УБРиР является одним из 25 крупнейших банков РФ и входит в список значимых кредитных организаций на рынке платежных услуг, составленный ЦБ РФ. Для соответствия требованиям регуляторов (ФСТЭК и Банка России) заказчику необходимо обеспечивать безопасность конфигураций ПО в своей ИТ-инфраструктуре. Кроме того, как и любое финансовое учреждение, УБРиР уделяет повышенное внимание практической информационной безопасности, прежде всего, защите конфиденциальных сведений и сохранности персональных данных своих клиентов. Злоумышленники все чаще используют некорректные настройки ПО для взлома и атак на ИТ-инфраструктуры, и эффективный контроль за безопасностью конфигураций ресурсов, используемых в организации, требует значительных финансовых затрат и привлечения высококвалифицированных кадров.
Внедрение решения X-Config позволило УБРиР выстроить постоянный автоматизированный процесс управления безопасностью конфигураций системного и прикладного программного обеспечения, критически значимого для основных бизнес-процессов банка, в первую очередь, российских операционных систем и ОС семейства Windows.
X-Config отслеживает соответствие всей ИТ-инфраструктуры заказчика обязательным требованиям регуляторов, а также лучшим общепризнанным практикам безопасного конфигурирования. Система проводит инвентаризацию контролируемых ресурсов, проверяет их по настроенному сценарию, автоматически расставляет приоритеты для ликвидации выявленных несоответствий и отслеживает их устранение. Информативные отчеты предоставляют ИБ-специалистам возможность отфильтровать наиболее критичные уязвимости конфигураций и привести их в соответствие политике в первую очередь, а механизм гибкого профилирования позволяет формировать собственные корпоративные политики безопасной настройки ПО.
В результате внедрения X-Config заказчик получил эффективный инструмент управления безопасностью конфигураций своего программного обеспечения, что позволило значительно снизить риски информационной безопасности, существенно сократить трудозатраты сотрудников ИБ-службы, а также выполнить требования регуляторов и отраслевых стандартов для финансовых организаций.
В рамках развития проекта планируется масштабирование системы, расширение перечня прикладного программного обеспечения, защищаемого X-Config, а также обеспечение контроля безопасности конфигураций сетевых устройств. Кроме того, на основе бизнес-требований заказчика ведется разработка специальных стандартов безопасного конфигурирования для решения задач, выходящих за пределы базовой функциональности X-Config. Эти стандарты появятся в очередном релизе продукта и будут подгружены в систему банка в ходе обновлений.
«Сталкиваясь с требованиями регулярного отслеживания состояния конфигураций на предмет их уязвимостей, в определенный момент мы осознали сложность осуществления этого контроля вручную, т.к. процесс требовал все больших ресурсов ИТ и ИБ-специалистов. Проведя анализ рынка, мы остановили свой выбор на решении X-Config как наиболее подходящем нам с точки зрения архитектуры и индивидуального подхода компании Spacebit к нашим требованиям», - отмечает Вице-президент по информационной безопасности ПАО КБ «УБРиР» Александр Падерин
«Тема информационной безопасности в финансовых организациях является одной из ключевых, и заказчики из этой отрасли в первую очередь осознают важность контроля за конфигурациями ПО, уязвимости которых предоставляют кибермошенникам дополнительные возможности для атак на критически важную инфраструктуру. Благодаря эффективному взаимодействию с командой заказчика нам удалось внедрить X-Config в банке в кратчайшие сроки и получить ценные рекомендации, которые уже учтены в ближайших планах развития продукта», - комментирует Вячеслав Трембицкий, коммерческий директор Spacebit