Бенчмаркинг iso(own)

№Уязвимость

2 Не был утвержден документ по категорированию ресурсов

Отсутствие процессов независимого контроля над системами антивирусной защиты. Отсутствует закрепленный приказом или иным документом администратор антивирусной безопасности. Анализ вирусной активности на должном уровне не проводится. Отсутствует эшелонированная защита

Отсутствие формализованных процессов по управлению инцидентами информационной безопасности

Отсутствие регулярного пересмотра Политики информационной безопасности и прочих документов, регулирующих вопросы информационной безопасности

Отсутствие формализованных процессов по проведению сканирования уязвимостей и тестирования на проникновение

8 Неэффективное ПО Traffic Inspector

Несанкционированный способ получения кредитных отчетов из базы "Кредитного Бюро"

7 Отсутствие SLA

9 Использование несанкционированных WI-FI точек

Нерациональное использование сервиса электронной почты.Отсутствует матрица ролей для сервиса электронной почты

9 Использование несанкционированных WI-FI точек

37 Уязвимости технологии WI-FI

Отсутствие формализованных процессов по обеспечению осведомленности сотрудников Банка по вопросам информационной безопасности

Согласно планируемой архитектуре Дата-центров, необходима организация двух независимых каналов передачи данных от различных Интернет-провайдеров до каждого из Дата-центров.

Отсутствие формализованных процессов по управлению непрерывностью деятельности

Политика резервного копирования (архивирования) не соответствует текущей ситуации, сложившейся после миграции ИТ-систем в PDC и DRC, и требует пересмотра и актуализации. Недостатки в процессах резервного копирования данных

21 Отсутствие утвержденной стратегии развития ИБ

22 Отсутствие утвержденной стратегии развития ИТ

Не реализован патч-менеджмент (процесс обновления серверного ПО и ОС)

Отсутствует регламент по созданию и управлению тестовыми средами банковских систем, процесс обезличивания информации в тестовых БД

Неэффективная система кондиционирования и пожаротушения в кроссовом помещении

Недостатки в процессе управления паролями обезличенных критичных учетных записей

Отсутствие процессов и специализированных систем по безопасному удалению данных

Система гарантийного электропитания БЦ Сарканд не оснащена вспомогательными ИБП.В филиалах Банка в регионах гарантированное электропитание не предусмотрено.

Не разработан и утвержден стандарт и перечень серверного и телекоммуникационного оборудования

Совместное использование здания головного офиса Банка с другими организациями

Отсутствует методология работы с поставщиками услуг в IT

Риск(описание)

информации, а также отказу в работе систем Банка. В рамках аудита защищенности региональных ПК были выявлены факты отсутствия антивирусов, отсутствия актуальных сигнатурныхз баз.Был инцидент с некорректным обновлением сигнатур вирусов что привело к невозможности запуска /ПК пользователей.

Не будут предприняты должные меры реагирования на инциденты информационной безопасности, что может привести к повторным инцидентам и увеличению понесенного Банком ущерба.

Изменения в размерах и природе бизнеса Банка, используемых технологиях и сопутствующих угрозах не нашли своевременного отражения в документах, регулирующих вопросы информационной безопасности, что может привести к уязвимости Банка по отношению к новым угрозам.

В случае возникновения непредвиденной ситуации угрожающей непрерывности деятельности, Банк не сможет оперативно отреагировать и своевременно восстановить свои системы и бизнес процессы, что может привести к убыткам, потере репутации и юридическим рискам.

Риск не соответствия Банком инструкции № 105, что может привести к приостановке разрешения на использование информации по первому кредитному бюро до устранения несоответствий. Учитывая отсутствие результата проверки автоматизированной системы связи с ПКБ, вероятна остановка бизнеса в связи с невозможностью расчета скоринговой модели

Данное программное обеспечение расчитано для использования в компаниях сегмента SOHO (Small Office & Home Office). В связи с активным ростом численности Банка в настоящее время наблюдаются проблемы с производительностью данного программного обеспечения. В пиковые моменты, при подключении большого количества пользователей, а также при выполнении ряда других операций (формирование отчетов, перенастройка политик и пр.) загрузка серверных ресурсов может достигать до 100%. Увеличение аппаратных ресурсов сервера не приводит к решению данной проблемы, поскольку проблема обусловлена ограниченностью программной архитектуры.Риск невозможности исполнения должностных обязанностей большого количества пользователей в связи с недоступностью сети Интернет.

Разрыв между ожиданиями и возможностями, приводящий к разногласиям:Пользователи и поставщики товаров, работ и услуг не понимают своей ответственностиНеправильно расставленная приоритетность у различных услугНеэффективное и дорогостоящее эксплуатационное обслуживаниеУслуги предоставляются не должным образомУ предоставляемых услуг неправильно определен приоритетНедооцененное возможное негативное влияние инцидентов, в результате чего реакция на инцидент замедлена и на бизнес оказывается значительное негативное воздействие Различные толкования и непонимание предоставляемых ИТ услугНевыполнение пользовательских требований по обслуживаниюМалодейственное и неэффективное использование ресурсов предоставляемых услугНеспособность идентифицировать и среагировать на критичные инциденты в обслуживанииНевозможность предоставления услуг так, чтобы они удовлетворяли бизнес-требованиям Пробелы в понимании технической стороны услуг приводящие к инцидентамНедейственное и дорогостоящее использование рабочих ресурсовОтсутствие определенных (обозначенных) мер, важных для организацииОсновные проблемы и спорные вопросы сервиса не определеныНедовольные пользователи вследствие недостатка информации, независимо от качества обслуживанияУслуги не соответствуют измененным требованиямРиск финансовых потерь и инцидентов из-за разрегулированных услуг

Возможны риски несанкционированной пересылки конфиденциальной информации внешним адресатам (персональные данные клиентов, информация об имеющихся счетах, выписки по движению средств, сканы удостоверения личности, либо внутренних документов Банка и пр.). Данный риск влечет за собой нарушение Банком законодательства РК, в частности Закона о банковской тайне и Закона о персональных данных, что может привести к мерам воздействия в отношении Банка.

В ходе проверки были выявлены несанкционированные WiFi-точки (3G, 4G-WiFi модемы), работники Банка используют несанкционированные точки для нелимитированного доступа к сети Интернет в обход имеющихся защитных средств (межсетевые экраны, прокси-шлюзы и пр.).Риск проникновения зловредного программного кода.Риск утечки конфиденциальной информации.

В текущей реализации WiFi-сети Банка не производится периодическая смена ключа. Отсутствует возможность установки уникальных индивидуальных паролей для каждого пользователя.В случае получения доступа к паролю либо устройству с введенным и сохраненным паролем, злоумышленники получают возможность провести атаку непосредственно на маршрутизаторы сети в обход межсетевых экранов Банка. Природа сети WI-FI позволяет осуществлять подобные атаки, находясь вне помещений Банка.

Риск нарушения требований по обеспечению информационной безопасности со стороны сотрудников Банка и подрядных организаций ввиду отсутствия должной осведомленности.

Случай аварии на узлах связи или каналах передачи данных АО «Казахтелеком», может повлечь к критической остановке работы всех структурных подразделений, простоям в предоставлении банковских услуг, вследствии недоступности ресурсов в PDC и DRC (остановка бизнеса).

В случае возникновения непредвиденной ситуации угрожающей непрерывности деятельности, Банк не сможет оперативно отреагировать и своевременно восстановить свои системы и бизнес процессы, что может привести к убыткам, потере репутации и юридическим рискам.

Данная политика не соответствует текущей ситуации, сложившейся после миграции ИТ-систем в PDC и DRC, и требует пересмотра и актуализации.Существует риск того, что в случае необходимости восстановления данных с резервной копии они будут недоступны по причине отсутствия данных на запрашиваемую точку восстановления или по причине систематических проблем с резервным копированием, которые могли бы быть выявлены при тестировании.

Риски сбоя в работе серверного оборудования, неполадок в функционировании операционных систем, остановке в предоставлении сервисов. Следствие - простой бизнеса, потеря прибыли.

Вследствие отсутствия утвержденного процесса создания и управления тестовыми средами банковских систем, процесса обезличивания информации в тестовых базах данных, внешние компании могут получить доступ к конфиденциальной информации (персональные данные клиентов, информация об имеющихся счетах, движении средств и пр.).Данный риск влечет за собой нарушение Банком законодательства РК, в частности Закона о банковской тайне и Закона о персональных данных, что может привести к мерам воздействия в отношении Банка.Не могут обезличить ИИН и данные по транзакциям, №карточки

Отклонения в планах ИБ не были замечены ввиду отсутствия стратегических планов по развитию. Возможные риски:Миссия Банка может не всегда поддерживаться ИБ;Управленческие решения в ИБ не всегда соответствуют направлению бизнеса. Планы ИБ не выстроены в соответствии с потребностями бизнеса;Инвестирование в ИБ основываются на неверно принятых решениях, что приводит к неудовлетворительной отдаче инвестиций;Упущенные возможности для бизнеса из-за консервативного портфеля ИБ проектов;Получение низкой рентабельности из-за инициативного портфеля ИБ проектов;Упущенные возможности использования новых способностей ИБ;

Отклонения в ИТ планах не были замечены ввиду отсутствия стратегических планов по развитию. Возможные риски:Миссия Банка может не всегда поддерживаться ИТ;Управленческие решения в ИТ не всегда соответствуют направлению бизнеса. ИТ планы не выстроены в соответствии с потребностями бизнеса;Инвестирование в ИТ основываются на неверно принятых решениях, что приводит к неудовлетворительной отдаче инвестиций;Упущенные возможности для бизнеса из-за консервативного портфеля ИТ проектов;Получение низкой рентабельности из-за инициативного портфеля ИТ проектов;Упущенные возможности использования новых способностей ИТ;

Помещение серверной на уровне Р1 не оснащено температурными датчиками, датчиками влажности и протечки, с выводом информации на администраторов систем в рабочее время и на пост охраны во внерабочее, что может привести к простоям и выходу из строя серверного оборудования в случаях сбоев в работе систем кондиционирования, затопления и пр. Требования к системам кондиционирования и пожаротушения в кроссовом помещении не выполняются. Производительности расположенного в помещении бытового кондиционера недостаточно для эффективного охлаждения оборудования.Так, на момент проверки, температура в помещении составляла +32 С, тогда как оптимальной

Так, на момент проверки, температура в помещении составляла +32 С, тогда как оптимальной для работы оборудования считается температура ~20±20C.Также помещение не оснащено резервной системой кондиционирования, на случай выхода из строя основной системы кондиционирования.Несоблюдение температурного режима в кроссовом помещении может повлечь выход из строя сетевого оборудования.В случае неисправности сетевого оборудования значительная часть пользователей ГО не сможет работать в информационных системах, поскольку будут недоступны сетевые сервисы. Отдельные сотрудники банка могут получить административный доступ к системам, совершить действия в ущерб Банку с помощью обезличенных учетных записей, и избежать ответственности за свои действия.

Риск несанкционированного доступа к конфиденциальной информации со стороны посторонних лиц.Нарушение Банком законодательства РК, в частности Закона о банковской тайне и Закона о персональных данных, что может привести к мерам воздействия в отношении Банка.

ДГУ не оснащен вспомогательными ИБП, и при включении/отключении ДГУ происходит кратковременное пропадание электричества во внутренней электросети Банка.По этой причине происходит отключение рабочих станций, что приводит к простою в работе персонала Банка, а также может повлечь выход из строя компьютерного оборудования вследствии скачков напряжения, что также может повлечь к простою в оказании банковских услуг населению и выходу из строя компьютерного оборудования.

Риски простоя бизнеса, вследствии несвоевременной модернизации оборудования, может привести к наличию компонентов инфраструктуры, которые не подлежат поддержке или не будут поддерживаться в недалеком будущем.

Риск несанкционированного доступа к конфиденциальной информации и информационным системам Банка со стороны посторонних лиц.

Отсутствует мониторинг эффективности оказания поставщиками услуг, соответствия поставщика предъявляемым требованиям, что влечет за собой вероятность некачественного/недобросовестного исполнения поставщиком услуг, что, в свою очередь, может привести к возникновению критичной для бизнеса внешатной ситуации, связанной с недоступностью сервисов, сбоями в работе подразделений.

Оценочный показатель Цфировой показатель

Влияние Вероятность Влияние Вероятность Ранг Пентест

Высокий Почти всегда 5 5 25 A.5.2

Высокий Почти всегда 5 5 25

Высокий Очень часто 5 4 20 A.10.2

Внешний аудит

Высокий Очень часто 5 4 20 A.10.2

Высокий Редко 5 2 10Высокий Очень часто 5 4 20

Средний Почти всегда 3 5 15 А.13.1

Высокий Часто 5 3 15 A.5.1

Средний Почти всегда 3 5 15 А.12.5

Высокий Часто 5 3 15

Средний Почти всегда 3 5 15

Средний Часто 3 3 9

Высокий Часто 5 3 15

Высокий Крайне редко 5 1 5 A.10.4

Средний Почти всегда 3 5 15 A.8.1

Высокий Редко 5 2 10

Высокий Редко 5 2 10 А.14.1

Высокий Редко 5 2 10 A.10.3

HIAB-301732

Высокий Крайне редко 5 2 10

Высокий Редко 5 2 10 А.9.2

Средний Редко 3 2 6

Низкий Очень часто 1 4 4

Средний Крайне редко 3 1 3 А.12.2

Средний Крайне редко 3 1 3

Средний Крайне редко 3 1 3 A.9.1

Низкий Редко 1 2 2

A.10.5A.11.2

Низкий Редко 1 2 2

Внутренний аудит УВА Проверка УБ

ПНБ № 80, ТЧС гл.5 п.11-14

8.1-8.14

ПНБ № 80, ТЧС гл.8 п.48 пп.97.41

ПНБ № 80, ТЧС гл.5 п.15 пп.4ПНБ № 80, ТЧС гл.8 п.48 пп.9

7.30-7.34

7.42-7.46

7.47-7.49

5.23-5.38

5.28-5.31

5.12, 5.13, 5.14, 5.16, 5.52

7.1, 7.4, 7.39-40

3.8, 3.10

3.5-3.7

10.5-10.16

7.3, 7.4, 7.39, 11.2-11.5

10.5-10.16

7.6-7.9

7.22-7.23

ПНБ № 80, ТЧС гл.8 п.46 пп.9

5.46, 5.48.

ПНБ № 80, ТЧС гл.5 п.22 пп.2 8.9, 9.1-9.9

6.5-6.10

11.6-11.9

ПНБ № 1265 п.7-2

Мероприятия по устранению

2. Проводить оценку рисков ИБ и ИТ не реже одного раза в год ОИБ ДБ

ОИБ ДБ

2. Внедрение доработок по автоматическому закрытию доступов. ОИБ ДБ

ОИБ ДБ

2. Разработать и утвердить Процедуры по антивирусной защите. ОИБ ДБ

Ответственное подразделение

3. Предоставлять информацию по инцидентам информационной безопасности раз в неделю в Отдел контроля операционных рисков (журнал событий), разработать план устранения (action plan), раз в месяц проводить мониторинг их исполнения совместно с ОКОР.

4. Внедрить решение по сканированию уязвимостей для оценки рисков ИТ-систем и сервисов.

Совместно с бизнес-владельцами систем провести категорирование ресурсов.

3. Внедрение системы класса Identity Management (система управления идентификацией и доступом, IDM).

3. Внедрить регулярный выборочный(1 раз в 2 недели) мониторинг отключения прав доступов совместно с бизнес-владельцами системы* исполняется частично(только для AD)

ОИБ ДБ

Отсуществлять проверки при каждой доработке УБП ДИТОИБ ДБ

Составить список сотрудников, имеющих доступ по VPN. ОИБ ДБУОИТ ДИТ

ОИБ ДБ

3. Введение штатной единицы с функционалом администратора антивирусной защиты.

Внедрить техническое решение двухфакторной аутентификации доступа по VPN

Предоставить данные о количестве инцидентов, решенных посредством VPN доступа.

Разработать процедуру по управлению инцидентами информационной безопасности.

Пересмотреть и актуализировать Политику информационной безопасности.Пересматривать ежегодно в срок до 01.09

ОИБ ДБ

1. Расширение комнаты Кредитного Бюро (далее КБ) и создание дополнительной комнаты для работников авторизации с оснащением рабочих мест согласно требованиям Инструкции №105: - Расширить комнату КБ в БЦ "Сарканд" до 6 человек (4-ОД, 2-ДКОВ).Создание комнаты Кб в БЦ "Алатау" до 8 человек для авторизации в соот. с Интрукцией №105. 2. Организовать рабочее место для работы с КБ в соответсвии с Интрукцией №105.- Обеспечить доступ только к КБ, лицензированному Hosel (Homer), лицензионному Offiсe (кроме Outlook) и FTP папкам для 14 раб-ков.3. Организовать физические средства безопасности- Ограничить доступ на сайт КБ, Интернету, Outlook, вход к носителям (дисковод ит.д.), к сетевым папкам, нелицензионным ПО . Обеспечить пожарную безопасность и видеонаблюдение.4. Приобрести ПАК Соболь - Закупить ПАК "Соболь"-14 штук5. В части разработки ПО-необходима автоматизация в HoSel (логин (ФИО) авторизатора в HoSel равен логину(ФИО) в КБ).- Написать BR- автоматизация в HoSel (логин (ФИО) авторизатора в HoSel равен логину(ФИО) в КБ).

Разработать регламент по созданию и изменению матриц ролей пользователей

Утвердить перечень бизнес-владельцев ИТ-систем.

УОИТ ДИТ

ОИБ ДБ

УОИТ ДИТ

Разработать и утвердить матрицы ролей для сервиса электронной почты. УОИТ ДИТ

ОИБ ДБ

Разработать и утвердить SLA.Ответственное подразделение: Управление Операций ИТ.

Пересмотреть существующий процесс предоставления доступов к электронной почте. Необходимо исключить механизм автоматического предоставления доступа работникам сервиса электронной почте.Разработать и утвердить регламент по использованию электронной почты.

Перестроить архитектуру ИТ-сервиса электронная почта таким образом, чтобы разделить доступы к почте на две категории:• пользователи, которые могут отправлять почту только на внутренних адресатов Банка (в пределах домена homecredit.kz)• пользователи, которые могут отправлять почту и на внешних по отношению к Банку адресатов.

Разработать и утвердить Положение по использованию WiFi-сетей.

Внедрение системы обнаружения и подавления несанкционированных WI-FI устройств

ОИБ ДБ

УОИТ ДИТ

ОИБ ДБ

УОИТ ДИТ

ОИБ ДБ

УОИТ ДИТ

Проводить мероприятия по сканированию и выявлению несанкционированных WiFi-точек.

Произвести модернизацию WiFi-сети с подключением к централизованной консоли управления (снижение издержек на администрирование).Не заложено в бюджете ИТБудет проанализировано и вынесено предложением на рассмотрение руководства в рамках бюджета 2015 г.

Произвести подключение к серверу авторизации, для возможности выдачи персональных паролей пользователям.

Актуализировать Инструкцию пользователя по информационной безопасности.

Проводить мероприятия по обеспечению осведомленности работников Банка по вопросам ИБ (публикации на портале, рассылки, заставки и пр.). Периодичность. Когда готовы начать?

Написать запрос в Казахтелеком, касательно возможности организации ласт-майл до Дата-центра от стороннего провайдера.

Разработать и утвердить План аварийного восстановления систем (Disaster Recovery Plan).DRP должен быть согласован бизнесом и утвержден Правлением, поскольку затрагивает восстановление бизнес-систем, в том числе тех, бизнес-владельцем которых не является ДИТ.

Признать утратившим силу ВНД «План на случай возникновения непредвиденных ситуаций» и разработать и утвердить «Политику управления непрерывностью деятельности».Собрать рабочую группу по созданию документа «Политика управления непрерывностью деятельности»

Актуализировать Политику резервного копирования (зона ответственности ОИБ УБ).

Разработать и утвердить Процедуры резервного копирования (зона ответственности ИТ).

УОИТ ДИТ

УБП ДИТ

ОИБ ДБ

ДИТ

Разработать и поддерживать в актуальном состоянии схемы и описание процессов:• Процесс обновления операционных систем серверов и ПК (патчи, обновления и пр.)Проводить своевременное обновление ОС и ПО.Разработать и поддерживать в актуальном состоянии схемы и описание процессов:• Процесс обновления операционных систем серверов и ПК (патчи, обновления и пр.)Проводить своевременное обновление ОС и ПО.

Разработать и утвердить регламент по созданию и управлению тестовыми средами банковских систем, процесс обезличивания информации в тестовых БД

Разработать и утвердить среднесрочную/долгосрочную стратегию развития ИБ

Разработать и утвердить среднесрочную/долгосрочную стратегию развития ИБIT: Вопрос к Директору БРБ или ДИТ.

Провести модернизацию системы кондиционирования в кроссовом помещении.

не определен. Конционирование находится в ответственности АХУ и в бюджете ИТ не заложено

ОИБ ДБ

АХУ ОД

УОИТ ДИТ

Принять риск к сведению. -

1. Завести базу поставщиков. УОИТ ДИТ2. Разработать документацию по взаимоотношению с поставщиками. ДИТ

УОИТ ДИТ

Произвести установку в серверном помещении на уровне Р1 температурных датчиков, датчиков влажности с возможностью уведомления администраторов.Не заложено в бюджете ИТБудет проанализировано и вынесено предложением на рассмотрение руководства в рамках бюджета 2015 г.

Управление Операций ИТ.

Разработать процесс управления, хранения и эксплуатации обезличеннхы учетных записейОрганизовать хранение паролей в подразделении ИБ

Внедрить процесс по безопасному удалению данных.Разработать Положение и процедуры по безопасному удалению данных.

Организовать план мероприятий по обучению персонала ИБ, посещению семинаров.

Оснастить помещения дополнительными устройствами защиты от проблем с электропитанием (варианты устройств : стабилизатор напряжения, источник бесперебойного питания, дизель генераторная установка). Вынести предложения руководству по закупу данных оборудований (за исключением Сарканда, так как в проекте расширения ГО расходы на закуп оборудований предусмотрены)

Разработать и утвердить требования к энергообеспечению помещений Банка, а также процедуры по обслуживанию компонент энергообеспечения (ДГУ, ИБП и пр.), процедуры эскалации и действия в случае аварийных ситуаций

Разработать и утвердить схемы лицензирования ПО. УОИТ + финансовый блок

Разработать и утвердить стандарты серверного и телекоммуникационного оборудования.

Финансовый блок + УОИТ ДИТ

Разработать и поддерживать в актуальном состоянии (ежеквартальная актуализация) перечень серверного и телекоммуникационного оборудования.IT: Ответственное подразделение: Управление Операций ИТ

3. Внедрить процессы мониторинга оказания услуг(формализовать в документе)

УОИТ ДИТ

5. Разработать требования SLA по поставщикам УОИТ ДИТУБП ДИТ

4. Минимизировать риски, связанные с оказанием услуг (NDA, ответственность сторон

Рекомендуем обеспечить включение системы UFO (отдельно или в комплексе с системой ARBES) в государственный реестр контрольно-кассовых машин или провести интеграцию системы UFO с системой «Программный фискализатор».

Ответственное лицо Техническое решение Продолительность, мес

Ахмадиев А. 5

Козыбаева А.

Соколенко В.

Соколенко В.Ахмадиев А.

На этапе внедрения система сканирования уязвимостей Qualys Guard (общегрупповой проект).Стоимость – 3 000 000 тг.Планируемый срок внедрения – июнь 2014 г.

Ахмадиев А.Козыбаева А.

Муканов Т., Соколенко В.

Ахмадиев А.Козыбаева А.

Внедрение системы класса Identity Management (система управления идентификацией и доступом, IDM).Оценка проектной стоимости – 65 000 000 тг.Лицензии – 21 USD x 6 000 шт. = 126 000 USDВнедрение – 225 000 USD

For example:Installation 18.000 USDAD or LDAP (Hosel) each for 30.000 USDOther application based on LDAP or AD for 15.000 USD

Ахмадиев А.Соколенко В.

Асылбекова А.Соколенко В. 2

Соколенко В.Кадекова З.

Муканов Т.

Козыбаева А.Ахмадиев А.

Внедрение системы сканирования уязвимостей Qualys Guard На этапе внедрения система сканирования уязвимостей Qualys Guard (общегрупповой проект).Стоимость – 3 000 000 тг.Планируемый срок внедрения – июнь 2014 г.

Козыбаева А. 4

Бакрамова А. совместно с УБ (Муканов Т.) , АХУ (Нарышева Н.), ИТ (Горбунов А.)

1. В части разработки ПО-необходима автоматизация в HoSel (логин (ФИО) авторизатора в HoSel равен логину(ФИО) в КБ).2. В части оганизации пространства-необходимо согласовать с АХУ план рассадки/размещения раб. мест для работы с КБ и начать ремонтные работы

Ахмадиев А.Соколенко В.

Замена ПО Traffic Inspector на решение класса Web Gateway с шлюзовым антивирусным ядром, контентной фильтрацией и блокированием сайтов по принадлежности к группам(социальные сети, развлекательный контент, онлайн-игры) Проектная стоимость - 24 500 000 тг

ОСПО Кадекова З

Пехотский

Кадекова пересмотр 1 раз в год.

Соколенко В.Козыбаева А.

Оценка стоимости внедрения не проводилась.Предлагаем вынести в установленном порядке инициативой в бюджет 2015 г.

ОСА + ОИБ ДБ

Совместно Ежеквартально

Пехотский

Ниязбекова Г

Соколенко В. 2

Пехотский

Асылбекова А.

Муканов Т. 3

не определен

Горбунов А.

Муканов Т. 1

Пехотский

Кадековане определен

Кадекова

Внедрение системы класса Disk Wiping (невосстановимое удаление данных).Проектная стоимость – 107 000 тг.

Ибраев Р.Нарышева Н.Ниязбекова Г.

Горбунов А. - по части схемы лицензирования

Горбунов А.

КадековаАсылбекова А.

Срок выполнения Комментарии встречи 18.03.14

до 01.04. ежегодно

еженедельно

7/1/2014 Согасно плана HCI

4/1/2015

01.10.2014

Ежемесячно

8/1/2014

Выполнено4/11/2014

12/1/2014

9/1/2014

7/1/2014

После принятия администратора антивирусной безопасности

Предоставить данные о количестве инцидентов, решенных посредством VPN доступа.

Процесс будет запущен после проведения пилотных тестирований и приобретения системы сканирования узявимостей

Sep-14

пп.1-4 срок- 01.10.2014 г.п.5 срок-2015 г. (зависит от скоупа задач на Hosel)

Oct-14

2/1/2015

7/1/2015

документ в стадии 2го согласования. В данный момент в работе комментарии и замечания от согласующих лиц. Ориентировочный срок утверждения - конец апреля 2014

старт - апрель 2014. Срок окончания не согласован с IT

старт - апрель 2014. Срок окончания 01.09.2014

7/1/2015

12/31/2014

7/1/2014

Jul-14

Jan-15

7/1/2014

Jul-14

письмо отправлено. См скриншот справа от таблицы

Aug-14

10/1/2014

Запросить в АХУ

Разработать и обновлять не реже 1 раза в год.

Конционирование находится в ответственности АХУ и в бюджете ИТ не заложено

Запросить в АХУ

8/1/2014

6/1/2014

30 мая

01 авг.

до конца 2014 года

Sep-14

Jul-14

не определенне определен

до конца 2014

срок не определен, т.к. в бюджете не заложено

к сведению принято

просьба уточнить формулировку запроса

Указать, до какого срока будет проведена интеграция с фискализатором.

Критерии деятельности ИБ

I. Организация информационной безопасности

II. Безопасность персонала

III. Физическая защита информационных ресурсов

IV. Управление технологическим процессом

V. Управление доступом

VI. Криптографическая защита

VII. Безопасность программного обеспечения и системных файлов

VIII. Обеспечение непрерывности работы и восстановления

IX. Соответствие нормативных и руководящих документов действующему законодательству

X. Управление активами

XI. Оценка и обработка рисков

XII. Менеджмент технических слабых мест

XIII. Предотвращение утечек информации

1. Расписать функционал в домены, перекидать пункты каждый в свои домены по логике2. Пересмотреть все показатели.3. Расписать мероприятия организационные(до внедрения, вместо внедрения)

IPS WG SCB IDM NAC Sobol Tokens SAM DLP

3.1 4.3 4.4 4.4 4.4 4.4 4.5 4.4 4.4 4.4 4.4 4.4 4.4

2.9 3.7 3.9 3.7 3.9 3.7 3.8 3.8 3.9 3.7 3.7 3.8 3.9

2.6 3.3 3.3 3.3 3.3 3.7 3.3 3.3 3.3 3.3 3.3 3.3 3.5

2.6 3.4 3.7 3.4 3.6 3.4 3.5 3.4 3.8 3.4 3.4 3.4 3.6

2.6 3.5 3.6 3.5 3.5 3.5 3.5 4.0 3.7 3.5 3.5 3.5 3.5

1.0 3.0 3.0 4.8 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0

1.6 3.1 3.1 3.1 3.1 3.2 3.1 3.2 3.2 3.1 3.1 3.1 3.1

1.3 4.0 4.0 4.0 4.0 4.0 4.0 4.0 4.0 4.0 4.0 4.0 4.0

1.5 3.5 3.8 3.8 3.8 3.8 3.8 3.8 4.3 4.3 4.3 4.3 3.8

1.0 4.1 4.1 4.1 4.1 4.1 4.1 4.1 4.4 4.1 4.1 4.1 4.7

1.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.4

1.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0

1.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 3.0 4.6

Формализация, ВНД Контроль исполненияОтсутствует/не соответствует Отсутствуетне исполняется Периодически

Регулярно

Текущая ситуация

Организационные меры

Crypto Disk Wiper

Формализован, автоматизирвоан

SIEM QG

4.5 4.4 4.5

3.8 3.9 3.9

3.3 3.3 3.73.7 3.6 3.83.8 3.6 4.03.0 3.0 4.83.2 3.2 3.24.0 4.0 4.03.8 3.8 4.34.4 4.4 4.73.0 3.4 3.43.1 4.6 4.63.0 3.0 4.6

0.00.00.00.00.00.00.0

Внедрение решений

Процедура, политика, ВНД1 отсутствует

НСД Контроль исполненияНе предотвращаяется отсутствует

VII. Безопасность программного обеспечения и системных файловVIII. Обеспечение непрерывности работы и восстановления

2.61.0

1.31.5

Организационные мероприятия ИБ

Внедрение решений Организационные меры

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

2.61.0

1.31.5

4.63.0

DLP QG SIEM SAM Tokens Sobol NAC IDMSCB Disk Wiper Crypto IPS WG Организационные меры Текущая ситуация

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.31.5

4.63.0

2.61.0

1.61.31.5

1.01.0

4.03.8

IPS Организационные меры Текущая ситуация

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.31.5

1.01.0

4.03.8

2.61.0

1.61.3

1.01.0

Chart TitleCrypto Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleWG Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleDisk Wiper Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleSCB Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleIDM Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleNAC Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleTokens Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleSAM Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleDLP Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

Chart TitleSIEM Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

2.61.0

1.61.3

1.01.0

4.6 3.0

Chart TitleQG Организационные меры Текущая ситуация

2.61.0

1.61.3

1.01.0

4.6 3.0

2.61.0

1.61.3

1.01.0

4.6 3.0

2.61.0

1.61.3

1.01.0

4.6 3.0

2.61.0

1.61.3

1.01.0

4.6 3.0

2.61.0

1.61.3

1.01.0

4.6 3.0

2.61.0

1.61.3

1.01.0

4.6 3.0

2.61.0

1.61.3

1.01.0

4.6 3.0

Бенчмаркинг iso(own)

Documents

Бенчмаркинг 2016

Микрофинансирование в России:...

orientation class phase ii. welcome to your future!...

students´ own 2010

make you own style

other team's own choice

Аренков И.А., Багиев Е.Г....

Обучение и развитие персонала...

БЕНЧМАРКИНГ — ОТЧЁТ ЗА 2017 ГОД ·...

devtional own

БЕНЧМАРКИНГ У КОРПОРАТИВНОЈ...

Индивидуальный бенчмаркинг...

Бенчмаркинг в медиааналитике:...

create your own robot

Скачать ГОСТ Р 56781-2015 Бенчмаркинг...

Бенчмаркинг -...

ПРОМИШЛЕНИТЕ ПРЕДПРИЯТИЯ –...

Анонс выступлений Бенчмаркинг...

my own auto.com

СБОРНИК МАТЕРИАЛОВ · 2020. 2. 18. ·...