соответствия уровня информационной безопасности значение итогового показателя повысилось с 0,21 (неудовлетворительно) до 0,72 (удовлетворительно).