Компания «Информзащита» сообщила о завершении проектных работ, направленных на создание системы управления рисками нарушения информационной безопасности (СУРИБ) Банка Москвы. Пользуясь данной системой, Банк получает возможность для выявления рисков нарушения информационной безопасности в разных разрезах (подразделения, банковские продукты и автоматизированные системы), определения мер для того, чтобы минимизировать риски и дать оценку их эффективности.
В основе проектирования СУРИБ заложен стандарт безопасности Банка России СТО БР ИББС. Все процессы и методики для оценки рисков, которые определил регулятор, были адаптированы под наиболее насущные и актуальные потребности Банка Москвы вкупе с дополнением лучших практик, представленных организациями ISO и ISACA. Специалистами компании «Информзащита» была собрана вся необходимая информация, касающаяся информационной инфраструктуры банка и имевших место инцидентах, связанных с нарушением информационной безопасности за последние 5 лет. Посредством сканирования уязвимостей была осуществлена проверка всех ключевых компонентов инфраструктуры. Обследование прошли свыше 100 банковских подразделений, 50 информационных систем с наибольшей степенью критичности для бизнеса и порядка 1 тыс. типов бумажных носителей и файловых ресурсов. Чтобы обработать в ручном режиме такой большой объем полученной информации, нужно было располагать свыше 1,5 годами. В связи с чем, специалисты «Информзащиты» разработали прототип автоматизированного решения, при помощи которого получили полный анализ данных и их структуру в течение короткого времени. Тексты прототипа были переданы Банку для его последующего развития на системной основе. По словам Льва Фисенко, директора департамента по работе с финансовыми организациями компании «Информзащита», в ходе проведенного объема работ определено семь информационных систем с признаками наиболее высокого значения риска.
Некоторые риски получили стоимостную оценку. Банку были предоставлены сведения о зависимости подразделений от информационных ресурсов, критичности систем и используемых средствах защиты. Внедрение новой системы управления рисками нарушения информационной безопасности способствовало повышению уровня защищенности банковских информационных активов и теперь можно будет оптимизировать затраты на развитие всей системы ИБ. По мнению начальника управления информационной безопасности Банка Москвы Василия Окулесского, мы получили весьма существенные результаты, которые позволят практически провести реализацию риск-ориентированного подхода к вопросам, касающихся защиты информации. Одним из основных показателей качества выполненных работ стало то, что в настоящее время банк в полном объеме может выполнять все требования, присущие отраслевым стандартам Банка России по обеспечению информационной безопасности. Банку Москвы присвоен 5-й, максимальный уровень соответствия групповым показателям М12, М13, М14.
