ГК «Интеллектуальная безопасность» автоматизировала в «Сбере» оценку соответствия требованиям ИБ-регуляторов
Заказчики: Сбербанк Москва; Финансовые услуги, инвестиции и аудит Продукт: Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC и auto-SGRC)На базе: Security Vision Специализированная платформа для автоматизации процессов информационной безопасности Дата проекта: 2019/06 — 2021/01
|
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
|
2021: Автоматизация оценки соответствия требованиям регуляторов кибербезопасности
ГК «Интеллектуальная безопасность» 15 февраля 2021 года сообщила о том, что автоматизировала процессы оценки соответствия требованиям стандартов и регуляторов кибербезопасности в Сбербанке с помощью системы Security Vision Security Governance, Risk Management and Compliance (Security Vision SGRC).
Security Vision SGRC, внедренная по техническому заданию Сбербанка, обеспечила сотрудников отдела киберкомплаенс действенным инструментарием, позволяющим в режиме онлайн видеть текущий статус соответствия всем необходимым стандартам в области кибербезопасности и связь стандартов между собой, а также иметь в своем распоряжении самую актуальную информацию по процедурам, которые нужно реализовать для обеспечения соответствия каждому требованию.
Теперь сотрудники отдела могут в автоматическом режиме проводить оценку соответствия за счет:
- анализа внутренних нормативных документов банка;
- фиксации результатов внутренних и внешних аудитов;
- выполнения регулярных организационных и технических мероприятий;
- автоматической оценки соответствия посредством интеграции со смежными системами.
Кроме того, Security Vision SGRC позволяет хранить результаты прошедших аудитов, контролировать статус исполнения релевантных задач смежными подразделениями, а ее конструктор отчетов и дашбордов визуализирует текущее состояние соответствия с возможностью использования любых данных и тонкой настройки представляемой информации.
«Security Vision SGRC является полезным продуктом прежде всего потому, что в результате его внедрения тысячи требований международных стандартов и нормативных документов начинают работать слаженно и на благо Заказчика. Автоматизировав рутинные операции по соответствию требованиям, Заказчик может осуществлять стратегическое планирование и определять векторы развития, задавать тренды и лучшие практики. Более того, наличие технологии auto-SGRC позволит обеспечить автоматическое и постоянное соответствие требованиям международных стандартов и нормативных документов», - подчеркнул Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность». |
«В результате внедрения Security Vision SGRC у нас появился эффективный инструмент контроля и реализации соответствия требованиям стандартов и регуляторов. Теперь в любой момент времени сотрудники департамента обладают полной информацией о том, каким стандартам необходимо соответствовать, каков текущий статус соответствия, какие имеются замечания, и кто отвечает за их устранение, когда последний раз осуществлялась проверка, когда планируется проводить то или иное мероприятие. Работа сотрудников отдела оптимизировалась - общее количество контролируемых требований сокращено на 30% за счет выявления требований, дублирующихся в разных стандартах. Следующим шагом станет тиражирование Security Vision SGRC на другие стандарты кибербезопасности», - рассказала Ольга Маклашина, исполнительный директор - начальник отдела киберкомплаенс Сбербанка. |
«Регуляторные требования зачастую являются двигателем развития информационной безопасности. В случае первого банка страны масштабы работы по обеспечению комплаенс колоссальны и реализуемы только с помощью наиболее эффективных ИТ-продуктов, к которым безусловно относятся системы на платформе Security Vision, созданные резидентом Сколково ГК «Интеллектуальная безопасность». Отдельным преимуществом конструкторского подхода, реализованного в платформе, считаю то, что он обеспечивает решению конкурентные преимущества и большой потенциал при масштабировании и расширении области применения. А возможность использования в продуктах Security Vision математических моделей машинного обучения позволяет Заказчику быть уверенным в том, что данные ИТ-продукты будут не только эффективны, но и полностью адаптированы под особенности его бизнес-процессов», - заявил Михаил Стюгин, руководитель направления «Информационная безопасность» Кластера информационных технологий, Фонд «Сколково». |
2019-2020: Построение комплексной системы управления информационной безопасностью
Система информационной безопасности ПАО «Сбербанк» непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик. Очередным шагом в этом направлении стало построение в Банке комплексной автоматизированной системы управления информационной безопасностью (СУИБ), позволяющей оперативно принимать управленческие решения, основываясь на объективных данных, консолидированных из множества систем.
В ходе проекта специалисты Security Vision осуществили внедрение трех модулей на платформе Security Vision SGRC: Критическая информационная инфраструктура (КИИ), Управление соответствием (Compliance control), Управление информационными активами (Data Governance). В рамках внедрения каждого модуля были реализованы:Из пункта А в пункт Б. Миграция на платформу контейнеризации «Боцман»
Критическая информационная инфраструктура (КИИ):
- Учет объектов КИИ;
- Процесс категорирования с автоматическим расчетом параметров и категории;
- Процедура составления модели угроз и аудита на соответствие приказам ФСТЭК (включая формирование и контроль устранения задач на устранение несоответствий);
- Визуализация всех указанных процессов;
- Автоматическая генерация отчётных форм по требования приказов ФСТЭК;
- Рабочие места менеджера и эксперта.
Управление соответствием:
- Процедуры оценки по PCI DSS и ISO 27001, включая формирование и контроль устранения задач на устранение несоответствий;
- Автоматизация оценки части требований за счет смежных систем;
- Визуализация указанных процессов.
Управление информационными активами:
- Учет бизнес-процесс Банка и обрабатываемых персональных данных;
- Аудит соответствия бизнес-процессов Банка требованиям по обработке ПДн и GDPR (включая формирование и контроль устранения задач на устранение несоответствий);
- Процесс моделирования угроз;
- Визуализация указанных процессов.