Компания «ДиалогНаука», системный интегратор в области информационной безопасности, выполнила для АО «Авто Финанс Банк» комплекс работ по оценке соответствия регуляторным требованиям Банка России и приведению в соответствие этим требованиям.
По итогам аудита на соответствие ГОСТ Р 57580.1-2017, а также параллельных аудитов на соответствие требованиям положений Банка России 683-П, 802-П, 821-П и Приказа Минцифры от 12.05.2023 № 453 банк получил подробные отчеты и техническое заключение о соответствии требованиям. Также в рамках приведения в соответствие компания «ДиалогНаука» реализовала импортозамещение для части систем защиты информации АО «Авто Финанс Банк» на уровне операционной системы, их тонкую донастройку и оптимизацию работы. Кроме того, по требованиям Банка России был проведен ежегодный тест на проникновение, позволяющий определить степень защищённости автоматизированных систем банка от внешних и внутренних атак со стороны потенциальных злоумышленников.
АО «Авто Финанс Банк» — специализированный банк, занимающийся автокредитованием и финансированием участников автомобильного бизнеса. АО «Авто Финанс Банк» создан на базе АО «РН Банк». Занимает 27-е место в рейтинге Forbes — 2024 «100 надёжных банков».
Высокий статус и ответственность перед своими клиентами обязывают руководство банка уделять повышенное внимание вопросам информационной безопасности и соответствия требованиям нормативных документов по защите информации. В целях выполнения обязательных требований регулятора «Авто Финанс Банк» принял решение реализовать одновременно несколько проектов по информационной безопасности для банка.
В качестве аудитора «Авто Финанс Банк» выбрал компанию «ДиалогНаука», обладающую необходимыми знаниями и ресурсами.
Работы по оценке соответствия требованиям ГОСТ Р 57580.1-2017 включали в себя несколько этапов. На первом этапе была проведена предварительная оценка соответствия требованиям нормативных документов Банка России по защите информации. По итогам каждой из проверок был подготовлен отчет о результатах оценки соответствия требованиям Положений и ГОСТа.
Затем специалистами «ДиалогНауки» были разработаны рекомендации по доработке/разработке внутренних нормативных документов по защите информации, а также донастройке систем защиты информации, направленные на устранение деталей, выявленных при проведении предварительной оценки. Также одновременно в рамках параллельного проекта была осуществлена необходимая донастройка систем защиты информации и оптимизация их работы, в том числе подключения системы мониторинга событий кибербезопасности к критичным бизнес-системам, позволяющие подразделению информационной безопасности оперативно получать всю необходимую информацию. Одновременно с обновлением и донастройкой было реализовано импортозамещение операционной системы для платформы части систем кибербезопасности, что является крайне актуальным в настоящее время.
Третий этап включал в себя проведение оценки соответствия требованиям ГОСТ Р 57580.1-2017, по её результатам был подготовлен подробный отчет, который показал достаточно высокий уровень обеспечения информационной безопасности в банке.
Проект по ежегодному тестированию на проникновение представлял из себя моделирование атак потенциальных злоумышленников на информационные активы АО «Авто Финанс Банк». В рамках этой работы был проведен как внешний, так и внутренний пентест. Дополнительно была проведена базовая оценка существующих процессов обеспечения защиты информации и разработан перечень мероприятий по дальнейшему повышению уровня информационной безопасности АО «Авто Финанс Банк». По результатам теста на проникновение консультантами «ДиалогНауки» был подготовлен отчет, который включал в себя описание границ аудита, использованных методов и средств, перечень выявленных уязвимостей, ранжированных по уровню риска их использования потенциальными злоумышленниками. Были описаны предпринятые сценарии проникновения и достигнутые результаты, проведена оценка рисков и процессов обеспечения информационной безопасности банка. В заключение были выданы рекомендации по совершенствованию системы обеспечения информационной безопасности заказчика.
«Уже более пятнадцати лет успешно работаю с компанией "ДиалогНаука" в области кибербезопасности и достаточно хорошо знаю её команду, костяк которой остается неизменным многие годы. И я в очередной раз хочу отметить качественное и тщательное выполнение всех проектов исполнителем — как в технической части, так и в методологии, а также поблагодарить всю команду за гибкий и ответственный подход к заказчикам. Отдельно хотел бы отметить отличное проведение теста на проникновение, так как, по моему личному мнению, в настоящее время, как и всегда ранее, реальное противодействие злоумышленникам имеет явный приоритет над так называемой бумажной безопасностью, чем страдают некоторые банки и компании, и об этом нельзя забывать. Благодарим интегратора за профессионализм, оперативность и слаженное взаимодействие», — прокомментировал Задорожный Олег Игоревич, руководитель подразделения информационной безопасности АО «Авто Финанс Банк».
«Наша компания имеет богатый опыт выполнения работ в области аудита кредитно-финансовых организаций на соответствие требованиям как российских, так и международных стандартов по информационной безопасности. Мы благодарим "Авто Финанс Банк" за выбор нашей компании в качестве аудитора и надеемся на продолжение сотрудничества в будущем», — прокомментировал завершение проекта Виктор Александрович Сердюк, генеральный директор АО «ДиалогНаука».
.jpg)