От непонимания до заключения контракта. Опыт подключения «Норвик Банка» к облачному центру мониторинга событий ИБ ISOC

BIS Journal №4(43)/2021

3 декабря, 2021

От непонимания до заключения контракта. Опыт подключения «Норвик Банка» к облачному центру мониторинга событий ИБ ISOC

В этом году «Норвик Банк» подключился к облачному центру мониторинга событий информационной безопасности ISOC компании Infosecurity (ГК Softline).

Потребность во внедрении автоматизированного решения была связана с необходимостью реализации защиты данных в соответствии со стандартами ГОСТ Р 57580 и PCI DSS и рядом других причин. На вопросы BIS Journal отвечают Андрей Коняхин, начальник отдела информационной безопасности ПАО «Норвик Банк», и Алексей Юдин, директор центра мониторинга Infosecurity.

 

О проекте

Заказчик: ПАО «Норвик банк»

Продукт: Облачный ISOC

Исполнители: Infosecurity (ГК Softline)

Срок реализации: ноябрь 2020 – март 2021

Решённые задачи:

  1. Выполнение требований ГОСТ Р 57580
  2. Повышение кибербезопасности ИТ-инфраструктуры банка
  3. Внедрение дополнительных контролей и организация реагирования при инцидентах нарушения правил безопасности критичных узлов ИТ-инфраструктуры банка

 

С чем были связаны предпосылки внедрения SOC в инфраструктуру «Норвик Банка»?

Андрей Коняхин, «Норвик Банк»:

Помимо повышения уровня кибербезопасности ИТ-инфраструктуры, нам необходимо было выполнить требования к обеспечению защиты информации при осуществлении банковской деятельности – ГОСТ Р 57580. Если коротко, то этот стандарт помогает делать денежные операции в банке или другой финансовой организации безопасными. Звучит просто, но на деле все гораздо сложнее: в стандарте содержится более 400 требований, и всем им необходимо соответствовать.

Изначально банк не планировал подключаться к облачному SOС из-за желания построить собственный и риска отдавать контроль над инцидентами сторонней компании. Что изменилось?

 

Андрей Коняхин, «Норвик Банк»:

Изменилось наше отношение к облакам. Коллеги обосновали сильные стороны облачного решения в сравнении с построением собственного центра мониторинга. Изначально мы планировали построить собственный SOC с нуля, но быстро пришли к выводу, что с нашими ресурсами, в том числе кадровыми, это будет невозможно сделать в существующих жёстких временных рамках. Подключение к ISOC для нас стало оптимальным по срокам и финансово выгодным решением.

 

Алексей Юдин, Infosecurity:

Мы действительно прошли большой путь от непонимания до заключения контракта. Нашими аргументами в вопросах безопасности стали опыт построения собственного центра мониторинга и наша команда специалистов с более чем десятилетним стажем управления инцидентами, причём в различных отраслях. Немаловажной составляющей стала политика кадровой безопасности Infosecurity и активное взаимодействие с ФинЦЕРТ, Центром отслеживания и реагирования на кибератаки в кредитно-финансовой сфере. Это означает, что мы постоянно «держим руку на пульсе» и можем ещё оперативнее реагировать на компьютерные инциденты.

 

Какие ещё особенности руководство банка учитывало при принятии решения в пользу облачного SOC от Infosecurity?

Андрей Коняхин, «Норвик Банк»:

Мы приняли во внимание уникальный опыт построения собственного SOC компании Infosecurity. В недалёком прошлом, будучи частью корпорации, входящей в топ-50 российских банков, команде удалось организовать мониторинг и реагирование на инциденты информационной безопасности для инфраструктуры в 35 тысяч узлов, а это солидный показатель. Плюс ко всему коммерческое предложение партнёра оказалось оптимальным по стоимости. Благодаря нашему сотрудничеству мы сможем сохранять от 3 до 5 млн рублей в год, которые расходовались бы при гибридной схеме, когда оборудование разворачивается в инфраструктуре банка, а управление осуществляется сервис-провайдером. Плюс к этой сумме ещё добавились бы затраты на расширение собственной команды службы безопасности и покупку лицензий на SIEM.

 

Алексей Юдин, Infosecurity:

В случае с «Норвик Банком» идея была проста: зачем платить больше, если есть проверенное и работающее решение? Благодаря сотрудничеству с банками мы понимаем все процессы банковской деятельности, знаем подводные камни и имеем большой опыт адаптации SOC под нужды кредитных организаций. Значит, мы сможем адаптировать наше предложение и к их запросам.

 

Насколько быстро удалось выстроить систему работы с инцидентами и был ли пилот?

Андрей Коняхин, «Норвик Банк»:

Время на реализацию проекта было ограничено. Команда банка была параллельно загружена реализацией сразу нескольких проектов, но мы смогли совместно выработать комфортный для обеих сторон график и темп работы, и всё получилось.

 

Алексей Юдин, Infosecurity:

Сроки были максимально сжатыми. Проведение пилота могло добавить ко времени реализации проекта от нескольких месяцев до полугода, поэтому от него решили отказаться. На результате это никак не отразилось — у нас были все инструменты и опытная команда по внедрению ISOC. 

 

С какими трудностями столкнулись при подключении банка к ISOC?

Андрей Коняхин, «Норвик Банк»:

Так совпало, что как раз в этот период у нас полностью сменилась команда службы информационной безопасности. Мы опасались, что ситуация может негативно сказаться на процессе подключения к облачному сервису: пришлось бы тратить много времени на введение в курс дела новых специалистов, их адаптацию и обучение. К счастью, опасения оказались лишними. Аутсорсинг ISOCдал нам важное преимущество – вместе с сервисом мы получили опыт специалистов Infosecurity с уникальной экспертизой.

 

Алексей Юдин, Infosecurity:

Всё верно, смена команды в середине проекта не повлияла на процесс внедрения ISOC. Это говорит о том, что система стабильно работает независимо от кадровых изменений в организации. Наши специалисты первой и второй линии, отвечающие за мониторинг инцидентов и оповещение, всегда «на подхвате» и выполняют свои обязанности в режиме 24/7/365.

 

Что отличает кейс подключения «Норвик Банка» к ISOC от других уже осуществленных проектов?

Алексей Юдин, Infosecurity:

В качестве дополнительного бонуса мы предложили прописать «Норвик Банку» организационно-распорядительную документацию по разграничению и выстраиванию процесса взаимодействия команды SOC и банковской группы реагирования на инциденты ИБ. Это помогло руководству банка оптимизировать собственные временные и финансовые затраты на разработку соответствующих документов. Также мы кастомизировали и реализовали ряд нетиповых источников в рамках сервиса.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных