ИБ на карантине: как «Плюс Банк» провел оценку соответствия 382-П и пентест во время пандемии коронавируса

Аудиторы ITGLOBAL.COM оценили соответствие требованиям Положения № 382-П, проверили уязвимости внутреннего периметра ПАО «Плюс Банк» и дали экспертные рекомендации по повышению уровня ИБ согласно ГОСТ Р 57580.

О компании

ПАО «Плюс Банк» — российский банк с 150-тысячной клиентской базой. Банк работает с 1990 года. Отделения расположены в шести регионах, в том числе в Москве, Санкт-Петербурге и Омске. ПАО «Плюс Банк» находится на 7 месте в России по количеству выданных автокредитов. Лауреат профессиональной премии «Банковское дело» в номинации «Наиболее динамично развивающийся Банк».

Задачи клиента

В соответствии с нормами Положения № 382-П банку потребовалось провести анализ информационной безопасности с привлечением внешней организации.

Банк также решил оценить уровень защищенности корпоративной сети, надежность и безопасность мер защиты всех процессов, связанных с предоставлением финансовых и банковских услуг. Помимо этого, требовалась проверка безопасности денежных переводов в соответствии с требованиями ГОСТ Р 57580.1-2017.

Реализация

Работы проводились в апреле-мае 2020 года удаленно из-за ситуации с коронавирусом. Такой формат взаимодействия — вынужденное исключение из правил ITGLOBAL.COM: любые работы по ИБ подразумевают обязательный выезд наших аудиторов на место.

Работы включали:

  • оценку соответствия Положению 382-П;
  • разработку экспертных рекомендаций для повышения уровня информационной безопасности согласно 382-П и ГОСТ Р 57580;
  • внутреннее тестирование на проникновение.

Методика

Все интервью проводили по конференц-связи. Общение было дружелюбным и достаточно продуктивным. Всего было опрошено около 15 сотрудников ПАО «Плюс Банк» — тех, кто находился в офисе, и тех, кто работал дистанционно.

Сотрудники детально описывали все процессы по информационной безопасности, которые существуют в банке, демонстрировали настройки различных компонентов: сетевых устройств, AD Windows, ОС Linux, различных СУБД. При этом аудиторы позаботились о безопасной передаче информации.

В целом, несмотря на необычный формат взаимодействия, удалось достаточно подробно изучить ИБ-процессы клиента.

Результат

Специалистами ITGLOBAL.COM был проведен детальный анализ соответствия инфраструктуры ПАО «Плюс Банк» требованиям нормативно-правовых актов Банка России, а также разработаны необходимые рекомендации.

Мнение

Алеся Шестакова, ведущий специалист отдела информационной безопасности ПАО «Плюс Банк» — о том, как выбирали аудитора:

«Мы смотрели на отзывы, на опыт компании в проведении аудитов и пентестов, общались с коллегами в финансовой сфере, чтобы узнать их мнение. Еще нам было важно, чтобы сотрудники, которые будут непосредственно проводить аудит, имели опыт работы именно с финансовыми организациями. Также для нас была важна возможность консультационной поддержки уже после проведения аудита. По соотношению всех эти параметров мы выбрали ITGLOBAL.COM».

О работе наших специалистов:

«Мы выделили наиболее приоритетные направления, на которые попросили обратить особое внимание ваших аудиторов, чтобы повысить уровень общей защищенности банка. По нашей просьбе специалисты объясняли, как трактует различные требования Центробанк, как проверяет их соответствие и как всё это применять, опираясь на мировую практику. Еще нам понравилось глубокое понимание технической части, в том числе знание тонкостей в настройке различных программных средств защиты».

Алеся также отметила, что аудиторы ITGLOBAL.COM с готовностью отвечали на любые уточняющие вопросы, давали рекомендации и предлагали различные варианты решения одного и того же вопроса. В целом уровень подготовки наших специалистов Алеся оценила как высокий.

Об услугах ИБ

ITGLOBAL.COM предлагает сертифицированные услуги по информационной безопасности с 2017 года. Право на проведение аудиторских проверок подтверждено лицензией ФСТЭК. В числе услуг по ИБ: оценки соответствия 382-П, 152-ФЗ, ГОСТ Р 57580, подготовка к сертификации PCI DSS и тестирование на проникновение.

Что будем искать? Например,ChatGPT

Мы в социальных сетях