Как финансовой организации минимизировать риски перед проверкой Банка России и построить процессы ИБ с нуля с помощью аудита? Опыт компании IVOLGA CAPITAL
К ITGLOBAL.COM SECURITY обратился клиент IVOLGA CAPITAL с задачей — проверить процессы информационной безопасности компании на соответствие требованиям Положения Банка России № 757-П. Но уже на первых встречах стало ясно, что помимо аудита, необходимо выстроить практически с нуля процессы ИБ и усовершенствовать ИТ-инфраструктуру.
В этом материале мы рассказываем, как с помощью комплексного аудита удалось выявить несоответствия и дать пошаговые рекомендации по выстраиванию процессов ИБ, повышению их зрелости и минимизации рисков утечек конфиденциальной информации.
О клиенте
IVOLGA CAPITAL — брокерская компания, которая занимается управлением капитала, прямыми инвестициями и корпоративным брокериджем.
Задача
Специалисты ITGLOBAL.COM SECURITY выявили, что процессы ИБ IVOLGA CAPITAL недостаточно зрелые и только частично соответствовали Положению Банка России № 757-П. Также архитектура ИТ-инфраструктуры не в полной мере соответствовала общепринятым правилам построения.
Эти факторы несли за собой риски получить предписание от Банка России. Если в ходе проверки выявляют замечания, то компании выносят предписание, накладывают штрафные санкции или отзывают лицензию.
Решение
Специалисты ITGLOBAL.COM SECURITY взяли на себя пул работ по решению задач клиента. Проект реализовали в три этапа.
Комплексный аудит процессов информационной безопасности и компонентов информационной инфраструктуры
В ходе проведения комплексного аудита специалисты ITGLOBAL.COM SECURITY исследовали информационную инфраструктуру клиента и процессы ИБ, выявили несоответствия и предоставили клиенту детализированный отчет с рекомендациями по изменению архитектуры ИТ-инфраструктуры и построению процессов ИБ.
Соответствие Положению Банка России
После проведения комплексного аудита специалисты ITGLOBAL.COM SECURITY составили пошаговый план, как внедрить новые процессы информационной безопасности в работу компании, чтобы полностью соответствовать Положению Банка России № 757-П и ГОСТ 57580.
Рекомендации, как с нуля построить процессы ИБ
Специалисты ITGLOBAL.COM SECURITY рекомендовали IVOLGA CAPITAL возложить ответственность за информационную безопасность на конкретного сотрудника и дали четкую инструкцию, как грамотно построить процессы:
- мониторинга компонентов информационной инфраструктуры;
- управления уязвимостями;
- управления инцидентами;
- защиты от вредоносного кода;
- предотвращения утечек информации;
- предоставления доступа к информационной инфраструктуре, в том числе и удаленного и тд.
Результаты
В результате выполненных работ компания IVOLGA CAPITAL получила четкие рекомендации и детализированный отчет, как выстроить процессы информационной безопасности, повысить зрелость существующих процессов ИБ и внедрить новые. Таким образом, сейчас компания выполняет требования Положения Банка России № 757-П и минимизирует риски утечек, а значит может не боятся любых проверок.