Компания «Информзащита»
Ведущий системный интегратор
в области информационной безопасности
+7 (495) 980-23-45
Подать заявку
О компании
  • Группа компаний
  • История компании
  • Лицензии и сертификаты
  • Партнеры
  • Реквизиты
Услуги
  • Защита инфраструктуры
    • Подключение к платформе Цифрового рубля
    • Анализ и управление конфигурациями сетевых устройств
    • Безопасность баз данных и приложений
    • Безопасность беспроводных сетей
    • Безопасность мобильных устройств
    • Защита WEB приложений
    • Защита каналов связи
    • Защита от APT и 0-day атак
    • Защита сетевой инфраструктуры
    • Защищенное подключение к Интернет
    • Контроль действий пользователей и администраторов
    • Контроль доступа к сети
    • Мониторинг событий и управление инцидентами (SIEM)
    • Нагрузочное тестирование
  • Проектирование и внедрение
    • Заказная разработка программного обеспечения
    • Информационная безопасность для ЦОД
    • Инфраструктура открытых ключей (PKI)
  • Аудит ИБ и безопасность бизнес-процессов
    • Аудит защищенности информационной инфраструктуры
    • Комплексное обследование ИБ и разработка программы развития ИБ
    • Обеспечение непрерывности бизнеса
    • Повышение осведомленности по вопросам ИБ (Security Awareness)
    • Разработка нормативной документации
    • Управление рисками ИБ
  • Управление безопасностью
    • Внедрение системы управления информационной безопасностью (ISO 27001)
    • Защита от утечек и контроль действий пользователей (DLP)
    • Управление уязвимостями
  • Защита информации
    • Контроль доступа к неструктурированным данным (DAG)
  • Анализ защищенности
    • Безопасная разработка: анализ кода
    • Киберучения (Adversary Emulation)
    • Непрерывный мониторинг (Continuous Monitoring)
    • Расследование инцидентов ИБ и компьютерная экспертиза (Форензика)
    • Тестирование на проникновение
    • Тестирование на проникновение в режиме Red Team (Red Team Assessment)
  • Соответствие требованиям
    • PCI ASV-сканирование
    • Аудит SWIFT CSP (CSCF)
    • Аудит по Положениям ЦБ № 851-П, 757-П, 821-П, 802-П
    • Безопасность ГИС
    • Защита информации, составляющей коммерческую тайну
    • Защита КИИ (187-ФЗ)
    • Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022
    • Оценка ГОСТ Р 57580.1-2017 / Аудит ГОСТ Р 57580.1-2017
    • Оценка ОУД4
    • Подключение к ГосСОПКА
    • Сертификация PCI DSS / Аудит PCI DSS
    • Сертификация PCI PIN Security / Аудит PCI PIN Security
    • Сертификация PCI SSF (замена PA-DSS)
    • Соответствие требованиям GDPR
    • Соответствие требованиям PCI 3DS
    • Соответствие ФЗ «О персональных данных» (152-ФЗ)
  • Промышленная безопасность
  • Защита от мошенничества
    • Противодействие мошенничеству (Anti-fraud)
  • Сопровождение и поддержка решений по ИБ
    • Услуги сервисного центра компании «Информзащита»
SOC
  • Разработка концепции SOC
  • Технические решения SOC заказчиков
    • Построение или модернизация SOC в инфраструктуре Заказчика
    • Внедрение системы мониторинга событий (SIEM)
    • Внедрение системы управления инцидентами (IRP/SOAR)
    • Внедрение системы учета угроз безопасности (TIP)
    • Внедрение системы симуляции кибератак (BAS)
    • Внедрение системы расширенного обнаружения и реагирования (EDR)
  • Разработка ИТ-инфраструктуры SOC
    • Мониторинг и анализ событий ИБ (SIEM)
    • Incident Response Platform (IRP)
  • Создание и реинжиниринг процессов
  • Разработка сценариев и контента SOC
  • Киберучения - симуляция кибератак
  • Осуществление консультаций
Проекты
  • Государственные структуры
  • Нефтегазовая индустрия и энергетика
  • Промышленность и транспорт
  • Телекоммуникации
  • Торговля
  • Финансы и страхование
  • Прочие
В фокусе
  • Значимость стандартов серии 57580 в цифровой трансформации
  • Цифровой рубль: что нужно о нем знать?
  • Ответственность за нарушение требований по обработке ПДн
  • Как стандарт ISO 27001 помогает бизнесу?
  • Интеллект искусственный, а влияние настоящее: что кибербезу делать с ИИ?
  • Киберпреступники обходят многофакторную аутентификацию
  • Анонимность в сети — это утопия или антиутопия?
  • Как атакуют наши мобильные устройства?
  • Экспресс-аудит рисков использования иностранных продуктов
Пресс-центр
  • Новости
  • Публикации в СМИ
  • Мероприятия
  • Медиа-кит
Карьера
  • Вакансии
Контакты
ru
en
ru
  • Сервис IZ:SOC
  • Сервисный центр
  • Импортозамещение
  • Реестр сертификатов
  • ...
    +7 (495) 980-23-45
    ru
    en
    ru
    Компания «Информзащита»
    Ведущий системный интегратор
    в области информационной безопасности
    О компании
    • Группа компаний
    • История компании
    • Лицензии и сертификаты
    • Партнеры
    • Реквизиты
    Услуги
    • Защита инфраструктуры
    • Проектирование и внедрение
    • Аудит ИБ и безопасность бизнес-процессов
    • Управление безопасностью
    • Защита информации
    • Анализ защищенности
    • Соответствие требованиям
    • Промышленная безопасность
    • Защита от мошенничества
    • Сопровождение и поддержка решений по ИБ
    SOC
    • Разработка концепции SOC
    • Технические решения SOC заказчиков
      • Построение или модернизация SOC в инфраструктуре Заказчика
      • Внедрение системы мониторинга событий (SIEM)
      • Внедрение системы управления инцидентами (IRP/SOAR)
      • Внедрение системы учета угроз безопасности (TIP)
      • Внедрение системы симуляции кибератак (BAS)
      • Внедрение системы расширенного обнаружения и реагирования (EDR)
    • Разработка ИТ-инфраструктуры SOC
      • Мониторинг и анализ событий ИБ (SIEM)
      • Incident Response Platform (IRP)
    • Создание и реинжиниринг процессов
    • Разработка сценариев и контента SOC
    • Киберучения - симуляция кибератак
    • Осуществление консультаций
    Проекты
    • Государственные структуры
    • Нефтегазовая индустрия и энергетика
    • Промышленность и транспорт
    • Телекоммуникации
    • Торговля
    • Финансы и страхование
    • Прочие
    В фокусе
    Пресс-центр
    • Новости
    • Публикации в СМИ
    • Мероприятия
    • Медиа-кит
    Карьера
    • Вакансии
    Контакты
      Подать заявку
      Компания «Информзащита»
      Телефоны
      +7 (495) 980-23-45
      Заказать звонок
      Компания «Информзащита»
      • О компании
        • О компании
        • Группа компаний
        • История компании
        • Лицензии и сертификаты
        • Партнеры
        • Реквизиты
      • Услуги
        • Услуги
        • Защита инфраструктуры
          • Защита инфраструктуры
          • Подключение к платформе Цифрового рубля
          • Анализ и управление конфигурациями сетевых устройств
          • Безопасность баз данных и приложений
          • Безопасность беспроводных сетей
          • Безопасность мобильных устройств
          • Защита WEB приложений
          • Защита каналов связи
          • Защита от APT и 0-day атак
          • Защита сетевой инфраструктуры
          • Защищенное подключение к Интернет
          • Контроль действий пользователей и администраторов
          • Контроль доступа к сети
          • Мониторинг событий и управление инцидентами (SIEM)
          • Нагрузочное тестирование
        • Проектирование и внедрение
          • Проектирование и внедрение
          • Заказная разработка программного обеспечения
          • Информационная безопасность для ЦОД
          • Инфраструктура открытых ключей (PKI)
          • Мониторинг событий и управление инцидентами (SIEM)
        • Аудит ИБ и безопасность бизнес-процессов
          • Аудит ИБ и безопасность бизнес-процессов
          • Аудит защищенности информационной инфраструктуры
          • Комплексное обследование ИБ и разработка программы развития ИБ
          • Обеспечение непрерывности бизнеса
          • Повышение осведомленности по вопросам ИБ (Security Awareness)
          • Разработка нормативной документации
          • Управление рисками ИБ
        • Управление безопасностью
          • Управление безопасностью
          • Внедрение системы управления информационной безопасностью (ISO 27001)
          • Защита от утечек и контроль действий пользователей (DLP)
          • Контроль действий пользователей и администраторов
          • Управление уязвимостями
        • Защита информации
          • Защита информации
          • Защита от утечек и контроль действий пользователей (DLP)
          • Инфраструктура открытых ключей (PKI)
          • Контроль доступа к неструктурированным данным (DAG)
        • Анализ защищенности
          • Анализ защищенности
          • Безопасная разработка: анализ кода
          • Киберучения (Adversary Emulation)
          • Нагрузочное тестирование
          • Непрерывный мониторинг (Continuous Monitoring)
          • Расследование инцидентов ИБ и компьютерная экспертиза (Форензика)
          • Тестирование на проникновение
          • Тестирование на проникновение в режиме Red Team (Red Team Assessment)
        • Соответствие требованиям
          • Соответствие требованиям
          • PCI ASV-сканирование
          • Аудит SWIFT CSP (CSCF)
          • Аудит по Положениям ЦБ № 851-П, 757-П, 821-П, 802-П
          • Безопасность ГИС
          • Внедрение системы управления информационной безопасностью (ISO 27001)
          • Защита информации, составляющей коммерческую тайну
          • Защита КИИ (187-ФЗ)
          • Оценка / Аудит ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022
          • Оценка ГОСТ Р 57580.1-2017 / Аудит ГОСТ Р 57580.1-2017
          • Оценка ОУД4
          • Подключение к ГосСОПКА
          • Сертификация PCI DSS / Аудит PCI DSS
          • Сертификация PCI PIN Security / Аудит PCI PIN Security
          • Сертификация PCI SSF (замена PA-DSS)
          • Соответствие требованиям GDPR
          • Соответствие требованиям PCI 3DS
          • Соответствие ФЗ «О персональных данных» (152-ФЗ)
        • Промышленная безопасность
          • Промышленная безопасность
          • Защита КИИ (187-ФЗ)
          • Подключение к ГосСОПКА
          • Тестирование на проникновение
        • Защита от мошенничества
          • Защита от мошенничества
          • Противодействие мошенничеству (Anti-fraud)
        • Сопровождение и поддержка решений по ИБ
          • Сопровождение и поддержка решений по ИБ
          • Услуги сервисного центра компании «Информзащита»
      • SOC
        • SOC
        • Разработка концепции SOC
        • Технические решения SOC заказчиков
          • Технические решения SOC заказчиков
          • Построение или модернизация SOC в инфраструктуре Заказчика
          • Внедрение системы мониторинга событий (SIEM)
          • Внедрение системы управления инцидентами (IRP/SOAR)
          • Внедрение системы учета угроз безопасности (TIP)
          • Внедрение системы симуляции кибератак (BAS)
          • Внедрение системы расширенного обнаружения и реагирования (EDR)
        • Разработка ИТ-инфраструктуры SOC
          • Разработка ИТ-инфраструктуры SOC
          • Мониторинг и анализ событий ИБ (SIEM)
          • Incident Response Platform (IRP)
        • Создание и реинжиниринг процессов
        • Разработка сценариев и контента SOC
        • Киберучения - симуляция кибератак
        • Осуществление консультаций
      • Проекты
        • Проекты
        • Государственные структуры
        • Нефтегазовая индустрия и энергетика
        • Промышленность и транспорт
        • Телекоммуникации
        • Торговля
        • Финансы и страхование
        • Прочие
      • В фокусе
      • Пресс-центр
        • Пресс-центр
        • Новости
        • Публикации в СМИ
        • Мероприятия
        • Медиа-кит
      • Карьера
        • Карьера
        • Вакансии
      • Контакты
      Подать заявку
      • ru
        • Язык
        • ru
        • en
      • +7 (495) 980-23-45
        • Телефоны
        • +7 (495) 980-23-45
        • Заказать звонок
      • 125167 г. Москва, Театральная аллея, д. 3, стр. 1
      • market@infosec.ru
      • Пн. – Пт.: с 9:00 до 18:00
      Главная
      —
      Проекты
      —
      Финансы и страхование
      —Создание системы управления рисками нарушения ИБ в ОАО «Банк Москвы»

      Создание системы управления рисками нарушения ИБ в ОАО «Банк Москвы»

      Разработка нормативных актов СУРИБ. Инвентаризация информационных активов банка и описание объектов информационной инфраструктуры. Идентификация высокоуровневых и детализированных угроз ИБ. Разработка плана обработки недопустимых рисков нарушения ИБ.
      Заказчик
      ОАО «Банк Москвы»
      Отрасль
      Финансы и страхование

      ОАО «Банк Москвы» — один из крупнейших универсальных банков России (входит в топ-5), предоставляющий диверсифицированный спектр финансовых услуг как для юридических, так и для частных лиц.

      Основным акционером банка является Группа ВТБ (95,53%). Стратегией развития банка определено, что Банк Москвы будет развиваться как самостоятельный универсальный коммерческий банк в составе Группы ВТБ.

      В настоящее время Банк Москвы обслуживает более 100 тыс. корпоративных и свыше 9 млн частных клиентов. Среди клиентов – юридических лиц – крупнейшие отраслевые предприятия, предприятия среднего и малого бизнеса.

      Потребности бизнеса

      Как показывается практика, для крупного банка с большим числом информационных активов управление ИБ хотя и не является основной бизнес-деятельностью, имеет большой приоритет, поскольку обеспечивает эту деятельность. Фундаментальными процессами в управлении ИБ являются процессы управления рисками нарушения ИБ. Система управления рисками ИБ (СУРИБ) позволяет не только повышать общий уровень защищенности банка, но и принимать стратегические решения о развитие системы ИБ.

      Банк Москвы рассматривал внедрение СУРИБ как решения, которое бы позволило компании решить сразу три стратегические задачи. С одной стороны снизить существующие риски нарушения ИБ банка. С другой – выполнить требования регуляторов в части управления рисками. Наконец, СУРИБ стал бы для банка средством для оптимизации затрат на развитие системы обеспечения ИБ.

      Для определения рисков нарушения ИБ и их оценки специалистам банка необходимо исследовать более 3,5 тысяч информационных активов. Эта работа, если делать ее вручную, может занять более 1,5 лет. Поэтому банк также испытывал необходимость во внедрении автоматизированного средства, которое бы эффективно решило данную проблему.

      Задача

      Перед специалистами компании «Информзащита» были поставлены восемь задач, решение которых совместно со специалистами управления информационной безопасностью банка гарантировало бы успешный результат проекта:

      • разработка нормативных актов СУРИБ;
      • разработка прототипа средства автоматизации СУРИБ;
      • инвентаризация информационных активов банка и описание объектов информационной инфраструктуры;
      • идентификация высокоуровневых и детализированных угроз ИБ;
      • анализ применяемых защитных мер, уязвимостей, оценка вероятности реализации угроз и тяжести последствий их воздействия;
      • высокоуровневая и детализированная оценка рисков нарушения ИБ;
      • разработка плана обработки недопустимых рисков нарушения ИБ;
      • обучение работников банка методам работы с СУРИБ.

      Решение

      Принятый Банком Москвы стандарт безопасности СТО БР ИББС лег в основу проектирования СУРИБ. В качестве процедур и методик оценки рисков были выбраны подходы, рекомендуемые Банком России. Они были адаптированы под актуальные потребности банка и дополнены лучшими практиками, представленными организациями ISO и ISACA.

      Специалисты компании «Информзащита» собрали всю необходимую информацию об информационной инфраструктуре банка и имевшихся инцидентах ИБ за последние пять лет. Сканирование уязвимостей позволило проверить все ключевые компоненты инфраструктуры. Было исследовано более 100 подразделений банка, 50 критичных для бизнеса информационных систем, 600 файловых ресурсов с критичной информацией.

      Компанией «Информзащита» было разработано автоматизированное решение, с помощью которого были проанализированы и структурированы полученные данные.

      Результат

      В результате проведенных работ были определены семь информационных систем с наиболее высокой степенью риска. Выявленным рискам была дана стоимостная оценка. Банк получил сведения о зависимости подразделений от информационных ресурсов, критичности систем и используемых средств защиты.

      На сегодняшний день СУРИБ, внедренный в Банке Москвы, позволяет выявлять риски нарушения ИБ в различных разрезах: по подразделениям, банковским продуктам, автоматизированным системам, - определять меры для их снижения и оценивать эффективность планируемых мер.

      В связи с уникальностью разработок банку были переданы все исходные тексты прототипа автоматизированной системы СУРИБ с целью ее дальнейшего развития на системной основе.

      Одним из ключевых результатов является то, что Банк Москвы в настоящий момент полностью выполняет все требования отраслевого стандарта Банка России по обеспечению ИБ (в части управления рисками нарушения ИБ). В независимом аудиторском заключении банку присвоен максимальный 5-й уровень соответствия по групповым показателям М12, М13, М14.

      Назад к списку
      • Государственные структуры
      • Нефтегазовая индустрия и энергетика
      • Промышленность и транспорт
      • Телекоммуникации
      • Торговля
      • Финансы и страхование
      • Прочие
      О компании
      Группа компаний
      История компании
      Лицензии и сертификаты
      Партнеры
      Реквизиты
      Услуги
      Защита инфраструктуры
      Проектирование и внедрение
      Аудит ИБ и безопасность бизнес-процессов
      Управление безопасностью
      Защита информации
      Анализ защищенности
      Соответствие требованиям
      Промышленная безопасность
      Защита от мошенничества
      Сопровождение и поддержка решений по ИБ
      SOC
      Разработка концепции SOC
      Технические решения SOC заказчиков
      Разработка ИТ-инфраструктуры SOC
      Создание и реинжиниринг процессов
      Разработка сценариев и контента SOC
      Киберучения - симуляция кибератак
      Осуществление консультаций
      Проекты
      Государственные структуры
      Нефтегазовая индустрия и энергетика
      Промышленность и транспорт
      Телекоммуникации
      Торговля
      Финансы и страхование
      Прочие
      В фокусе
      Пресс-центр
      Новости
      Публикации в СМИ
      Мероприятия
      Медиа-кит
      Карьера
      Вакансии
      +7 (495) 980-23-45
      market@infosec.ru
      125167 г. Москва, Театральная аллея, д. 3, стр. 1
      © 1995 - 2025 Компания «Информзащита»
      Политика конфиденциальности | Политика обработки файлов cookie