Компания Security Vision внедрила в Тинькофф нормативно-справочную систему Security Vision Security Governance, Risk Management and Compliance (SGRC). С ее помощью было реализовано управление соответствием нормативным требованиям регуляторов, в том числе положениям Банка России и PCI DSS, а также автоматизированы процессы внутрибанковского аудита.
В ходе работ специалисты Security Vision в тесном сотрудничестве с департаментом информационной безопасности Тинькофф реализовали механизмы добавления новых требований и документов регуляторов, пересмотра внутренних документов, сбора свидетельств выполнения требований регуляторов, а также внутренних стандартов банка. Была налажена двусторонняя интеграция Security Vision SGRC с тикет-системой Тинькофф. Также специалисты вендора помогли выполнить корреляцию требований различных стандартов.
Роман Овчинников, руководитель отдела исполнения Security Vision: «Внедрение Security Vision SGRC позволяет улучшать процесс контроля соответствия требованиям международных и отечественных стандартов и нормативных документов в области кибербезопасности. Система помогает повышать уровень соответствия, видеть связь стандартов между собой, а также иметь в своем распоряжении актуальную информацию по процедурам, которые нужно реализовать для обеспечения соответствия каждому требованию».
Антон Крюков, руководитель отдела методологии департамента информационной безопасности Тинькофф: «Для Тинькофф важно не только обеспечивать безопасность всех систем и соответствие как нашим высоким требованиям, так и рекомендациям регуляторов, но и организовать работу максимально эффективно. Для внутрибанковских систем мы применяем тот же подход, что и для клиентских сервисов с точки зрения UX – удобство, бесшовность, чтобы сотрудникам было максимально комфортно их использовать. Для этого мы привлекаем и внутренних разработчиков, и лучших игроков рынка, которые используют мировые и российские решения. Благодаря доработке удалось настроить процессы внутреннего аудита и упростить контроль выполнения требований регулятора».
