Компании «Альянс» и «Альянс Жизнь» входят в число ведущих организаций в России, предоставляющих услуги по корпоративному страхованию имущества и ответственности, а также ДМС и долгосрочному страхованию жизни. Входят в Группу Allianz, существующую с 1890 года, обслуживающую около 85 млн. клиентов в 70 странах, и являющуюся одним из ведущих интегрированных поставщиков страховых и финансовых услуг в мире.
Задача
Внедрение и техническое сопровождение подсистемы анализа защищенности АО СК «Альянс» и ООО СК «Альянс Жизнь».
Одним из факторов, влияющих на непрерывность работы информационных сервисов «Альянс» и «Альянс Жизнь», является их защищенность от возможных действий внешнего и внутреннего злоумышленника. В современных условиях, когда количество целенаправленных атак растет, а внедрение новых технологий ведет к новым рискам кибербезопасности, необходимость анализа и выявления уязвимостей в прикладных системах, сетевых службах и операционных системах становится ежедневным. Своевременный и систематический контроль реальной защищённости сложного и, подчас гетерогенного ИТ ландшафта без средств автоматизации крайне затруднен. Поэтому, в соответствии со стандартами информационной безопасности Группы Allianz, заказчиком было принято решение использовать средства автоматизации, позволяющие своевременно контролировать защищенность корпоративных систем и ресурсов.
«Информационные системы являются эффективным инструментом управления любой организации. В современных реалиях очевидна зависимость бизнеса от информационных технологий, которые предопределяют и напрямую влияют на бизнес и успешность компании в целом. В свою очередь повышается значимость рисков, связанных с информационной безопасности. В случае с СК «Альянс» и «Альянс Жизнь» крайне важна непрерывность деятельности, которую «Информзащита» помогла обеспечить, используя самые современные и надежные технологии», – комментирует Лев Фисенко, директор департамента по работе с финансовыми организациями компании «Информзащита».
Проект
Для достижения поставленных целей и на основании анализа имеющихся сведений об архитектуре и принципах функционирования корпоративной информационной системы заказчика, экспертами «Информзащиты» было предложено создание подсистемы анализа защищенности на базе системы комплексного мониторинга MaxPatrol производства российской компании Positive Technologies. Такая система позволяет в режиме реального времени получать информацию о появлении новых угроз информационной безопасности, а также контролировать защищенность информационных активов организации при условии выстроенного процесса управления уязвимостями информационных систем Заказчика.
Внедрение проходило в несколько этапов. На первом этапе эксперты «Информзащиты» разработали регламент управления уязвимостями, который включал в себя расписания сканирования, а также требования по обработке уязвимостей на основании степени критичности компонента, для которого обнаружена уязвимость.
На втором этапе была разработана вся необходимая проектная документация. Параллельно с этим на авторизованных курсах Учебного центра «Информзащиты» было проведено обучение персонала «Альянс» и «Альянс Жизнь» по работе с системой в части ее администрирования и сопровождения.
Само внедрение и настройка автоматизированной подсистемы анализа защищенности были произведены в сжатые сроки.
Результаты
В результате компании «Альянс» и «Альянс Жизнь» получили готовый инструмент для инвентаризации контролируемых узлов корпоративной информационной системы и их анализа. Кроме того, заказчикам теперь доступны регулярные обновления компонентов подсистемы, централизованное управление компонентами системы и доступ пользователей к её функциям, а также проверка соответствия контролируемых узлов требованиям технических политик и стандартов по информационной безопасности.
По итогам успешного проекта заказчиком было принято решение передать данную систему на техническую поддержку компании «Информзащита».