8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Аудит информационной безопасности банка

Аудит безопасности банка проводится как по требованию нормативных документов Банка Роcсии, так и в целях расследования и предотвращения инцидентов информационной безопасности.

Мы предлагаем:

  • Аудиты по всем требованиям Банка России — 683-П, 747-П, 719-П, ГОСТ 57580.
  • Внедрение системы управления операционным риском (716-П), в том числе по направлению информационной безопасности;
  • Тестирование на проникновение и анализ уязвимостей информационной инфраструктуры;
  • Анализ уязвимостей прикладного программного обеспечения по ОУД4;
  • Рекомендации по повышению уровня соответствия требованиям.

Почему мы:

  • Более 300 проведенных аудитов различного характера для финансовых организаций, положительные отзывы от заказчиков;
  • Более 10 дипломированных специалистов, осуществляющих деятельность под лицензиями ФСТЭК и ФСБ.

Важно:

Мы не просто даем формальное заключение, но и позволяем повысить реальную защищенность Банка.

Аудит информационной безопасности банка - изображение услуги
Узнать стоимость?

Эксперты по аудиту ИБ банка

Эксперт по аудиту ИБ банка Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту ИБ банка Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по аудиту ИБ банка Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по аудиту ИБ банка Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты

Совершенствование банковской сферы повлияло на увеличение баз данных клиентов. Вопросы эффективной защиты конфиденциальной информации и пользователей вышли на первый план. Известны случаи, когда внутренние или внешние системы подвергались попыткам несанкционированных проникновений для получения доступа к сети, персональным данным клиентов и нарушения функционирования организации.

Что это такое?

Аудит ИБ – независимое исследование обеспечения безопасности информационной системы банка или любой другой организации, использующей современные технологии. Экспертиза проводится на основании определенных показателей, которые помогают быстро выявить слабые стороны в структуре и максимально качественно оценить работу всей системы.

Заказывают аудиторскую проверку не только в критических ситуациях, когда произошла утечка информации или была нарушена работа ПО.

Часто к ней прибегают в следующих случаях:

  • Реорганизация кредитно-финансовой организации.
  • Объединение нескольких филиалов.
  • Смена руководящего состава.
  • Новые требования законодательства и пр.

Цели проведения

Автоматизированные банковские системы обязательно должны проходить аудит ИБ. Основные цели проверки:

  • Анализ угроз или возможных рисков воздействия снаружи или изнутри.
  • Оценка реального уровня защищенности ИС банка.
  • Поиск/выявление уязвимостей и других проблемных участков.
  • Проработка и составление списка рекомендаций по внедрению и повышению эффективности механизма безопасности ИС.

Аудит кредитно-финансовой организации включает целый комплекс проверок:

  • Степени защиты клиентских баз.
  • Сохранности тайны банка.
  • Надежности проводимых денежных операций в условиях возможного вмешательства посторонних лиц.

Виды

Существует два типа банковского аудита:

  • Внешний – периодическая проверка, проводимая независимыми экспертами по инициативе руководства организации или правоохранительных органов.
  • Внутренний – регулярный анализ информационных систем, который осуществляется в соответствии с принятыми положениями, в установленные сроки сотрудниками банка.

Что входит?

Процедура может включать следующие действия:

  • Полный анализ банковских объектов – компьютерные средства, коммуникационные системы, техника, видеонаблюдение.
  • Проверка уровня защищенности конфиденциальных данных, которые имеют ограниченный доступ. Выявление каналов с наибольшей вероятностью утечки.
  • Проверка локальных систем изнутри или электронных технических средств на стойкость к наводкам, а также электромагнитному излучению.
  • Реализация проектов – создание концепции безопасности. Предполагает усиление защитных средств, программного обеспечения, используемых помещений.

Этапы

Существуют разные методологии проведения процедуры аудита информационной безопасности в банках:

  • Инициирование – определяются права и обязанности аудитора, подготавливается план проведения проверки и его согласование с заказчиком. Устанавливаются границы исследования.
  • Сбор первоначальных данных – в список входят сведения о структуре СБ, распределение средств обеспечения безопасности, уровни функционирования системы, анализ методов получения и предоставления информации.
  • Комплексное или частичное исследование.
  • Подробный анализ полученных/собранных данных.
  • Подготовка рекомендаций по устранению найденных проблем.
  • Написание подробного отчета.





Видео по аудиту ИБ банка

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по аудиту ИБ банка

Наименование услуги Стоимость

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 382-П

Срок – от 8 недель

от 400 000 руб.

Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 672-П

Срок – от 8 недель

от 300 000 руб.

Аудит соответствия общим требованиям в 3 этапа: GAP-анализ, разработка ОРД, проведение финального этапа аудита общих требований 683-П (без ОУД4)

Срок – от 10 недель

от 800 000 руб.

Полное или частичное приведение в соответствие требованиям Приказа №321 Минкомсвязи и ГОСТ Р 57580

от 100 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.

Наши преимущества

2700+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Нами проведено более 700 аудитов

Сотрудники компании провели более 700 аудитов по различным критериям

Наши отзывы по аудиту ИБ банка

Благодарность от «НАЦИНВЕСТПРОМБАНК» (АО)

11.12.2019

«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

Услуги для вас

НАМ ДОВЕРЯЮТ

Полезные статьи

FAQ: Часто задаваемые вопросы

В какой срок нужно отправлять отчет по аудиту 382-П в ЦБ? И где об этом написано?

Отчет по аудиту 382-П необходимо направлять в подразделение ЦБ РФ не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия (даты отчета). Данная информация содержится  в документе ЦБ РФ: Указание Банка России от 9 июня 2012 г. № 2831-У “Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств”.

Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?

Здравствуйте!

Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:

  • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
  • Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

В п.9 Приказа №321 содержится:

«2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами “б”, “д” или “е” пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 “О лицензировании деятельности по технической защите конфиденциальной информации” и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».

В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:

  • 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее – ГОСТ Р 57580.1-2017).
  • 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
  • 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.