Построение комплексной системы управления информационной безопасностью

Система информационной безопасности ПАО «Сбербанк» непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик. Очередным шагом в этом направлении стало построение в Банке комплексной автоматизированной системы управления информационной безопасностью (СУИБ), позволяющей оперативно принимать управленческие решения, основываясь на объективных данных, консолидированных из множества систем.

В ходе проекта специалисты Security Vision осуществили внедрение трех модулей на платформе Security Vision SGRC: Критическая информационная инфраструктура (КИИ), Управление соответствием (Compliance control), Управление информационными активами (Data Governance). В рамках внедрения каждого модуля были реализованы:

Критическая информационная инфраструктура (КИИ):

• Учет объектов КИИ;
• Процесс категорирования с автоматическим расчетом параметров и категории;
• Процедура составления модели угроз и аудита на соответствие приказам ФСТЭК (включая формирование и контроль устранения задач на устранение несоответствий);
• Визуализация всех указанных процессов;
• Автоматическая генерация отчётных форм по требования приказов ФСТЭК;
• Рабочие места менеджера и эксперта.

Управление соответствием:

• Процедуры оценки по PCI DSS и ISO 27001, включая формирование и контроль устранения задач на устранение несоответствий;
• Автоматизация оценки части требований за счет смежных систем;
• Визуализация указанных процессов.

Управление информационными активами:

• Учет бизнес-процесс Банка и обрабатываемых персональных данных;
• Аудит соответствия бизнес-процессов Банка требованиям по обработке ПДн и GDPR (включая формирование и контроль устранения задач на устранение несоответствий);
• Процесс моделирования угроз;
• Визуализация указанных процессов.