Внедрение ИБ-процессов: российский банк из топ-200
Команда ITGLOBAL.COM Security провела комплексное исследование ИБ и ИТ-процессов в банке, входящем в топ-200 банков РФ по размеру активов. О том, что мы выявили, и как справлялись с этим, читайте в этом материале.О клиенте
Российский банк, входит в топ-200 по размеру активов среди банков РФ, а также в топ-100 по объему вкладов. Основной вид деятельности банка: потребительское кредитование, кредитование малого и среднего бизнеса, предоставление вкладов, операции с ценными бумагами и валютой и расчетно-кассовое обслуживание.
Задачи
Основная задача: анализ соответствия уровня ИБ в банке требованиям ГОСТ Р 57580. В ходе выполнения анализа были выявлены множественные, в том числе системные проблемы, которые трансформировались в дополнительные задачи:
- Внедрить новые процессы по ИБ.
- Исследовать и усовершенствовать текущие процессы ИБ.
Состав команды
Проектная команда состояла из 4 человек:
- руководитель направления аудита;
- аудитор ИБ;
- пентестер;
- архитектор-аналитик SOC;
Особенности проекта
В процессе выполнения работ, команда ITGLOBAL.COM Security столкнулась со значительными препятствиями, которые было необходимо учитывать при разработке рекомендаций и подборе вариантов решений.
- Крайне устаревшие инфраструктура и ПО без возможности оперативной замены.Было необходимо заменить два Cisco 2801 и Cisco 2960, так как сроки их поддержки уже вышли. Серверное оборудование использовало ОС Microsoft Windows Server 2008r2, основная поддержка которой была прекращена в 2015 году, а расширенная – в 2020-ом.
- Недостаток квалифицированного штатного персонала.В штате был всего 1 сотрудник с минимальным уровнем экспертизы в ИБ и ИТ.
- Отсутствие достаточного финансирования на модернизацию.У банка не было возможности профинансировать полноценное обновление инфраструктуры.
Хронология проекта
Выполнение проекта команда начала с проведения интервью с более, чем 20-ю сотрудниками, задействованными в критичных бизнес-процессах. Этот процесс, а также анализ полученных данных занял 1 месяц.
В ходе анализа результатов параллельно запустили процесс по разработке и внедрению плана совершенствования ИБ-процессов, а также тестирования на проникновение внешнего и внутреннего периметров. Весь комплекс работ занял еще 4 месяца.
Общая продолжительность проекта: 5 месяцев.
Основные результаты
Банк выполнил оценку соответствия ГОСТ Р 57580.
Главным и основным результатом работ оказалось не только номинальное, но и фактическое соответствие банка требованиям ГОСТ Р 57580. Для того, чтобы добиться этого, команда ITGLOBAL.COM Security выполнила ряд задач:
- Найм двух сотрудников в штат. Мы инициировали найм еще двух специалистов: по ИТ и по ИБ, а также сопроводили HR-команду клиента, чтобы новые сотрудники соответствовали всем требованиям и задачам банка
- Построение системы ИБ.
Внутри сформированной команды на стороне клиента были выстроены все ключевые процессы ИБ, требуемые ГОСТом, среди которых:- Обеспечение защиты информации при управлении доступом;
— Обеспечение защиты вычислительных сетей;
— Контроль целостности и защищенности информационной инфраструктуры;
— Защита от вредоносного кода;
— Предотвращение утечек информации;
— Управление инцидентами защиты информации;
— Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений;
- Мониторинг и реагирование на уязвимости. Для внедрения этого процесса мы внедрили в новые процессы клиента коммерческий Security Operations Center (SOC), который обеспечил банку 24/7/365 мониторинг уязвимостей на основных векторах атаки, а также возможность оперативного реагирования для предотвращения и минимизации возможного ущерба
- Подтверждение соответствия ГОСТ Р 57580. Проанализировали обновленную структуру информационной безопасности клиента, подтвердив таким образом фактическое соответствие клиента требованиям регулятора.
- Тестирование на проникновение. Так как в ходе выполнения предыдущих задач, многое в процессах и инфраструктуре изменилось, было необходимо провести тестирование на проникновение, с целью выявить существующие и новые уязвимости. Всего было выявлено 10 уязвимостей, связанные в основном с использованием старых, либо некорректно сконфигурированных версий ПО.
- Компенсационные меры. Так как банк не имел достаточных ресурсов на расширение и обновление инфраструктуры до уровня, требуемого ГОСТом, мы разработали компенсационные меры, выраженные в первую очередь в оптимизации и упрощении внутренних процессов: устранении каналов утечек данных вместо покупки и внедрения СЗИ. Таким образом удалось сэкономить более 70% предварительно оцененного бюджета на модернизацию, оцененного в 10 млн. рублей.