Проект

«Инфосистемы Джет» оценили защищенность платежных систем «Уральского банка реконструкции и развития»

Заказчики: Уральский Банк Реконструкции и Развития (УБРиР)

Екатеринбург; Финансовые услуги, инвестиции и аудит

Подрядчики: Инфосистемы Джет
Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)

Дата проекта: 2013/08 — 2018/11
Технология: ИБ - Антивирусы
подрядчики - 300
проекты - 1296
системы - 438
вендоры - 129
Технология: ИБ - Антиспам
подрядчики - 261
проекты - 1087
системы - 228
вендоры - 91
Технология: ИБ - Аутентификация
подрядчики - 301
проекты - 955
системы - 464
вендоры - 278
Технология: ИБ - Межсетевые экраны
подрядчики - 371
проекты - 1409
системы - 707
вендоры - 251
Технология: ИБ - Предотвращения утечек информации
подрядчики - 266
проекты - 1069
системы - 418
вендоры - 242
Технология: ИБ - Резервное копирование и хранение данных
подрядчики - 216
проекты - 753
системы - 303
вендоры - 137
Технология: ИБ - Средства шифрования
подрядчики - 269
проекты - 824
системы - 465
вендоры - 242

Содержание

2018: Аудит информационной безопасности платежных систем

18 декабря 2018 года компания «Инфосистемы Джет» сообщила о завершении комплексного аудита информационной безопасности платежных систем «Уральского банка реконструкции и развития». Результаты аудита могут стать основой для принятия краткосрочных мер и разработки долгосрочной стратегии по снижению рисков фрода и совершенствованию ИБ-процессов банка.

Аудит информационной безопасности охватил 10 платежных систем банка, конфигурации их прикладного и системного программного обеспечения, а также применяемые на межсетевых экранах правила контроля доступа в защищенные сегменты платежных систем.

«
«Предоставление качественных и надежных услуг клиентам нашего банка – ключевые направления деятельности по обеспечению информационной безопасности. С этой целью мы непрерывно следим за уровнем информационной безопасности. Особое внимание уделяем платежным технологическим процессам, реализованным в нашем банке. Мы убеждены, что только проактивное выявление уязвимостей дает возможность своевременно минимизировать угрозы ИБ и тем самым предотвратить потенциальные финансовые риски. Именно поэтому мы инициировали аудит по смешанной схеме, оценив не только формальное соответствие требованиям регуляторов, но и проведя глубокую проверку всего платежного процесса».
»

Проект длился в течение 2018 года и включал три этапа. На первом этапе ИБ-специалисты банка получили консультации по прохождению процедуры самооценки на соответствие требованиям международной межбанковской системы SWIFT. На втором этапе эксперты «Инфосистемы Джет» подготовили кредитную организацию к оценке на соответствие требованиям ЦБ РФ к защите информации при переводе денежных средств (Положение 382-П). На третьем этапе было проведено тестирование на проникновение, в ходе которого специалисты интегратора смоделировали реальные хакерские атаки для подтверждения рисков эксплуатации обнаруженных угроз потенциальными злоумышленниками.

В рамках проекта эксперты интегратора детально проанализировали структуру и компоненты платежного процесса, а также аспекты взаимодействия сторон при передаче денежных средств.

«
«Российские банки сталкиваются с общей проблемой: платежные системы не кастомизированы для бесшовной интеграции в ИТ-инфраструктуру кредитной организации, что приводит к росту рисков, связанных с фродом при передаче платежных поручений. Так, например, в случае успешной эксплуатации уязвимости в ИТ-компонентах инфраструктуры данные о платеже могут быть подменены на этапе передачи от АБС (автоматизированной банковской системы) к компонентам платежной инфраструктуры, что приведет к хищению денег».

Илья Воложанин, консультант Центра информационной безопасности компании «Инфосистемы Джет»
»

Результатом аудита стало повышение уровня осведомленности банка о состоянии информационной безопасности платежных систем. Кредитная организация получила комплекс практических рекомендаций, реализация которых позволит сократить риски банковского мошенничества и повысить степень соответствия защиты платежных систем требованиям российских и международных регуляторов.

2013

Уральский Банк Реконструкции и Развития совместно с компанией «Инфосистемы Джет» объявляют о завершении комплексного проекта по приведению платежных систем Банка в соответствие требованиям международного стандарта безопасности данных платежных карт PCI DSS 2.0. Проект затронул как платежные системы Банка, так и различные инфраструктурные системы, для которых был внедрен ряд необходимых средств защиты. После чего был проведен заключительный сертификационный аудит, завершившийся выдачей сертификата соответствия. При реализации проекта учитывались не только требования стандарта PCI DSS, но и другие актуальные потребности Банка в сфере обеспечения ИБ.

Уральский Банк Реконструкции и Развития – один из крупнейших отечественных банков, представленный в 19 регионах России. В числе услуг Банка значительную долю составляют те, в основе которых лежит использование пластиковых карт: оформление кредитных и дебетовых карт, корпоративных карт, зарплатных проектов и т.д. По количеству пластиковых карт, находящихся в обращении, Банк в прошедшем году вошел в двадцатку крупнейших в России. Объемы обрабатываемых в платежных системах данных делают обеспечение их безопасности, в том числе приведение платежных систем в соответствие требованиям стандарта PCI DSS, задачей первого уровня.

«Мы осознаем прямую взаимосвязь между надежностью Банка, доверием клиентов и общей его успешностью, ─ комментирует Александр Падерин, начальник управления безопасности информационных систем ОАО "УБРиР". ─ И проект по обеспечению соответствия наших платежных систем стандарту PCI DSS расценивается нами не только как обязательная в финансовой сфере сертификация, но и как важнейшая составляющая ИБ Банка, поддерживающая уровень доверия к нам со стороны клиентов и партнеров на неизменно высоком уровне. Завершенный на сегодняшний день проект позволяет нам соответствовать ведущим тенденциям в области ИБ финансового сектора».

На первом этапе проекта были проведены обследование и оценка платежных систем Банка на соответствие требованиям стандарта PCI DSS, а также – уровня их защищенности в целом. По результатам данного обследования эксперты компании «Инфосистемы Джет» сформировали план мероприятий по приведению платежных систем Банка в соответствие требованиям стандарта, на основании которого в дальнейшем был разработан технический проект и внедрены необходимые средства защиты. В плане мероприятий по приведению в соответствие были учтены такие требования, как сохранение производительности информационных систем Банка при внедрении средств защиты и экономическая обоснованность используемых решений. В число впервые внедренных в Банке средств защиты вошли:

  • комплексное средство контроля целостности (Tripwire Enterprise);
  • средство контроля доступа к сетевому оборудованию (Cisco ACS);
  • средство мониторинга пользовательской активности баз данных (Imperva Secure Sphere);
  • средства двухфакторной аутентификации.

«Каждый пункт плана приведения в соответствие и выполняемые работы мы детально прорабатывали вместе с ИТ- и ИБ-специалистами Банка, а каждое внедренное техническое решение предварительно тестировалось и настраивалось нами в соответствии с бизнес-требованиями Банка, – говорит Евгений Акимов, заместитель директора Центра информационной безопасности компании "Инфосистемы Джет". – Мы максимально задействовали уже имеющиеся в Банке технические средства защиты, использовали надежные и апробированные ранее средства защиты, встраивая их в инфраструктуру Банка таким образом, чтобы они не затрудняли работу Банка в целом, обеспечивали соответствие стандарту PCI DSS, а главное – имели практическую ценность для обеспечения реальной защиты информационных систем Банка. В частности, внедренные решения могут быть масштабированы в дальнейшем, в том числе с учетом требований российских регуляторов в сфере ИБ финансовых организаций».

Завершающим этапом проекта стал сертификационный аудит, который провели QSA-аудиторы компании «Инфосистемы Джет». Результаты аудита были представлены и приняты международными платежными системами Visa и MasterCard, после чего Банку был выдан сертификат соответствия требованиям стандарта PCI DSS 2.0.

Аудит завершен в марте 2012 года.

2014: Сертификация PCI DSS 2.0

17 января 2014 года Уральский банк реконструкции и развития сообщил о завершении процедур аудита и получении сертификата соответствия защищенности информационных систем обработки данных клиентов стандарту международной безопасности Payment Card Industry Data Security Standard (PCI DSS v.2.0).

«Стандарт PCI DSS – это требование платежных систем, с которыми работает УБРиР. Выполнение условий стандарта позволяет банку обеспечивать информационную безопасность при обработке данных платёжных карт в соответствии с международными требованиями. УБРиР уже третий год подряд подтверждает высокий уровень безопасности при работе с данными клиентов», - отметил Александр Падерин, начальник управления безопасности информационных систем Уральского банка реконструкции и развития.