Обеспечение соответствия информационных систем банка требованиям регуляторов и стандартам информационной безопасности, а также формирование системного подхода к управлению рисками и защищенностью инфраструктуры.
Информационные системы банка требовали комплексной оценки на соответствие требованиям регуляторов и актуальным стандартам информационной безопасности. При этом отсутствовала целостная картина уровня защищенности, включая состояние веб- и мобильных приложений, архитектуры инфраструктуры и процессов управления рисками. Это затрудняло подготовку к проверкам и повышало вероятность выявления критичных уязвимостей.
В рамках проекта был проведен комплексный анализ действующих нормативно-методических документов по защите информации на соответствие требованиям регуляторов и стандартам ИБ. Параллельно выполнен аудит защищенности информационных систем банка с использованием инструментальных методов, включая анализ конфигураций, журналов событий и архитектуры ИТ-инфраструктуры.
Отдельное внимание было уделено безопасности прикладного уровня: проведен анализ защищенности веб- и мобильных приложений с применением подходов SAST и DAST, а также анализ бизнес-логики и механизмов аутентификации и авторизации.
Дополнительно выполнено моделирование угроз с разработкой частных моделей угроз и нарушителя для ключевых информационных ресурсов банка. Завершающим этапом стало проведение тестирования на проникновение (pentest) внешнего и внутреннего контуров инфраструктуры с формированием отчетов и рекомендаций по устранению выявленных уязвимостей.
В результате проекта банк получил подтвержденный уровень защищенности информационных систем и готовность инфраструктуры к проверкам со стороны регуляторов. Сформирована единая система управления информационной безопасностью с прозрачными процессами контроля рисков, выявления уязвимостей и реагирования на инциденты.
