Заказчики: Банк ВТБ Москва; Финансовые услуги, инвестиции и аудит Подрядчики: ДиалогНаука Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2014/03 — 2017/07
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
2017
Сертификация по PCI DSS
14 августа 2017 года стало известно о проекте по сертификации соответствия требованиям PCI DSS 3.2 (Payment Card Industry Data Security Standard) Банка ВТБ. Данный сертификат подтверждает защищенность ресурсов банка для безопасного использования платежных карт.
PCI DSS разработан международными платежными системами и определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт.
«Для банка ВТБ обеспечение информационной безопасности является одним из приоритетов, поэтому для нас важно успешное прохождение сертификации PCI DSS 3.2. Это дало нам возможность проанализировать, насколько полно учтены все моменты связанные с обеспечением безопасности». Ольга Дергунова, заместитель президента – председателя правления |
2014
8 июля 2014 года стало известно о проекте аудита информационной безопасности в банке ВТБ. Компания «ДиалогНаука» выполнила работы в рамках проекта.
Задачи проекта
Банк ВТБ заключил соглашение с ЗАО «ДиалогНаука» о проведении аудита безопасности с целью получения независимой и объективной оценки защищенности банка от внешних угроз со стороны потенциальных злоумышленников.
Ход проекта
В рамках аудита выполнен тест на проникновение и оценка защищенности интернет-портала банка. В результате проекта специалисты банка ВТБ получили полную информацию о текущем состоянии защиты внешнего периметра безопасности банка, а также возможных шагах по ее дальнейшему совершенствованию.
Тест на проникновение - моделирование внешних атак потенциальных злоумышленников на выбранные информационные активы заказчика. Проведено моделирование атак, направленных на использование уязвимостей в клиентских приложениях, сетях Wi-Fi, серверном ПО и др. Проведенный тест на проникновение включал в себя атаки с использованием методов социальной инженерии. В рамках оценки уровня защищенности интернет-портала банка проведена проверка на наличие основных типов уязвимостей:
- уязвимости, связанные с некорректной обработкой пользовательского ввода (например, SQL injection, XSS, OS command injection и др.);
- отсутствие проверки или некорректная проверка привилегий пользователя при доступе к закрытым функциям или ресурсам Интернет-портала;
- ошибки в протоколе проверки подлинности пользователей;
- уязвимости в организации безопасного соединения;
- возможность вызвать отказ в обслуживании (Denial of Service);
- некорректная обработка исключительных ситуаций, приводящая к утечке информации о приложении.
Итог проекта
Итоговый отчет содержит описание методов и средств, использованных в процессе проведения аудита, рекомендации повышения уровня защищенности информационных ресурсов банка.
Виктор Сердюк, генеральный директор ЗАО «ДиалогНаука», отметил: «Мы рады, что ВТБ обратился именно к компании «ДиалогНаука» для проведения аудита информационной безопасности. Совместная работа консультантов нашей компании и специалистов службы информационной безопасности банка позволила эффективно реализовать данный проект. Мы со своей стороны надеемся на продолжение сотрудничества с банком ВТБ в будущем».