Приведение системы информационной безопасности ОАО Банк ЗЕНИТ в соответствие с требованиями стандарта PCI DSS
Информационная безопасность Информационная безопасность

ОАО Банк ЗЕНИТ имеет собственный процессинговый центр для обработки транзакций по международным платежным картам. Одной из важнейших задач Банка является обеспечение сохранности данных пользователей, особое внимание уделяется вопросам защищенности технологических операций и процессам управления информационной безопасностью (ИБ).

Главная>Информационная безопасность>Приведение системы информационной безопасности ОАО Банк ЗЕНИТ в соответствие с требованиями стандарта PCI DSS
Информационная безопасность Проект

Приведение системы информационной безопасности ОАО Банк ЗЕНИТ в соответствие с требованиями стандарта PCI DSS

Дата публикации:
08.06.2011
Посетителей:
172
Просмотров:
144
Время просмотра:
2.3
ОАО Банк ЗЕНИТ был учрежден в декабре 1994 года Академией народного хозяйства при Правительстве РФ, нефтяной компанией «Татнефть» и рядом других юридических лиц. Одним из важных направлений деятельности ОАО Банк ЗЕНИТ является комплексное обслуживание корпоративных клиентов. Банк также занимает сильные позиции на рынке инвестиционных услуг и частных инвестиций. Как член Ассоциации Российских Банков, представленный в Совете Ассоциации, ОАО Банк ЗЕНИТ активно участвует в процессах, идущих в рамках российской банковской реформы.

 

 

Задача

 

ОАО Банк ЗЕНИТ имеет собственный процессинговый центр для обработки транзакций по международным платежным картам. Одной из важнейших задач Банка является обеспечение сохранности данных пользователей, особое внимание уделяется вопросам защищенности технологических операций и процессам управления информационной безопасностью (ИБ). Оказываемая Банком процессинговая поддержка держателей карт и банков-партнеров должна осуществляться в строгом соответствии с требованиями ИБ, предъявляемыми международными платежными системами, в том числе требованиями стандарта PCI DSS.

 

Банком ЗЕНИТ перед исполнителем проекта были поставлены задачи разработать и внедрить процессы управления информационной безопасностью в соответствии с требованиями стандарта PCI DSS.

Одним из обязательных условий для Банка ЗЕНИТ было минимальное вмешательство в сложившиеся бизнес-процессы. Это связано с тем, что процессинговый центр Банка работает в непрерывном режиме 24х7, а операции Банка осуществляются по всему миру. При остановке работы процессингового центра осуществление банковских операций было бы невозможно, это не только критично с точки зрения клиентов банка, но и несет в себе определенные репутационные риски для Банка».

 

«Проект комплексный, и задача состояла в том, чтобы не только обеспечить соответствие стандарту PCI DSS, но и требованиям Федерального закона № 152-ФЗ «О персональных данных» и стандарта СТО БР ИББС, – комментирует Евгений Рудацкий, руководитель направления PCI DSS компании «Инфосистемы Джет» – Однако в первую очередь необходимо было выполнить требования стандарта PCI DSS в связи со строгими ограничениями сроков со стороны международных платежных систем».

 

Работы по сертификации на соответствие стандарту PCI DSS и оценке состояния системы защиты могут выполнять только специализированные компании, обладающие соответствующим статусом. Исполнителем проекта была выбрана компания «Инфосистемы Джет», обладающая статусами Qualified Security Assessor (QSA, для аудита), Approved Scanning Vendor (ASV, для сканирования сети) и имеющая богатый опыт реализации подобных проектов.

 

Решение

 

Работы над проектом выполнялись в три этапа: анализ соответствия требованиям стандарта, выявление несоответствий и внедрение специализированных средств защиты, проведение независимого сертификационного аудита. На первом этапе специалисты «Инфосистемы Джет» провели полное обследование, в ходе которого решались задачи соответствия не только стандарту PCI DSS, но и требованиям федерального закона № 152-ФЗ «О персональных данных» и отраслевого стандарта СТО БР. По результатам обследования был разработан перечень рекомендаций по повышению уровня безопасности данных о держателях карт.

 

Наиболее масштабный – второй этап проекта, в ходе которого специалисты интегратора спроектировали и внедрили комплекс организационных и технических мер, направленных на устранение несоответствий и требуемых стандартом:

 

  • внедрение системы мониторинга пользователей баз данных;
  • построение процесса анализа и реагирования на события информационной безопасности;
  • разработка организационно-распорядительной документации;
  • существенная модернизация системы обнаружения вторжений;
  • внесение изменений в систему контроля межсетевого взаимодействия;
  • построение процессов поиска уязвимостей и управления изменениями ИТ-инфраструктуры банка.

 

Предложенное техническое решение включало как внедрение новых средств защиты, так и модернизацию имеющихся средств.

 

«Руководство ОАО Банк ЗЕНИТ принимало активное участие в проекте, что во многом способствовало скорейшему решению проектных задач, – комментирует Евгений Рудацкий, руководитель направления PCI DSS компании «Инфосистемы Джет».– Благодаря этому нам удалось завершить проект в поставленные сроки с минимальным вмешательством в сложившиеся бизнес-процессы банка».

 

Для оценки защищенности и подготовки к сертификационному аудиту по окончании второго этапа было проведено сканирование уязвимостей и тестирование на возможность проникновения в систему.

 

Завершающим этапом проекта стало проведение экспертного аудита и итоговая сертификация по требованиям стандарта. Аудит проводила отдельная команда сертифицированных специалистов компании «Инфосистемы Джет». Его результатом стало подтверждение соответствия системы информационной безопасности требованиям стандарта PCI DSS.

 

 

Стандарт PCI DSS разработан в целях повышения уровня обеспечения безопасности в индустрии платежных карт. Организации, которые производят обработку и хранение информации о держателях платежных карт и работают с международными платежными системами, должны каждый год подтверждать соответствие защищенности своих платежных систем требованиям стандарта PCI DSS.

 

Результат

 

Отчет о результатах аудита был направлен в международные платежные системы, которые подтвердили соответствие ОАО Банк ЗЕНИТстандарту PCI DSS. Полученный Банком сертификат является подтверждением высокого качества совместно проделанной работы.

 

«Внедренные организационные и технические меры помогают выполнению требований ФЗ-152 и стандарта СТО БР ИББС, а главное, обеспечивают реальную защиту информации, – добавляет Евгений Рудацкий, руководитель направления PCI DSS компании «Инфосистемы Джет». – В настоящее время планируется завершение аналогичных работ в Банке, связанных с отечественной законодательной базой».

 

Читайте также

Самый безопасный SOC

Уведомления об обновлении тем – в вашей почте

Консалтинг в области информационной безопасности

Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения ..

Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust

Динамичность виртуальной инфраструктуры как ее основное преимущество для бизнеса одновременно несет проблемы безопасности. Неконтролируемость среды управления виртуальной инфраструктурой приводит к возможности реализации утечек и атак как преднамеренного, так и случайного характера

Специфика внедрения SOC

Некоторыми аспектами специфики внедрения с нами поделились эксперты компании «Инфосистемы Джет»

Интервью с Анатолием Скородумовым, начальником отдела информационной безопасности банка «Санкт-Петербург»

Если составить список самых обсуждаемых за последний год ИТ-тем в банковской среде, в Топ-5 обязательно войдут проблемы безопасности систем ДБО, перспективы аутсорсинга банковских систем и систем информационной безопасности, а также облачный вопрос. У медали, как известно, две стороны: преимущества новых технологий несут с собой дополнительные угрозы.

«Центр оперативного управления ИБ – гарантия и уверенность в уровне обеспечения информационной безопасности»

На сегодняшний день главной целью злоумышленников является не просто взлом сети или проникновение в систему, а извлечение прибыли.

Взгляд на защиту виртуальных сред с точки зрения PCI DSS

Повсеместный переход к использованию виртуальных сред в организациях, обрабатывающих данные о платежных картах, повлек за собой необходимость изменения документов, определяющих требования безопасности к платежным системам.

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня