БАСПАСӨЗ ХАБАРЛАМАСЫ
Алматы
2010 жылғы 15 наурыз
Нурбанк халықаралық төлем карталарының қауіпсіздік стандартына сәйкес келетіндігі туралы PCI DSS v. 1.2 сәйкестік куәлігін алды. Бұл қадам ақпараттық қауіпсіздік жүйесін әлемдік деңгейде қамтамасыз етуге бағытталған тағы бір қадам болды.
Нурбанкты дайындау және сертификаттау жобасы Ресейдің PACIFICA компаниясымен және IBM корпорациясымен бірлесіп жүзеге асырылды.
Осылайша, Нурбанк Қазақстанда бірінші болып және Ресей мен ТМД елдерінде бірнеше банк арасында өз клиенттерінің төлем карталарының қауіпсіздігін қамтамасыз етуде осындай жоғары деңгейге жетті.
Айта кету керек, үлкен көлемдегі жұмыстарға қарамастан, банктің ақпараттық жүйесін сертификаттауға дайындау жобасы небәрі 6 ай ішінде жүзеге асырылды және үш кезеңнен тұрды. Бірінші кезеңде QSA-аудитор (IBM) төлем карталары деректерінің қауіпсіздік жүйесінің жағдайын алғашқы талдауды жүргізді, табылған кемшіліктер туралы есеп жасап, оларды жоюдың егжей-тегжейлі жоспарын жасады. Нурбанк басқарма төрағасының кеңесшісі Андрей Чучелов атап өткендей, «сертификаттауға дайындық процесі банктің ұйымдық және нормативтік мәселелердегі, ақпараттық жүйелерді пайдалану, телекоммуникациялық және жүйелік бағдарламалық жасақтаманы орнату саласындағы «жасырын мәселелерді» көрсетіп, үлкен құндылыққа ие болды, олар, өкінішке орай, қандай да бір оқиға орын алғаннан кейін ғана айқын байқалады».
Екінші кезеңде PACIFICA мамандары Нурбанк мамандарымен бірлесіп, ақпараттық инфрақұрылымның PCI DSS стандарты талаптарына сәйкес келуін қамтамасыз ету үшін кешенді шаралар өткізді, нәтижесінде ішкі реттеуші құжаттардың пакеті әзірленді, оқиғаларды бақылау және талдау құралдары, қауіпсіздік сканері және басып кіру анықтау жүйесі орнатылды. Сондай-ақ банктің бизнес-процестерін қорғауға қажетті шаралар жүзеге асырылып, ену сынағы жүргізілді.
Үшінші кезеңде сертификаттау аудиті өтіп, оның қорытындылары бойынша стандарттың талаптарына сәйкес келмеушілік анықталмады, сондықтан банк PCI DSS сәйкестігін лайықты түрде алды.
Осы жобаның аясында банк өз ақпараттық жүйелерінің қауіпсіздік деңгейін арттырып қана қоймай, сонымен қатар процессингті технологиялық қамтамасыз ету жөніндегі жұмыстарды оңтайландыра алды.
Чучелов мырзаның айтуынша, PCI DSS талаптарына сәйкестік сертификатын алу бастапқыда банктің жоғарғы мақсаты болмады. Соңғы 3 жыл ішінде банк ақпараттық қауіпсіздік саласын мақсатты және белсенді түрде дамытты. Бұл, бірінші кезекте, банк клиенттеріне арналған жаңа технологиялық өнімдерді интернет пен мобильді технологияларды пайдалана отырып, нарыққа шығару үшін дайындыққа байланысты болды. Екіншіден, банктің технологиялық деңгейін арттыру, оның ақпараттық-техникалық кешенін дамыту аясында ақпараттық қауіпсіздік аспектісі банк үшін ең маңызды бағыттардың бірі ретінде бірнеше рет айтылды.
«Мен банктің PCI DSS статусы сертификатын алуын ақпараттық қауіпсіздік жүйесі мен банктің бүкіл ақпараттық-техникалық кешенінің дамуының жоғары деңгейін растайтын заңды аралық нәтиже деп санаймын. Аралық нәтиже, өйткені ақпараттық қауіпсіздік - бұл состояние емес, бұл үнемі даму мен бақылауды қажет ететін процесс», — деп атап өтті Чучелов мырза.