Главная
/
Пресс-центр
/
Новости
/
Росбанк совместно с «Инфосистемы Джет» внедрил инновационную систему sGRC на базе платформы RSA Archer
Росбанк совместно с «Инфосистемы Джет» внедрил инновационную систему sGRC на базе платформы RSA Archer
Новости по теме
Росбанк совместно с компанией «Инфосистемы Джет» завершил автоматизацию процесса управления уязвимостями в sGRC. В рамках развития sGRC в Росбанке также реализованы несколько интеграций с системами сканирования на уязвимости инфраструктуры, кода и библиотек, даже контейнеров.
Внедрение sGRC-платформы класса GRC (Governance, Risk and Compliance) было предусмотрено стратегией развития информационной безопасности Росбанка, в рамках которой была создана новая процессная модель, а в качестве инструмента для выстраивания, автоматизации и измерения эффективности было выбрано решение sGRC на базе RSA Archer.
«Амбициозные цели стратегии информационной безопасности в Росбанке могут быть реализованы благодаря интеграции систем и реинжинирингу процессов с помощью sGRC. Такая многомодульная платформа позволит консолидировать сведения из различных процессов ИБ в едином интерфейсе, тем самым обеспечив их визуализацию и прозрачность для оперативного получения информации о текущем состоянии информационной безопасности. На сегодняшний день благодаря sGRC сформирован реестр рисков ИБ, который служит основой для риск-ориентированного подхода к управлению информационной безопасностью в банке. Кроме того, уже выстроены взаимосвязи между процессами и автоматическое формирование отчетности по различным направлениям ИБ, например, управление уязвимостями и инцидентами ИБ», — отметил Михаил Иванов, директор департамента информационной безопасности Росбанка.
Развитие sGRC реализуется agile-командой с одноимённым названием Archer. Команда была расширена дополнительными аналитиками и разработчиками из «Инфосистемы Джет».
«Был выбран формат Agile Kanban не по веянию моды, было необходимо менять хрупкие процессы итеративно, сначала привнося немного изменений и потом дотачивая каждый процесс, каждый новый функционал в системе. Как и везде, на старте не было детальной картины целевого процесса, и мы не могли себе позволить долго ждать waterfall проект, сохраняя на это время существенные риски ИБ для банка. Со временем мы стали действительно быстрыми, ориентированными на результат и гибкими – развиваясь и расширяясь. На этапе «марш броска» было необходимо быстро привлечь дополнительных профильных экспертов, в чем нам помогли партнеры», — Александр Кондратенко, Product Owner, начальник управления рисками и развития процессов информационной безопасности Росбанка.
Работая по спринтам, разные члены команды одновременно:
«С помощью решения нам также удалось сократить количество рутинных операций первой линии SOC Росбанка. Ранее при получении сообщений об инцидентах ИБ специалистам банка приходилось вручную заполнять карточки инцидентов в используемой системе обработки заявок. Теперь эта деятельность автоматизирована, а высвободившееся время специалисты могут направить на более приоритетные задачи», — отметила Анна Богданова, руководитель направлений SOC и sGRC Центра информационной безопасности компании «Инфосистемы Джет».
Сегодня платформа RSA Archer используется в Росбанке как единый инструмент для взаимодействия по большинству вопросов ИБ. Ежедневно с ее помощью принимают различные решения около 50 пользователей со стороны информационной безопасности, а всего в автоматизированные процессы ИБ вовлечено порядка 700 сотрудников банка. В дальнейших планах кредитной организации — увеличить количество охваченных платформой ИБ-процессов и масштабировать ее на смежные ИТ- и бизнес-процессы.
Внедрение sGRC-платформы класса GRC (Governance, Risk and Compliance) было предусмотрено стратегией развития информационной безопасности Росбанка, в рамках которой была создана новая процессная модель, а в качестве инструмента для выстраивания, автоматизации и измерения эффективности было выбрано решение sGRC на базе RSA Archer.
«Амбициозные цели стратегии информационной безопасности в Росбанке могут быть реализованы благодаря интеграции систем и реинжинирингу процессов с помощью sGRC. Такая многомодульная платформа позволит консолидировать сведения из различных процессов ИБ в едином интерфейсе, тем самым обеспечив их визуализацию и прозрачность для оперативного получения информации о текущем состоянии информационной безопасности. На сегодняшний день благодаря sGRC сформирован реестр рисков ИБ, который служит основой для риск-ориентированного подхода к управлению информационной безопасностью в банке. Кроме того, уже выстроены взаимосвязи между процессами и автоматическое формирование отчетности по различным направлениям ИБ, например, управление уязвимостями и инцидентами ИБ», — отметил Михаил Иванов, директор департамента информационной безопасности Росбанка.
Развитие sGRC реализуется agile-командой с одноимённым названием Archer. Команда была расширена дополнительными аналитиками и разработчиками из «Инфосистемы Джет».
«Был выбран формат Agile Kanban не по веянию моды, было необходимо менять хрупкие процессы итеративно, сначала привнося немного изменений и потом дотачивая каждый процесс, каждый новый функционал в системе. Как и везде, на старте не было детальной картины целевого процесса, и мы не могли себе позволить долго ждать waterfall проект, сохраняя на это время существенные риски ИБ для банка. Со временем мы стали действительно быстрыми, ориентированными на результат и гибкими – развиваясь и расширяясь. На этапе «марш броска» было необходимо быстро привлечь дополнительных профильных экспертов, в чем нам помогли партнеры», — Александр Кондратенко, Product Owner, начальник управления рисками и развития процессов информационной безопасности Росбанка.
Работая по спринтам, разные члены команды одновременно:
- анализировали текущие процессы, описывая их – бизнес-анализ;
- анализировали то, как их можно реализовать в системе – системный анализ;
- создавали минимально рабочие функциональные блоки в системе – разработка;
- тестировали в отдельной среде в банке, давали обратную связь по улучшению и доработке;
- переносили на продуктивную среду sGRC с описанием нового функционала и Demo для пользователей.
«С помощью решения нам также удалось сократить количество рутинных операций первой линии SOC Росбанка. Ранее при получении сообщений об инцидентах ИБ специалистам банка приходилось вручную заполнять карточки инцидентов в используемой системе обработки заявок. Теперь эта деятельность автоматизирована, а высвободившееся время специалисты могут направить на более приоритетные задачи», — отметила Анна Богданова, руководитель направлений SOC и sGRC Центра информационной безопасности компании «Инфосистемы Джет».
Сегодня платформа RSA Archer используется в Росбанке как единый инструмент для взаимодействия по большинству вопросов ИБ. Ежедневно с ее помощью принимают различные решения около 50 пользователей со стороны информационной безопасности, а всего в автоматизированные процессы ИБ вовлечено порядка 700 сотрудников банка. В дальнейших планах кредитной организации — увеличить количество охваченных платформой ИБ-процессов и масштабировать ее на смежные ИТ- и бизнес-процессы.
Новости по теме
Журнал JETINFO
В основе материалов журнала — реальный опыт и обширные знания экспертов отрасли — специалистов компании «Инфосистемы Джет», ее заказчиков и партнеров.
