В рамках проекта в КБ «МАК-банк» был выполнен широкий комплекс работ gj комплексной оценке соответствия уровня защищенности информационной инфраструктуры Банка и его процессингового центра требованиям основополагающих стандартов в сфере ИБ: российского стандарта СТО БР ИББС-1.0, международного стандарта безопасности данных индустрии платежных карт (PCI DSS), а также нормативной базы по защите персональных данных. Работы вела компания LETA.
Проект, проходивший по типизированной схеме, состоял из трех этапов. Первый был посвящен собственно обследованию информационных систем. При этом в область проекта были включены сотрудники Банка, технические и информационные системы, а также реализуемые ими процессы обработки данных держателей платежных карт, персональных данных и обеспечения информационной безопасности. Методика, использованная для проведения проектных работ, основана на многолетнем опыте экспертов компании LETA и отвечает соответствующим требованиям стандартов, а также отечественных руководящих документов в области защиты информации.
Первым этапом проекта стал анализ инфраструктуры Банка, организационно-распорядительной документации в области ИБ и смежных областях; обследование и подготовку рекомендаций по корректировке бизнес-процессов, в рамках которых ведется обработка данных платежных карт и персональных данных. Специалисты LETA подготовили необходимые отчеты по обеспечению безопасности персональных данных; в соответствии с методикой СТО БР ИББС провели оценку выполнения требований стандарта и подготовили рекомендации по приведению в соответствие с ними информационной системы банка.
Кроме того, согласно процедуре PCI DSS Security Audit Procedure была проведена оценка соответствия информационной инфраструктуры требованиям PCI DSS, подготовлены отчет о соответствии (Report on Compliance) и план мероприятий (Action Plan), а также экспертное заключение с рекомендациями по приведению инфраструктуры в соответствие требованиям PCI DSS.
На следующем этапе был проведен анализ собранной информации и разработана отчетная документация. Чтобы оценить соответствие Банка требованиям стандартов СТО БР ИББС-1.0-2010 и PCI DSS v. 1.2.1, а также определить порядок обработки ПДн с использованием средств автоматизации и без применения таковых, эксперты LETA изучили документы, используемые в работе Банка, провели серии интервью с сотрудниками подразделений, участвующих в обработке персональных данных и данных держателей платежных карт, а также подразделений, отвечающих за обслуживание ИТ-инфраструктуры и обеспечение информационной и общей безопасности. Для устранения выявленных недостатков на заключительном этапе проекта специалисты компании LETA, опираясь на полученные оценки, разработали комплект документов с выводами о степени соответствия ИС КБ «МАК-банк» вышеперечисленным стандартам и с конкретными рекомендациями по приведению системы ИБ в соответствие требованиям стандартов СТО БР ИББС-1.0-2010 и PCI DSS v. 1.2.1, а также нормативной базы по защите ПДн. Отметим, что эти рекомендации охватывали основную ИС Банка и информационную инфраструктуру процессингового центра.
В дальнейшем КБ «МАК-банк» планирует, основываясь на предложениях компании LETA, продолжить работу по приведению своих информационных систем в соответствие требованиям вышеперечисленных стандартов ИБ, провести внедрение необходимых технических и организационных средств.