ИБ на карантине: как «Плюс Банк» провел оценку соответствия 382-П и пентест, несмотря на пандемию коронавируса
Омский филиал одного из крупнейших банков России организовал комплексную проверку информационной безопасности. Аудиторы ITGLOBAL.COM оценили соответствие Положению 382-П, проверили уязвимости внутреннего периметра «Плюс Банка» и дали экспертные рекомендации по повышению уровня ИБ согласно требованиям ГОСТ Р 57580.
О компании
«Плюс Банк» — российский банк с 150-тысячной клиентской базой. Банк работает с 1990 года. Отделения расположены в шести регионах, в том числе в Омске. «Плюс Банк» находится на 7 месте в России по количеству выданных автокредитов. Лауреат профессиональной премии «Банковское дело» в номинации «Наиболее динамично развивающийся Банк».
Задачи клиента
Ранее клиент проводил только внутренние самооценки соответствия Положению 382-П. В связи с обновленными требованиями регулятора «Плюс Банку» потребовалось провести внешнюю оценку соответствия.
Банк также решил оценить уровень защищенности корпоративной сети, надежность и безопасность платежей клиентов, и получить рекомендации по общему улучшению системы защиты с учетом требований ГОСТ Р 57580.
Реализация
Работы проводились в апреле-мае 2020 года удаленно из-за ситуации с коронавирусом. Такой формат — вынужденное исключение из правил ITGLOBAL.COM: обычно любые работы по ИБ подразумевают обязательный выезд наших аудиторов на место.
Работы включали:
- оценку соответствия Положению 382-П;
- разработку экспертных рекомендаций для повышения уровня информационной безопасности согласно 382-П и ГОСТ Р 57580;
- внутреннее тестирование на проникновение.
Методика
Все интервью проводили по конференц-связи. Общение было дружелюбным и достаточно продуктивным. Всего было опрошено около 15 сотрудников «Плюс Банка» — тех, кто находился в офисе, и тех, кто работал дистанционно.
Сотрудники детально описывали все процессы по информационной безопасности, которые существуют в банке, демонстрировали настройки различных компонентов: сетевых устройств, AD Windows, ОС Linux, различных СУБД. При этом мы позаботились о безопасной передаче информации. В целом, несмотря на необычный формат, аудиторам удалось достаточно подробно изучить ИБ-процессы клиента.
Результат
В ходе работ были обнаружены несколько несоответствий, которые специалисты по информационной безопасности «Плюс Банка» оперативно исправили. Ошибки, которые выявил пентест, также были сразу устранены. Всё это в итоге позволило «Плюс Банку» показать хорошие финальные оценки.
Несмотря на удаленную работу, специалистами ITGLOBAL.COM был проведен детальный анализ соответствия инфраструктуры «Плюс Банка» требованиям ГОСТ Р 57580 и 382-П, а также разработаны подробные рекомендации по приведению информационных систем в соответствие. Результаты были отправлены в Центробанк.
Мнение
Алеся Шестакова, ведущий специалист отдела информационной безопасности «Плюс Банка» — о том, как выбирали аудитора:
«Мы смотрели на отзывы, на опыт компании в проведении аудитов и пентестов, общались с коллегами в финансовой сфере, чтобы узнать их мнение. Еще нам было важно, чтобы сотрудники, которые будут непосредственно проводить аудит, имели опыт работы именно с финансовыми организациями. Также для нас была важна возможность консультационной поддержки уже после проведения аудитов. По соотношению всех эти параметров мы выбрали ITGLOBAL.COM».
О работе наших специалистов:
«Мы выделили наиболее приоритетные направления, на которые попросили обратить особое внимание ваших аудиторов, чтобы повысить уровень общей защищенности банка. По нашей просьбе специалисты объясняли, как трактуют различные требования регуляторы, например Центробанк, как проверяют их выполнение и как всё это согласовать с лучшими мировыми практиками. Еще нам понравилось глубокое понимание технической части, в том числе тонкостей в настройке различных программных средств защиты».
Алеся также отметила, что аудиторы ITGLOBAL.COM с готовностью отвечали на любые уточняющие вопросы, давали рекомендации и предлагали различные варианты решения одного и того же вопроса. В целом уровень подготовки наших специалистов Алеся оценила как высокий.
Об услугах ИБ
ITGLOBAL.COM предлагает сертифицированные услуги по информационной безопасности с 2017 года. Право на проведение аудиторских проверок подтверждено лицензией ФСТЭК. В числе услуг по ИБ: оценки соответствия 382-П, 152-ФЗ, ГОСТ Р 57580, подготовка к сертификации PCI DSS и тестирование на проникновение.