energobank

АКБ «Энергобанк» ПАО

  • Заказчик:АКБ «Энергобанк» ПАО
  • Проект:Повышение уровня информационной безопасности

Справка:

АКБ «Энергобанк» ПАО («Энергобанк») – один из старейших банков России и Республики Татарстан, был зарегистрирован Государственным Банком СССР 2 марта 1989 года. Финансовая организация занимается классическим банкингом, не приемлет резких движений, предполагая поступательный рост основных показателей бизнеса.

 27 февраля 2015 года в банке случился инцидент информационной безопасности, который активно освещался в СМИ. В результате Банком были инициированы работы по повышению уровня зрелости информационной безопасности.

[Подробнее][Свернуть]

Задачи проекта, ограниченияВ ходе конкурсного отбора в качестве подрядчика было выбрано ЗАО «АСТ».

Вот основные задачи, которые необходимо были решить в рамках контракта:

  • соответствие НПА (нормативно-правовым актам);
  • успешное прохождение проверок регулирующих и надзорных органов;
  • модернизация действующей системы защиты в соответствии с лучшими мировыми практиками.

В то же время существовали и существенные ограничения, которые удалось успешно преодолеть:

  • необходимость тестирования большого пула решений от лидеров рынка информационной безопасности, что требовало привлечения квалифицированных специалистов, обладающими компетенциями в продукции различных вендоров;
  • обеспечение соответствия российскому законодательству при внедрении передовых разработок в области защиты информации (действующие НПА, к сожалению, обновляются недостаточно часто и не всегда их выполнение даёт гарантию повышенной защищённости);
  • время исполнения работ, ввиду повышенного внимания к Банку со стороны надзорных органов и необходимости скорейшего устранения уязвимостей действующей системы защиты.

Особенности работ

Главной особенностью стало совмещение «стандартного, российского» подхода с лучшими мировыми практиками. Привычный комплекс работ (по ГОСТ серии Р34 и циклу Деминга по СТО БР ИББС) все также включал: обследование, планирование, разработку технической и проектной документации, поставку и пуско-наладочные работы, итоговую оценку соответствия. В тоже время выстраивание процессов информационной безопасности и их интеграции в операционную детальность проводилось в соответствии с целями Политики информационной безопасности и миссией Банка. Для этого бизнес-процессы банка были формализованы в рамках методологии IDEF0. Это стало фундаментом дальнейших работ и разработки документации, одновременно упростив применение рекомендаций Gartner, ISF, документов COBIT и ITIL.

В качестве примера можно привести следующий кейс. На этапе «преобразования» силами специалистов «АСТ» и Заказчика дополнительно оптимизировались ресурсы локальной вычислительной сети, хотя, изначально, данные работы не в ходили в область проекта. Это позволяло работать системе защиты максимально производительно, обеспечить ИТ сервисам повышенный уровень непрерывности и иметь запас по масштабируемости.

Длительность проекта составила более 14 месяцев, а география охватила все офисы Банка в различных регионах.

Комментирует руководитель направления комплексного обеспечения информационной безопасности «АСТ» Максим Добровольский:

«Реализация комплексных проектов, когда выполняется весь цикл работ – от оценки исходного положения вещей, до разработки и внедрения средств защиты – всегда наиболее правильный подход для обеспечения высокого уровня защищенности. Так возможно наиболее разносторонне оценить угрозы и предусмотреть требуемые средства защиты от них, заложить ту степень прочности, которая позволит наилучшим образом отвечать и будущим потребностям в уровне обеспечения безопасности».

В свою очередь начальник управления информационных технологий – Елизаров Андрей отметил умение осуществлять грамотные коммуникации:

«У нас даже не было конфликта интересов, работы построены так, что мы преследовали общие цели, которые с успехом и добились».

Романов СергейНачальник отдела обеспечения информационной безопасности АКБ «Энергобанк» ПАО

«Проект был достаточно ответственным, поэтому мы не могли позволить себе получить результат ниже ожидаемого и необходимого. Очень порадовал кругозор специалистов «АСТ». Их видение не ограничивалось набором «любимых» вендоров и российскими стандартами. Также в кратчайшие сроки были запущены множественные пилоты средств защиты. Это позволило повысить уровень информационной безопасности мгновенно, до непосредственной процедуры закупки. Одновременно с этим мы получили возможность протестировать конфигурации до момента внедрения. А уже на этапе внедрения, перенести и тиражировать их на «боевые» системы, сократив тем самым процесс интеграции.

Цели проекта:

  1. соответствие НПА (нормативно-правовым актам);
  2. успешное прохождение проверок регулирующих и надзорных органов;
  3. модернизация действующей системы защиты в соответствии с лучшими мировыми практиками.

Что получил Заказчик:

  • Максимальный уровень зрелости процессов информационной безопасности.
  • Успешное прохождение проверок РКН и НБ РТ; российский «compliance», в том числе и по Комплексу БР ИББС.
  • Действующий SOC – Центр оперативного управления информационной безопасностью на базе адаптивной системы защиты с автоматизированной обратной реакцией на инциденты.
  • Полное удовлетворение своих ожиданий.