• SGRC
  • ФИНАНСЫ

SGRC

Security Governance, Risk Management and Compliance

scheme-image

«Сбербанк» ПАО 2019

Построение комплексной системы управления информационной безопасностью

Система информационной безопасности ПАО «Сбербанк» непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик. Очередным шагом в этом направлении стало построение в Банке комплексной автоматизированной системы управления информационной безопасностью (СУИБ), позволяющей оперативно принимать управленческие решения, основываясь на объективных данных, консолидированных из множества систем.

 

В ходе проекта специалисты Security Vision осуществили внедрение трех модулей на платформе Security Vision SGRC: Критическая информационная инфраструктура (КИИ), Управление соответствием (Compliance control), Управление информационными активами (Data Governance). В рамках внедрения каждого модуля были реализованы:

 

Критическая информационная инфраструктура (КИИ):

  • Учет объектов КИИ;
  • Процесс категорирования с автоматическим расчетом параметров и категории;
  • Процедура составления модели угроз и аудита на соответствие приказам ФСТЭК (включая формирование и контроль устранения задач на устранение несоответствий);
  • Визуализация всех указанных процессов;
  • Автоматическая генерация отчётных форм по требования приказов ФСТЭК;
  • Рабочие места менеджера и эксперта.

Управление соответствием:

  • Процедуры оценки по PCI DSS и ISO 27001, включая формирование и контроль устранения задач на устранение несоответствий;
  • Автоматизация оценки части требований за счет смежных систем;
  • Визуализация указанных процессов.

Управление информационными активами:

  • Учет бизнес-процесс Банка и обрабатываемых персональных данных;
  • Аудит соответствия бизнес-процессов Банка требованиям по обработке ПДн и GDPR (включая формирование и контроль устранения задач на устранение несоответствий);
  • Процесс моделирования угроз;
  • Визуализация указанных процессов.
   



Репортаж на РБК ТВ


answer-image

Кузнецов С.К.

Заместитель Председателя Правления

Сбербанк

«В день мы имеем 1-2 миллиона событий, которые, в той или иной степени, могут иметь отношение к нарушениям работы технологических систем. Такого рода информацию необходимо анализировать, выявлять критические события, чтобы ими управлять. Чтобы разбирать эти риски, критические события, и нивелировать, чтобы все системы работали надежно»*.
*Из интервью РБК ТВ РБК ТВ