8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » Аудит информационной безопасности банка

Аудит информационной безопасности банка

Аудит безопасности банка проводится как по требованию нормативных документов Банка Роcсии, так и в целях расследования и предотвращения инцидентов информационной безопасности.

Мы предлагаем:

  • Аудиты по всем требованиям Банка России — 683-П, 802-П, 719-П, ГОСТ 57580.
  • Внедрение системы управления операционным риском (716-П), в том числе по направлению информационной безопасности;
  • Тестирование на проникновение и анализ уязвимостей информационной инфраструктуры;
  • Анализ уязвимостей прикладного программного обеспечения по ОУД4;
  • Рекомендации по повышению уровня соответствия требованиям.

Почему мы:

  • Более 300 проведенных аудитов различного характера для финансовых организаций, положительные отзывы от заказчиков;
  • Более 10 дипломированных специалистов, осуществляющих деятельность под лицензиями ФСТЭК и ФСБ.

Важно:

Мы не просто даем формальное заключение, но и позволяем повысить реальную защищенность Банка.

Аудит информационной безопасности банка - услуги RTM Group
Аудит информационной безопасности банка - от RTM Group
Узнать стоимость?
Перейти

Эксперты по аудиту ИБ банка

Эксперт по аудиту ИБ банка Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту ИБ банка Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по аудиту ИБ банка Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту ИБ банка Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты

Совершенствование банковской сферы повлияло на увеличение баз данных клиентов. Вопросы эффективной защиты конфиденциальной информации и пользователей вышли на первый план. Известны случаи, когда внутренние или внешние системы подвергались попыткам несанкционированных проникновений для получения доступа к сети, персональным данным клиентов и нарушения функционирования организации.

Что это такое?

Аудит ИБ – независимое исследование обеспечения безопасности информационной системы банка или любой другой организации, использующей современные технологии. Экспертиза проводится на основании определенных показателей, которые помогают быстро выявить слабые стороны в структуре и максимально качественно оценить работу всей системы.

Заказывают аудиторскую проверку не только в критических ситуациях, когда произошла утечка информации или была нарушена работа ПО.

Часто к ней прибегают в следующих случаях:

  • Реорганизация кредитно-финансовой организации.
  • Объединение нескольких филиалов.
  • Смена руководящего состава.
  • Новые требования законодательства и пр.

Цели проведения

Автоматизированные банковские системы обязательно должны проходить аудит ИБ. Основные цели проверки:

  • Анализ угроз или возможных рисков воздействия снаружи или изнутри.
  • Оценка реального уровня защищенности ИС банка.
  • Поиск/выявление уязвимостей и других проблемных участков.
  • Проработка и составление списка рекомендаций по внедрению и повышению эффективности механизма безопасности ИС.

Аудит кредитно-финансовой организации включает целый комплекс проверок:

  • Степени защиты клиентских баз.
  • Сохранности тайны банка.
  • Надежности проводимых денежных операций в условиях возможного вмешательства посторонних лиц.

Виды

Существует два типа банковского аудита:

  • Внешний – периодическая проверка, проводимая независимыми экспертами по инициативе руководства организации или правоохранительных органов.
  • Внутренний – регулярный анализ информационных систем, который осуществляется в соответствии с принятыми положениями, в установленные сроки сотрудниками банка.

Что входит?

Процедура может включать следующие действия:

  • Полный анализ банковских объектов – компьютерные средства, коммуникационные системы, техника, видеонаблюдение.
  • Проверка уровня защищенности конфиденциальных данных, которые имеют ограниченный доступ. Выявление каналов с наибольшей вероятностью утечки.
  • Проверка локальных систем изнутри или электронных технических средств на стойкость к наводкам, а также электромагнитному излучению.
  • Реализация проектов – создание концепции безопасности. Предполагает усиление защитных средств, программного обеспечения, используемых помещений.

Этапы

Существуют разные методологии проведения процедуры аудита информационной безопасности в банках:

  • Инициирование – определяются права и обязанности аудитора, подготавливается план проведения проверки и его согласование с заказчиком. Устанавливаются границы исследования.
  • Сбор первоначальных данных – в список входят сведения о структуре СБ, распределение средств обеспечения безопасности, уровни функционирования системы, анализ методов получения и предоставления информации.
  • Комплексное или частичное исследование.
  • Подробный анализ полученных/собранных данных.
  • Подготовка рекомендаций по устранению найденных проблем.
  • Написание подробного отчета.



Оглавление:

Что это такое? Цели проведения Виды Что входит? Этапы


Видео по аудиту ИБ банка

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по аудиту ИБ банка

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 382-П

Срок – от 8 недель

от 400 000 руб.

Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 672-П

Срок – от 8 недель

от 300 000 руб.

Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 683-П (без ОУД4)

Срок – от 10 недель

от 800 000 руб.

Полное или частичное приведение в соответствие требованиям Приказа №321 Минкомсвязи и ГОСТ Р 57580

от 100 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Нами проведено более 800 аудитов

Сотрудники компании провели более 700 аудитов по различным критериям

Наши отзывы по аудиту ИБ банка

Благодарность от «НАЦИНВЕСТПРОМБАНК» (АО)
11.12.2019
«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов
Благодарность от АО «МТИ Банк»
02.08.2019
АО «МТИ Банк» рекомендует ООО РТМ Технологии как исполнителя проектов по информационной безопасности ввиду ответственности, пунктуальности и профессионализма. Пентест выполнен в строгом соответствии с техническим заданием, в сжатые сроки и без какого-либо вреда для процессов Банка. Отчетные и закрывающие документы предоставлены в полном объеме без необходимости исправления и доработки. С уважением, Председатель Правления Ниязов А.Н.
Благодарность от АО «НК Банк»
15.06.2020
АО «НК Банк» выражает благодарность специалистам компании ООО «РТМ ТЕХНОЛОГИИ» за профессиональный подход к проведению работ по проведению оценок соответствия требованиям информационной безопасности, установленным Положениями Банка России от 09.06.2012 г. № 382-П, от 09.01.2019 № 672-П, а также приказом Минкомсвязи от 25.06.2018 г. № 321 Заместитель Председателя Правления В.Г. Демченко
Благодарность от ООО «Банк 131»
13.03.2020
От себя лично и от лица Банка ООО «Банк 131» хочу выразить благодарность специалистам ООО «РТМ ТЕХНОЛОГИИ» за их профессионализм и комплексный подход к проведению аудита № 382-П. Совместно с аудитом экспертами «РТМ ТЕХНОЛОГИИ» был проведен пентест, который дал объективную оценку о состоянии информационной безопасности Банка. Банк ООО «Банк 131» желает ООО «РТМ ТЕХНОЛОГИИ» профессиональных успехов и рекомендует к сотрудничеству. Руководитель СИБ ООО «Банк 131» Филиппов Д.Г.

Услуги для вас

Услуга Аудит информационной безопасности

Аудит информационной безопасности

— Цели аудита информационной безопасности
— Процесс аудита информационной безопасности
— Стандарты и виды аудита информационной безопасности
— Варианты аудитов информационной безопасности
— Планы и программы аудита информационной безопасности
— Этапы аудита информационной безопасности
— Отчет по аудиту информационной безопасности
— Где заказать аудит информационной безопасности
Услуга 152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Аудит для банков и МФЦ
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ
Услуга 382‑П: Оценка соответствия

382‑П: Оценка соответствия

- Скачать актуальную редакцию 382-П
- Что необходимо для проведения оценки соответствия по 382-П?
- Как проводится оценка соответствия по 382-П?
- Что включает в себя отчет по 382-П?
- Дополнительные услуги по 382-П

Продукты и решения для вас

Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья 8 основных ошибок внедрения требований по положению 684-П

8 основных ошибок внедрения требований по положению 684-П

При проведении экспертиз, мы и наши заказчики сталкиваемся с рядом проблем. Эксперты RTM Group собрали основные ошибки НФО при внедрении требований 684-П.
И мы хотим поделиться с Вами, чтобы Вы могли их учесть не только во время аудита, но и в рабочем процессе.
Статья Что необходимо знать про ГОСТ 57580

Что необходимо знать про ГОСТ 57580

— Методика аудита по ГОСТ 57580;
— План реализации требований;
— Этапы проведения оценки соответствия;
— Какие документы необходимы;
— Как определить уровень защиты
Статья Что такое ГОСТ 57580?

Что такое ГОСТ 57580?

- Понятие ГОСТ 57580
- Краткий обзор ГОСТ 57580
- Применение ГОСТа
- Заключение
Статья Кража денежных средств с банковского счета

Кража денежных средств с банковского счета

В эпоху информатизации и автоматизации большинства бизнес-процессов возникает огромное количество угроз информационной безопасности, которые могут привести, в том числе к краже денежных средств с банковских счетов.

FAQ: Часто задаваемые вопросы

В какой срок нужно отправлять отчет по аудиту 382-П в ЦБ? И где об этом написано?

Отчет по аудиту 382-П необходимо направлять в подразделение ЦБ РФ не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия (даты отчета). Данная информация содержится  в документе ЦБ РФ: Указание Банка России от 9 июня 2012 г. № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств”.

Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?

Здравствуйте!

Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:

  • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
  • Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

В п.9 Приказа №321 содержится:

«2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “б”, “д” или “е” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “О лицензировании деятельности по технической защите конфиденциальной информации” и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».

В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:

  • 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее – ГОСТ Р 57580.1-2017).
  • 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
  • 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.