Банк "Викинг" усилил защиту ИТ-инфраструктуры с помощью "СёрчИнформ SIEM"

Банк "Викинг" внедрил "СёрчИнформ SIEM" для повышения прозрачности процессов в ИТ-инфраструктуре. Система помогает управлять событиями информационной безопасности в режиме реального времени, выявлять инциденты ИБ и оперативно реагировать на них. SIEM-систему развернули в 2024 году после завершения пилотного проекта.

В выборе ИБ-решения специалисты банка ориентировались на следующие параметры: большое количество предустановленных коннекторов для интеграции с различными элементами ИТ-инфраструктуры, готовые правила корреляции, а также своевременная техническая поддержка.

"Мы стремимся максимально защитить данные клиентов и соблюдать требования к безопасности, выдвигаемые регуляторами. Поэтому при выборе SIEM-системы рассматривали только те продукты, которые входят в реестр отечественного ПО и соответствуют ГОСТ Р 57580.1-2017 о безопасности финансовых операций, – рассказывает Сергей Поветкин, начальник отдела ИБ Банка "Викинг". – Мы протестировали несколько решений отечественных вендоров. В результате выбор сделали в пользу "СёрчИнформ SIEM". Нас устроило, что в системе есть все необходимые функции "из коробки", поддержка нестандартных коннекторов. Так, сразу после внедрения высветились проблемы учета пользователей в Active Directory (AD) организации. Простые пароли были некорректно настроены, нашли "забытые" учетные записи. Начали наводить порядок именно с этой задачи".

Заказчик оценил встроенный функционал SIEM-системы – запуск автоматических реакций на инциденты ИБ. Например, ИБ-специалист может прописать различные сценарии действий, которые SIEM запустит для устранения угрозы. К примеру, поможет заблокировать скомпрометированную учетную запись во всех средах. Все это облегчает выполнение рутинных задач.

"Изначально мы разрабатывали SIEM "коробочной", и большинство предварительной работы взяли на себя. Система поставляется с набором готовых правил корреляции. Их более 500. Чтобы они заработали, достаточно подключить источники данных.

Также для адаптации "СёрчИнформ SIEM" под нужды компании заказчику не нужен доступ к ее коду и команда программистов. Один-два сотрудника могут оперативно выявлять инциденты и реагировать на них, обеспечивать защиту корпоративной сети. При этом система легко масштабируется, включая возможность работы в составе SOC", – комментирует Павел Пугач, системный аналитик "СёрчИнформ".

"СёрчИнформ SIEM" сертифицирована ФСТЭК и внесена в Единый реестр российских программ для электронных вычислительных машин и баз данных. SIEM-система позволяет выполнять требования защиты информационных систем государственных и коммерческих организаций, установленные требованиями ФСТЭК.