+7 (495) 197 64 95 пн.-пт.: 10:00 - 18:00

Аудит информационной безопасности банка

Совершенствование банковской сферы повлияло на увеличение баз данных клиентов. Вопросы эффективной защиты конфиденциальной информации и пользователей вышли на первый план. Известны случаи, когда внутренние или внешние системы подвергались попыткам несанкционированных проникновений для получения доступа к сети, персональным данным клиентов и нарушения функционирования организации.

Аудит информационной безопасности банка – возможность на начальном этапе выявить «слабые» места в структуре, устранить их и провести профилактику атак злоумышленников. Заказать проверку можно в компании RTM TECHNOLOGIES. Опытные сотрудники, используя современные методики и инструментальные средства, проведут аудит. По результатам обязательно будет составлено заключение.

Аудит информационной безопасности банка

Эксперты по аудиту ИБ банка

Царев Евгений Олегович

Царев Евгений Олегович

Управляющий

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Баранов Александр Николаевич

Баранов Александр Николаевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий с 1996 года.
Профессиональный опыт в сфере информационной безопасности с 2004 года.

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты

Описание

Что это такое?

Аудит ИБ – независимое исследование обеспечения безопасности информационной системы банка или любой другой организации, использующей современные технологии. Экспертиза проводится на основании определенных показателей, которые помогают быстро выявить слабые стороны в структуре и максимально качественно оценить работу всей системы.

Заказывают аудиторскую проверку не только в критических ситуациях, когда произошла утечка информации или была нарушена работа ПО.

Часто к ней прибегают в следующих случаях:

  • Реорганизация кредитно-финансовой организации.
  • Объединение нескольких филиалов.
  • Смена руководящего состава.
  • Новые требования законодательства и пр.

Цели проведения

Автоматизированные банковские системы обязательно должны проходить аудит ИБ. Основные цели проверки:

  • Анализ угроз или возможных рисков воздействия снаружи или изнутри.
  • Оценка реального уровня защищенности ИС банка.
  • Поиск/выявление уязвимостей и других проблемных участков.
  • Проработка и составление списка рекомендаций по внедрению и повышению эффективности механизма безопасности ИС.

Аудит кредитно-финансовой организации включает целый комплекс проверок:

  • Степени защиты клиентских баз.
  • Сохранности тайны банка.
  • Надежности проводимых денежных операций в условиях возможного вмешательства посторонних лиц.

Виды

Существует два типа банковского аудита:

  • Внешний – периодическая проверка, проводимая независимыми экспертами по инициативе руководства организации или правоохранительных органов.
  • Внутренний – регулярный анализ информационных систем, который осуществляется в соответствии с принятыми положениями, в установленные сроки сотрудниками банка.

Что входит?

Процедура может включать следующие действия:

  • Полный анализ банковских объектов – компьютерные средства, коммуникационные системы, техника, видеонаблюдение.
  • Проверка уровня защищенности конфиденциальных данных, которые имеют ограниченный доступ. Выявление каналов с наибольшей вероятностью утечки.
  • Проверка локальных систем изнутри или электронных технических средств на стойкость к наводкам, а также электромагнитному излучению.
  • Реализация проектов – создание концепции безопасности. Предполагает усиление защитных средств, программного обеспечения, используемых помещений.

Этапы

Есть разные примеры проведения процедуры аудита информационной безопасности в банках. Стандартно проверка состоит из следующих этапов:

  • Инициирование – определяются права и обязанности аудитора, подготавливается план проведения проверки и его согласование с заказчиком. Устанавливаются границы исследования.
  • Сбор первоначальных данных – в список входят сведения о структуре СБ, распределение средств обеспечения безопасности, уровни функционирования системы, анализ методов получения и предоставления информации.
  • Комплексное или частичное исследование.
  • Подробный анализ полученных/собранных данных.
  • Подготовка рекомендаций по устранению найденных проблем.
  • Написание подробного отчета.

Выгодное предложение

Анализ ИБ банка – сложный, многоступенчатый процесс, который следует доверить профессионалам. Мы со знанием подходим к делу. Даем гарантии честности, объективности и обоснованности.






Видео по аудиту ИБ банка

Наши преимущества

Аудиты и экспертизы

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Нами проведено более 300 аудитов

Сотрудники компании провели более 300 аудитов по различным критериям

Цены на услуги по аудиту ИБ банка

Наименование услуги Стоимость

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 382-П (от 8 недель)

от 400 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 672-П - от 8 недель

от 300 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель

от 600 000 руб.

Аудит в 3 этапа: GAP-анализ, ОРД, финальная оценка соответствия по 683-П (без ОУД4) - от 10 недель

от 600 000 руб.

Полное или частичное приведение в соответствие требованиям Приказа №321 Минкомсвязи и ГОСТ Р 57580.1-2017

от 100 000 руб.

* Мы работаем исключительно с юридическими лицами и ИП.

FAQ: Часто задаваемые вопросы

В какой срок нужно отправлять отчет по аудиту 382-П в ЦБ? И где об этом написано?

Отчет по аудиту 382-П необходимо направлять в подразделение ЦБ РФ не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия (даты отчета). Данная информация содержится  в документе ЦБ РФ: Указание Банка России от 9 июня 2012 г. № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Здравствуйте! Какие документы обязывают банки проводить аудит единой биометрической системы?

Здравствуйте!

Нормативные документы, согласно которым банки, оказывающие услуги по сбору данных в Единую биометрическую систему, обязаны проводить аудит:

  • Приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 25 июня 2018 г. N 321.
  • Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.

В п.9 Приказа №321 содержится:

«2) ежегодное проведение оценки соответствия требований по защите информации с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и информирование Банка России о результатах такой оценки (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049)».

В документе «Методические рекомендации Банка России от 14.02.2019 N 4-МР…»:

  • 2.1.2. Для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Росстандарта от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта Российской Федерации» (М., ФГУП «Стандартинформ», 2017) (далее — ГОСТ Р 57580.1-2017).
  • 2.1.4. Обращаем внимание на необходимость обеспечить реализацию мер, указанных в пунктах 7, 8 Приложения № 1 к Приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25 июня 2018 года № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в Единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», зарегистрированному Министерством юстиции Российской Федерации 4 июля 2018 года № 51532.
  • 2.3.2. Банкам для объектов информационной инфраструктуры в пределах сегмента (группы сегментов) вычислительных сетей, предусмотренных подпунктом 2.3.1 настоящего пункта, рекомендуется применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

Наши отзывы по аудиту ИБ банка

Отзыв о RTM Group от «НАЦИНВЕСТПРОМБАНК» (АО)
«Национальный инвестиционно-промышленный банк» (Акционерное Общество) благодарит Общество с ограниченной ответственностью «РТМ ТЕХНОЛОГИИ» за профессиональный и комплексный подход к проведению оценки соответствия согласно требованиям Положения Банка России № 382-П. Совместно с аудитом по информационной безопасности, специалистами «РТМ ТЕХНОЛОГИИ» был проведен тест на проникновение. Пентест прошёл без вмешательства в работоспособность информационной инфраструктуры и дал объективную оценку о состоянии информационной безопасности Банка. Отдельно хотим выразить признательность экспертам ООО «РТМ ТЕХНОЛОГИИ» за качественную и своевременную подготовку организационно-распорядительной документации. Желаем профессиональных успехов и надеемся на дальнейшее плодотворное сотрудничество.   Заместитель Председателя правления Н.Г. Минина Начальник управления информационных технологий И.А. Моторов

НАМ ДОВЕРЯЮТ