17.02.2014

Создание системы управления рисками нарушения ИБ в ОАО «Банк Москвы»

Дата окончания проекта:

Август 2013-го года

Заказчик:

ОАО «Банк Москвы» — Один из крупнейших универсальных банков России (входит в топ-5), предоставляющий диверсифицированный спектр финансовых услуг как для юридических, так и для частных лиц.

Основным акционером банка является Группа ВТБ (95,53%). Стратегией развития банка определено, что Банк Москвы будет развиваться как самостоятельный универсальный коммерческий банк в составе Группы ВТБ.

В настоящее время Банк Москвы обслуживает более 100 тыс. корпоративных и свыше 9 млн частных клиентов. Среди клиентов – юридических лиц – крупнейшие отраслевые предприятия, предприятия среднего и малого бизнеса.

Потребности бизнеса:

Как показывается практика, для крупного банка с большим числом информационных активов управление ИБ хотя и не является основной бизнес-деятельностью, имеет большой приоритет, поскольку обеспечивает эту деятельность. Фундаментальными процессами в управлении ИБ являются процессы управления рисками нарушения ИБ. Система управления рисками ИБ (СУРИБ) позволяет не только повышать общий уровень защищенности банка, но и принимать стратегические решения о развитие системы ИБ.

Банк Москвы рассматривал внедрение СУРИБ как решения, которое бы позволило компании решить сразу три стратегические задачи. С одной стороны снизить существующие риски нарушения ИБ банка. С другой – выполнить требования регуляторов в части управления рисками. Наконец, СУРИБ стал бы для банка средством для оптимизации затрат на развитие системы обеспечения ИБ.

Для определения рисков нарушения ИБ и их оценки специалистам банка необходимо исследовать более 3,5 тысяч информационных активов. Эта работа, если делать ее вручную, может занять более 1,5 лет. Поэтому банк также испытывал необходимость во внедрении автоматизированного средства, которое бы эффективно решило данную проблему.

Задача:

Перед специалистами компании «Информзащита» были поставлены восемь задач, решение которых совместно со специалистами управления информационной безопасностью банка гарантировало бы успешный результат проекта:

  • разработка нормативных актов СУРИБ;
  • разработка прототипа средства автоматизации СУРИБ;
  • инвентаризация информационных активов банка и описание объектов информационной инфраструктуры;
  • идентификация высокоуровневых и детализированных угроз ИБ;
  • анализ применяемых защитных мер, уязвимостей, оценка вероятности реализации угроз и тяжести последствий их воздействия;
  • высокоуровневая и детализированная оценка рисков нарушения ИБ;
  • разработка плана обработки недопустимых рисков нарушения ИБ;
  • обучение работников банка методам работы с СУРИБ.

 

Решение:

Принятый Банком Москвы стандарт безопасности СТО БР ИББС лег в основу проектирования СУРИБ. В качестве процедур и методик оценки рисков были выбраны подходы, рекомендуемые Банком России. Они были адаптированы под актуальные потребности банка и дополнены лучшими практиками, представленными организациями ISO и ISACA.

Специалисты компании «Информзащита» собрали всю необходимую информацию об информационной инфраструктуре банка и имевшихся инцидентах ИБ за последние пять лет. Сканирование уязвимостей позволило проверить все ключевые компоненты инфраструктуры. Было исследовано более 100 подразделений банка, 50 критичных для бизнеса информационных систем, 600 файловых ресурсов с критичной информацией.

Компанией «Информзащита» было разработано автоматизированное решение, с помощью которого были проанализированы и структурированы полученные данные.

Результат:

В результате проведенных работ были определены семь информационных систем с наиболее высокой степенью риска. Выявленным рискам была дана стоимостная оценка. Банк получил сведения о зависимости подразделений от информационных ресурсов, критичности систем и используемых средств защиты.

На сегодняшний день СУРИБ, внедренный в Банке Москвы, позволяет выявлять риски нарушения ИБ в различных разрезах: по подразделениям, банковским продуктам, автоматизированным системам, – определять меры для их снижения и оценивать эффективность планируемых мер.

В связи с уникальностью разработок банку были переданы все исходные тексты прототипа автоматизированной системы СУРИБ с целью ее дальнейшего развития на системной основе.

Одним из ключевых результатов является то, что Банк Москвы в настоящий момент полностью выполняет все требования отраслевого стандарта Банка России по обеспечению ИБ (в части управления рисками нарушения ИБ). В независимом аудиторском заключении банку присвоен максимальный 5-й уровень соответствия по групповым показателям М12, М13, М14.

Отзыв

«По результатам совместных работ ОАО «Банк Москвы» получил ощутимые результаты, позволяющие реализовать на практике риск-ориентированный подход к вопросам защиты информации», – прокомментировал результаты проекта начальник управления информационной безопасностью Банка Москвы Василий Окулесский.