ПРЕСС-РЕЛИЗ
Алматы
15 марта 2010 года
Нурбанк получил свидетельство о соответствии международному стандарту безопасности платежных карт PCI DSS v. 1.2. (Attestation of Compliance), тем самым, сделав очередной шаг на пути к созданию комплексной системы обеспечения информационной безопасности, соответствующей лучшим мировым образцам.
Проект по подготовке и сертификации Нурбанка был проведен российской компанией PACIFICA совместно с корпорацией IBM.
Таким образом, Нурбанк стал первым в Казахстане, и одним из нескольких в России и странах СНГ банком, достигшим столь высокого уровня в обеспечении безопасности данных платежных карт своих клиентов.
Примечательно, что, несмотря на значительный объем работ, проект подготовки информационной системы банка к прохождению сертификации был реализован всего за 6 месяцев и включал в себя три этапа. На первом этапе QSA-аудитором (IBM) был проведен предварительный анализ состояния системы обеспечения безопасности данных платежных карт, составлен отчет о найденных недостатках с указанием рекомендаций и разработан детальный план их устранения. Как отметил Советник Председателя Правления по информационным технологиям Андрей Чучелов, «уже сам процесс подготовки к сертификации имел для банка огромную ценность — он показал те „подводные камни“ в организационных, регламентных вопросах, в эксплуатации информационных систем, настройках телекоммуникационного и системного программного обеспечения, которые, к сожалению, зачастую становятся явными только после того, как какой-либо инцидент уже произошел».
На втором этапе специалистами PACIFICA совместно со специалистами Нурбанка был проведен комплекс мероприятий по приведению информационной инфраструктуры в соответствие требованиям стандарта PCI DSS, в результате которого был разработан пакет внутренних регламентирующих документов, произведена установка средств мониторинга и анализа событий, сканера безопасности и системы обнаружения вторжений. Также были реализованы необходимые меры защиты бизнес-процессов банка и проведен тест на проникновение.
На третьем этапе прошел сертификационный аудит, по результатам которого не было выявлено ни одного несоответствия требованиям стандарта, и банк заслуженно получил сертификат PCI DSS Compliance.
Немаловажно, что в рамках данного проекта банк не только повысил уровень безопасности своих информационных систем, но и смог оптимизировать работу по технологическому обеспечению процессинга.
По словам г-на Чучелова, получение сертификата соответствия требованиям PCI DSS изначально не было для банка самоцелью. В течение последних 3-х лет банк целенаправленно и активно развивал направление информационной безопасности. Это было обусловлено, во-первых, подготовкой и выводом на рынок новых технологичных продуктов для клиентов банка, связанных с использованием интернет и мобильных технологий. Во-вторых, в рамках повышения уровня технологичности банка, развития его информационно-технического комплекса — что неоднократно озвучивалось банком как одно из приоритетных направлений — аспект информационной безопасности являлся и является одним из самых важных для банка.
«Получение банком статуса PCI DSS Complied я считаю закономерным промежуточным итогом, подтверждающим высокий уровень развития как системы информационной безопасности, так и всего информационно-технического комплекса банка. Промежуточным, потому что информационная безопасность — это не состояние, это процесс, который требует постоянного развития и контроля», — подчеркнул г-н Чучелов.