Защита финансовых организаций

Защита финансовых организаций
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Наша компания начала развивать направление аудитов финансовых организаций по информационной безопасности в соответствии с законодательством РФ в середине 2018 года. За этот небольшой промежуток времени мы провели 4 комплексных технических аудита на соответствие следующим документам: Положению 382-П, ГОСТ 57580, Положению 683-П, Положению 684-П. Остальные аудиты финансовых организаций были проведены нами в рамках одного регулирующего документа: Положение 382-П или ГОСТ 57580. Также наша компания проводит работы по анализу уязвимостей программного продукта на 4 оценочный уровень доверия (далее ОУД).

Наши специалисты проводят полный спектр работ по оценке соответствия следующим документам: Положению 382-П, ГОСТ 57580.

Этап № I – Аудит системы безопасности ИТ инфраструктуры
На данном этапе работ проводится обследование информационных систем, затрагивающих технологические процессы финансовых организаций, связанные с переводом денежных средств.

В рамках первого этапа мы проводим следующие виды работ:

  • сбор сведений о количественном составе информационных систем, задействованных в технологических процессах финансовых организаций;

  • сбор сведений о характеристиках технических и программных средств, технологий обработки и передачи информации, технологии обработки информации, сведений об используемых средствах защиты информации, о кадровом обеспечении по вопросам защиты информации;

  • категорирование информационных систем, задействованных в технологических процессах финансовых организаций;

  • описание логической схемы ИТКС;

  • анализ имеющейся организационно-распорядительной документации по защите информации в финансовой организации;

  • оценку соответствия требованиям законодательства Российской Федерации в области защиты информации финансовых организаций;

  • формирование рекомендаций по реализации требований законодательства Российской Федерации в области защиты информации финансовых организаций.

Наши специалисты, задействованные в проведении оценки соответствия, сертифицированы ассоциацией пользователей стандартов по информационной безопасности «АБИСС». Результатом данного этапа является проведение оценки соответствия Положению 382-П, ГОСТу 57580, Положению 683-П, Положению 684-П, согласно которым мы выставляем предполагаемую оценку защищенности финансовой организации. На основании проведённой оценки соответствия наша компания подготавливает рекомендации по устранению выявленных недостатков.

По результатам аудита информационных систем мы:

  • проводим анализ угроз безопасности информации (далее – УБИ) для выявления актуальных УБИ, реализация которых может привести к нарушению безопасности информации в информационной системе;

  • разрабатываем модели угроз и нарушителя безопасности информации на основе проведённого анализа УБИ;

  • разрабатываем требования к обеспечению безопасности, которые включают в себя техническое задание на создание подсистемы безопасности ИС. 
Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации, а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации, в том числе выявленные в ходе тестирования информационной системы на проникновение и/или анализа защищенности информационной системы.

Этап № II – Разработка и внедрение системы защиты информации информационной системы
При разработке системы защиты информации информационной системы мы учитываем ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.

В техническом задании мы отражаем требования, предъявляемые регулятором к системе защиты информации финансовой организации.

В техническом проекте мы отражаем предъявляемые регулятором требования в соответствии с функционалом системы безопасности информации, а также учитываем основные положения нормативных правовых актов в области обеспечения безопасности информации.

В случае наличия обоснованных замечаний ЦБ РФ на оказанные нами услуги, мы безвозмездно устраняем указанные замечания.

Наша компания имеет необходимые лицензии ФСТЭК России и ФСБ России для оказания услуг по внедрению средств защиты информации.

При внедрении системы защиты информации мы проводим:

  • установку и настройку различных средств защиты информации (САВЗ, СЗИ от НСД, систем АНЗ, СКЗИ, UTM/NGFW, IDS/IPS, WAF, SIEM, Sandbox, DLP, 2fa и т.д.);

  • проверку внедренных организационных мер защиты информации;

  • предварительные испытания системы защиты информации информационной системы /опытную эксплуатацию системы защиты информации информационной системы;

  • приемочные испытания системы защиты информации информационной системы.

По решению заказчика, в ходе аудита мы можем провести:

  • тестирование информационной системы на проникновение (ссылка на раздел пентеста);

  • работы по анализу защищенности программного продукта на ОУД.4;
  • проверку системного и (или) прикладного программного обеспечения;

  • разработку пакета организационно-распорядительных документов, исходя из результатов аудита, согласно требованиям ЦБ РФ.

При построении системы защиты информации мы руководствуемся следующими основными принципами:

  • обеспечение необходимого и достаточного уровня информационной безопасности обрабатываемой информации;
  • соблюдение строгого соответствия требованиям нормативно-правовой базы в области обработки и защиты Информации;
  • оптимизация совокупных затрат на выполнение работ.
В результате внедрения проекта по комплексной защите информации в информационной системе, должны быть исключены (снижены) риски, связанные с:

  • Кражей финансовых средств предприятия посредством кибер атак;
  • Доступом внешних злоумышленников к конфиденциальной информации предприятия;

  • Любыми деструктивными действиями внешних и внутренних злоумышленников в отношении информационной системы финансовой организации;

  • Несоблюдением требований ГОСТ Р 57580.1-2017, Положения 382-П, Положения 683-П, Положения 684-П;

  • Репутационные и финансовые риски в результате ИТ инфраструктуры банка либо ее отдельных элементов. 




Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.