Проект

«Информзащита» провела оценку уровня соответствия системы ИБ «Инфинитум» требованиям ГОСТ по защите информации

Заказчики: Информзащита

Москва; Информационные технологии

Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)
Второй продукт: Software Asset Management (SAM)

Дата проекта: 2019/04 — 2019/06
Технология: ИБ - Антивирусы
подрядчики - 319
проекты - 1342
системы - 448
вендоры - 135
Технология: ИБ - Антиспам
подрядчики - 279
проекты - 1130
системы - 235
вендоры - 97
Технология: ИБ - Аутентификация
подрядчики - 330
проекты - 1019
системы - 489
вендоры - 291
Технология: ИБ - Межсетевые экраны
подрядчики - 397
проекты - 1486
системы - 737
вендоры - 264
Технология: ИБ - Предотвращения утечек информации
подрядчики - 289
проекты - 1138
системы - 436
вендоры - 248
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 232
проекты - 794
системы - 317
вендоры - 149
Технология: ИБ - Средства шифрования
подрядчики - 282
проекты - 867
системы - 479
вендоры - 246
Технология: ITSM - Системы управления IT-службой
подрядчики - 239
проекты - 1176
системы - 602
вендоры - 337

2019: Оценка соответствия СОИБ требованиям ГОСТ

25 июля 2019 года компания «Информзащита» сообщила о завершении проекта по оценке соответствия системы обеспечения и управления информационной безопасностью (СОИБ) АО «Специализированный депозитарий «ИНФИНИТУМ» требованиям ГОСТ Р 57580.1-2017.

ГОСТ Р 57580.1-2017 «Защита информации финансовых организаций. Базовый состав организационных и технических мер» определяет уровни защиты информации и соответствующие им требования к содержанию базового состава мер ее защиты, которые применяются финансовыми организациями для реализации требований, установленных нормативными актами Банка России. В дальнейшем стандарт станет обязательным для некредитных финансовых организаций, поэтому для «ИНФИНИТУМ» было важно заблаговременно получить профессиональные рекомендации по улучшению СОИБ.

Проект был выполнен за три месяца и проходил в два этапа. Первый этап состоял из трех стадий: проведения предварительной оценки соответствия и согласования промежуточных результатов, оценки соответствия и разработки итоговых документов по ее результатам, а также подготовки рекомендаций по совершенствованию СОИБ «ИНФИНИТУМ». В ходе второго этапа была разработана нормативная документация по обеспечению защиты информации в рамках ГОСТ Р 57580.1-2017.

Важным элементом проекта стало проведение анализа инфраструктуры компании на предмет используемых программных активов по методологии Microsoft Software Asset Management (SAM), неотъемлемой частью которой является SAM Cybersecurity Assessment. Это позволит не только повысить общий уровень кибербезопасности, но и оптимизировать использование программного обеспечения в компании.

В результате проекта были подготовлены отчеты, описывающие текущий уровень соответствия СОИБ «ИНФИНИТУМ» ГОСТу, а также рекомендации по повышению этих показателей. Рекомендации включали в себя предложения по внесению изменений в технические и организационные составляющие системы обеспечения и управления информационной безопасностью, на основании которых в «ИНФИНИТУМ» был подготовлен план совершенствования СОИБ.

«
«Проект подразумевал сбор и анализ различного рода информации о сетевой инфраструктуре компании, используемых для функционирования бизнес-процессов информационных системах, а также задействованных технологиях, аппаратном и программном обеспечении. Полученная оценка системы обеспечения и управления информационной безопасностью отражает полноту выбранных защитных мер, а также качество реализации процессов в «ИНФИНИТУМ»,

отметил Максим Казацкий, старший аудитор отдела безопасности банковских систем «Информзащиты»
»

В ходе проекта были проинтервьюированы работники, ответственные за организацию и безопасность работы корпоративной сети «ИНФИНИТУМ», проведен анализ полученной информации, разработаны соответствующие рекомендации. Специалисты «Информзащиты» активно использовали собственный инструмент для автоматизации процедуры расчета оценки соответствия.

«
«Проект начал реализовываться еще до выхода Положения Банка России №684-П, которое обязывает с 1 января 2021 года соответствовать требованиям по обеспечению стандартного уровня защиты информации. Таким образом, «ИНФИНИТУМ» предпринимает конкретные действия для выполнения всех требований регулятора. По результатам проведенной «Информзащитой» оценки мы рассматриваем необходимость ряда дополнительных технических и организационных мер в соответствии с полученными рекомендациями»,

отметил Александр Брагин, руководитель направления безопасности АО «Специализированный депозитарий «ИНФИНИТУМ»
»