Первая СУИБ в банковской отрасли Пакистана построена российским интегратором

Askari Bank первым среди банков Пакистана обеспечил информационную безопасность своих основных бизнес-процессов в соответствии с высокими требованиями международного стандарта ISO 27001:2005. 

Москва — Askari Bank, один из крупнейших банков Пакистана, и компания «Инфосистемы Джет», ведущий системный интегратор, объявляют об успешном завершении проекта по построению системы управления информационной безопасностью (СУИБ) Askari Bank и прохождению сертификационного аудита на соответствие требованиям международного стандарта ISO 27001:2005.

Выступив в партнерстве с пакистанской компанией Trillium-Information Security Systems (Pvt.) Ltd., компания «Инфосистемы Джет» подготовила Askari Bank к сертификации на соответствие требованиям стандарта. 

Askari Bank держит курс на развитие международного партнерства и привлечение внешних инвестиций. Для достижения этих целей банку важно предоставлять доказательства надежности своего бизнеса, в том числе и в области ИБ. Поскольку сертифицированная система управления информационной безопасностью является одним из ключевых факторов, помогающих соответствовать жестким требованиям международного рынка, руководством банка было принято решение построить СУИБ и пройти аудит на соответствие требованиям стандарта ISO/IEC 27001:2005 «Системы менеджмента информационной безопасности. Требования», рекомендованного к исполнению Центральным Банком Пакистана. 

Компания «Инфосистемы Джет» выиграла тендер на проведение консалтинговых работ.

На первом этапе проекта - комплексное обследование информационной безопасности - специалисты компании «Инфосистемы Джет» провели оценку текущего состояния существующих в Банке процессов и мер ИБ на соответствие требованиям стандарта ISO 27001, аудит ИБ всех информационных систем, а также внешний тест на проникновение в ЛВС Банка. 

Для построения СУИБ были выбраны типовые площадки, в которых сконцентрированы ключевые бизнес-процессы Банка. Выделенная область состояла из 8 площадок: головного и региональных офисов, а также нескольких типовых дополнительных офисов. Всего со стороны Банка были задействованы 250 человек из 13-ти подразделений, расположенных в  городах Исламабад, Равальпинди, Карачи и Музаффарабад. В границы обследования были включены 20 ключевых бизнес- и поддерживающих процессов, таких как:

• процессы обслуживания клиентов;
• процессы межбанковского трейдинга;
• процесс выпуска карточек международных платежных систем;
• процессы формирования и предоставления финансовой отчетности;
• ИТ-процессы разработки, тестирования и поддержки внутрибанковских приложений. 

Руководству Банка был предоставлен отчет с рекомендациями по модернизации существующих средств ИБ, а также детальный план разработки и внедрения СУИБ для выделенной области. Кроме этого, на данном этапе для топ-менеджмента Askari Bank учебным центром BSI MS CIS было организовано и проведено обучение основам и этапам внедрения СУИБ. 

В рамках второго этапа разработки и внедрения СУИБ специалисты «Инфосистемы Джет»  детально описали процессы, входящие в СУИБ, провели инвентаризацию, категорирование активов и анализ рисков информационной безопасности, разработали и внедрили требуемые стандартом ISO 27001 политики и процедуры, обучили сотрудников Askari Bank новым требованиям по ИБ. 

Отдельно стоит отметить тот факт, что на момент начала работ в Банке не было подразделения, занимающегося вопросами информационной безопасности. Его создание было одной из рекомендаций консультантов. В ходе проекта был сформирован Департамент информационной безопасности, который стал центром компетенций в области ИБ. Сотрудники департамента обладают опытом, знаниями, компетенциями, необходимыми для расширения области внедрения СУИБ на все 180 площадок банка. 

Завершающим этапом проекта стала сертификация СУИБ компанией BSI-Midlle East. В ходе сертификационного аудита ведущим аудитором BSI был отмечен высокий уровень зрелости процессов СУИБ, а также информированности сотрудников по вопросам ИБ. 

«Наладить управление процессами, в которых задействованы сотни сотрудников из разных подразделений в разных городах, непросто. Специалисты компании «Инфосистемы Джет» помогли нам справиться со всеми задачами. Askari Bank стал первым банком в Пакистане, в котором построена и сертифицирована СУИБ. Получение данного сертификата гарантирует, что информационная безопасность нашего банка находится на высочайшем уровне. Мы предприняли все необходимые меры для того, чтобы оправдать доверие со стороны наших клиентов и партнеров», - говорит Ифтихар Балоч (Mr. Iftikhar Baloch), начальник дивизиона по информационной безопасности Askari Bank. 

«Мы работали в другом государстве, другой языковой среде, окунувшись в другую культуру со своими неповторимыми традициями, устоявшимися ценностями, особенностями. Это было непросто, интересно и полезно. Бесспорно, наличие данного сертификата будет способствовать привлечению в банк внешних инвестиций и получению внутренних конкурентных преимуществ на банковском рынке Пакистана. Важно, что после окончания проекта в банке остался не только опыт, документы, описывающие процессы и т.д., а полноценный Департамент ИБ, сотрудники которого могут не только поддерживать существующие процедуры, но и расширять СУИБ так, как это необходимо»,- отмечает Илья Трифаленков, советник генерального директора компании «Инфосистемы Джет». 

Об Askari Bank

Askari Bank – один из крупнейших банков в Пакистане, специализирующийся на предоставлении услуг частному сектору и насчитывающий более 180 дополнительных офисов на территории всей страны. Неоднократный победитель в номинациях «Best Retail Bank in Pakistan» и «The Best Bank in Pakistan» по версии журнала Global Finance. Банковский сектор - одна из ведущих и устойчивых отраслей экономики Пакистана, контролируемая государством.  

О компании Trillium-Information Security Systems (Pvt.) Ltd.

Trillium Information Security Systems - первая в Пакистане компания, специализирующаяся на предоставлении услуг и решений по информационной безопасности. Компания располагает двумя офисами в городах Исламабад и Карачи. 

О Стандарте ISO 27001:2005

Стандарт был принят Международной Организацией по Стандартизации (ISO) и основан на Британском стандарте BS 7799, разработанном Британским Институтом Стандартов (BSI). Этот современный стандарт, являющийся единственной международной спецификацией и получивший всемирное признание, определяет требования к процессам управления ИБ и предоставляет более 130 механизмов обеспечения информационной безопасности в организации.