Уральский Банк Реконструкции и Развития – один из крупнейших отечественных банков, представленный в 19 регионах России. В числе услуг Банка значительную долю составляют те, в основе которых лежит использование пластиковых карт: оформление кредитных и дебетовых карт, корпоративных карт, зарплатных проектов и т.д. По количеству пластиковых карт, находящихся в обращении, Банк в прошедшем году вошел в двадцатку крупнейших в России. Объемы обрабатываемых в платежных системах данных делают обеспечение их безопасности, в том числе приведение платежных систем в соответствие требованиям стандарта PCI DSS, задачей первого уровня.
"Мы осознаем прямую взаимосвязь между надежностью Банка, доверием клиентов и общей его успешностью, - комментирует Александр Падерин, начальник управления безопасности информационных систем ОАО "УБРиР". - И проект по обеспечению соответствия наших платежных систем стандарту PCI DSS расценивается нами не только как обязательная в финансовой сфере сертификация, но и как важнейшая составляющая ИБ Банка, поддерживающая уровень доверия к нам со стороны клиентов и партнеров на неизменно высоком уровне. Завершенный на сегодняшний день проект позволяет нам соответствовать ведущим тенденциям в области ИБ финансового сектора".
На первом этапе проекта были проведены обследование и оценка платежных систем Банка на соответствие требованиям стандарта PCI DSS, а также – уровня их защищенности в целом. По результатам данного обследования эксперты компании "Инфосистемы Джет" сформировали план мероприятий по приведению платежных систем Банка в соответствие требованиям стандарта, на основании которого в дальнейшем был разработан технический проект и внедрены необходимые средства защиты. В плане мероприятий по приведению в соответствие были учтены такие требования, как сохранение производительности информационных систем Банка при внедрении средств защиты и экономическая обоснованность используемых решений. В число впервые внедренных в Банке средств защиты вошли:
"Каждый пункт плана приведения в соответствие и выполняемые работы мы детально прорабатывали вместе с ИТ- и ИБ-специалистами Банка, а каждое внедренное техническое решение предварительно тестировалось и настраивалось нами в соответствии с бизнес-требованиями Банка, – говорит Евгений Акимов, заместитель директора Центра информационной безопасности компании "Инфосистемы Джет". – Мы максимально задействовали уже имеющиеся в Банке технические средства защиты, использовали надежные и апробированные ранее средства защиты, встраивая их в инфраструктуру Банка таким образом, чтобы они не затрудняли работу Банка в целом, обеспечивали соответствие стандарту PCI DSS, а главное – имели практическую ценность для обеспечения реальной защиты информационных систем Банка. В частности, внедренные решения могут быть масштабированы в дальнейшем, в том числе с учетом требований российских регуляторов в сфере ИБ финансовых организаций".
Завершающим этапом проекта стал сертификационный аудит, который провели QSA-аудиторы компании "Инфосистемы Джет". Результаты аудита были представлены и приняты международными платежными системами Visa и MasterCard, после чего Банку был выдан сертификат соответствия требованиям стандарта PCI DSS 2.0.