Заказчики: Финстар Банк (ранее SIAB) Санкт-Петербург; Финансовые услуги, инвестиции и аудит Подрядчики: Digital Security (Диджитал Секьюрити) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2011/12
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
Работы по подготовке к сертификации проводили специалисты Банка совместно с консультантами и аудиторами из компании Digital Security. Стандарт PCI DSS разработан международными платежными системами Visa Int., MasterCard, American Express, Discover и JCB с целью повышения уровня защищенности карт, обрабатывающихся, передающихся и хранящихся в информационных системах банков и процессинговых центров.
«Этот проект особенно показателен тем, что в процессе достижения соответствия PCI DSS инфраструктура Банка была не только частично изменена для более оптимальной защиты, но и в значительной мере расширена, при этом новые элементы добавлялись уже с учетом требований информационной безопасности. Это показывает важность защиты информации о своих клиентах для банка, а также то, насколько удобнее и выгоднее думать о безопасности с самого начала – на стадии внедрения решений, а не тогда, когда защита становится необходимостью» - заметил Павел Федоров, руководитель департамента аудита банков и платежных систем Digital Security.
На протяжении всего срока – а путь к сертификации у Банка длился более года – в результате тесного сотрудничества между Банком СИАБ и компанией Digital Security были выработаны решения, позволившие достичь соответствия стандарту и сохранить эффективность бизнес-процессов.
«Несмотря на то, что проект по достижению соответствия PCI DSS потребовал от нас существенного пересмотра инфраструктуры и дополнительных затрат мы всегда понимали, как важно обеспечивать высокий уровень защиты информации о клиентах. Доверие клиентов – это большая ответственность, и наша обязанность – защищать их данные. Опыт внедрения процедур, необходимых для соответствия PCI DSS показал, как можно существенно повысить безопасность банковских систем, полученный опыт позволяет нам поддерживать защищенность банковских системы на существующем уровне и повышать этот уровень в дальнейшем», – прокомментировал Сергей Глухов, заместитель Председателя Правления Банка СИАБ.
Реализация совместного проекта включает в себя ежегодные процедуры прохождения аудита защищенности систем ДБО (дистанционного банковского обслуживания) и АБС (автоматизированной банковской системы), аудит защищенности приложений мобильного банкинга, а также сертификацию на соответствие стандарту PCI DSS, аудит на соответствие требованиям положения ЦБ РФ № 382-П и т.д.
Контракт предполагает ежегодное выполнение ряда работ силами специалистов Digital Security для SIAB, а именно:
- внешний тест на проникновение, позволяющий проверить функциональность банк-клиента как от лица анонимного пользователя, так и непосредственно от пользователя системы и выявить программные уязвимости на уровне клиента и сервера;
- внутренний анализ защищенности, который дает возможность оценить потенциальный уровень возможного мошенничества внутри банка и скорректировать настройки АБС во избежание инцидентов