Наш клиент – одна из ведущих компаний на российском рынке перестрахования, осуществляющая деятельность в сфере финансовых рынков и поднадзорная Банку России.
Цель проекта
Создание информационной системы управления ИТ- и ИБ-рисками, а также соответствием нормативно-методическим документам на базе ТАБ GRC.
Реализованный функционал
В рамках проекта внедрен модуль «ИТ и Кибер-риск» системы ТАБ GRC, обеспечивающий:
Управление рисками информационной безопасности
- Оценка рисков ИБ с возможностью настройки шкал вероятности и влияния
- Формирование карты рисков и плана обработки.
- Моделирование угроз по требованиям ФСТЭК.
- Ведение реестра рисков с привязкой к причинам, контрольным процедурам и рисковым событиям.
Управление операционными рисками и операционной надежностью
- Выявление, регистрация и учет событий операционного риска в соответствии с требованиями Положения Банка России № 779-П.
- Реагирование на нарушения операционной надежности в отношении критичной архитектуры.
- Учет технологических процессов, объектов информационной инфраструктуры и поставщиков услуг.
Самооценка и контроль
- Проведение самооценки на различных уровнях организационной структуры.
- Настройка индивидуальных форм самооценки, автоматические напоминания по e-mail
- Агрегация полученных данных, ведение плана мероприятий и контроль исполнения.
Соответствие регуляторным требованиям
- Учет требований Положений ЦБ РФ № 757-П, № 779-П.
- Поддержка стандартов ГОСТ 57580.1–57580.4, Федерального закона № 187-ФЗ (КИИ), № 152-ФЗ (персональные данные).
- Автоматизация процесса соответствия требованиям ФСТЭК, включая Приказ № 21.
Отчетность и аналитика
- Автоматическое формирование отчетных форм по требованиям ЦБ и внутренним политикам.
- Экспорт отчетов в форматы PDF, Excel, Word.
- Гибкие BI-дашборды для руководства.
Защита информации и техническая реализация
- Развертывание на защищенной платформе 1С:Предприятие под управлением ОС Astra Linux SE (версия не ниже 1.7.4) с СУБД PostgreSQL.
- Совместимость с существующими средствами защиты информации.
- Интеграция с ALD Pro и Microsoft Active Directory.
- Предоставление исходных кодов разработанного ПО.
Преимущества внедрения
- Соблюдение жестких регуляторных требований Банка России и ФСТЭК – система изначально настроена под 757-П, 779-П, ГОСТ 57580, 187-ФЗ, 152-ФЗ.
- Единый цифровой контур управления ИТ-рисками, ИБ-рисками и операционной надежностью.
- Повышение прозрачности для руководства и регуляторов за счет автоматической отчетности и BI-дашбордов.
- Сокращение времени на проведение самооценок, актуализацию реестров рисков и контроль исполнения мероприятий.
- Автоматизация процессов регистрации и реагирования на рисковые события (инциденты) с уведомлениями ответственных лиц.
- Безопасность и импортозамещение – работа на Astra Linux, совместимость с российскими СЗИ, возможность предоставления исходных кодов.
Результат
Внедрена комплексная система управления ИТ/ИБ-рисками и соответствием, интегрированная в защищенную ИТ-инфраструктуру, обеспечивающая полное соответствие требованиям регуляторов и повышающая операционную надежность финансовой организации.
