ОАО «ФинансКредитБанк» (далее Банк) в соответствии с требованиями «Положения о минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых НБКР», утвержденного постановлением Правления НБКР от 15.06.2017г. №2017-П-12/25-2-(НПА) проводит выбор внешнего аудитора для проведения аудита информационной безопасности банка на 2025 год (далее ИС).

Процедуры и результаты аудита ИБ должны соответствовать минимальным требованиям, представляемым НБКР к информационному аудиту банков и проводиться сертифицированными аудиторами:

1.      Осуществить анализ и оценку соответствия информационных систем (ИС) банка требованиям: а) нормативных правовых актов Национального банка, в части информационной безопасности банка; б) внутренних политик/процедур информационных систем банка, утвержденных руководством банка.

2.      Оценить систему управления качеством ИТ-процессов и систему управления операционными рисками;

3.      Оценить систему обеспечения непрерывности деятельности ИС и планов восстановления ИС в случае чрезвычайной ситуаций;

4.      Оценить      уровень     обеспечения безопасности сети, операционных систем, приложений и баз данных, персонала и физической безопасности;

5.      Оценить систему управления доступом и распределения ролей в автоматизированных системах;

6.      Оценить уровень осведомленности персонала банка в области информационной безопасности;

7.      Оценить степень защищенности информационных систем и оборудования в филиалах/сберкассах;

8.      Оценить      систему     управления доступом и распределения ролей в автоматизированных системах. В том числе АБС, SWIFT, VISA, Элкарт, Интернет банкинг.

9.      Оценить уровень осведомленности персонала банка в области информационной безопасности при работе с информационными активами; Рассмотрение вопросов соблюдения требований законодательства в отношении прав интеллектуальной собственности и правил использования лицензионных программных продуктов;

10.  Анализ бюджета ИС, для разработки рекомендаций по инвестициям в ИС и информационной безопасности (аппаратное и программное обеспечение).

11.  Оценить уровень защиты важной информации: шифрование данных (сокрытие данных по картам клиентов банка) и предотвращение утечек, управление неструктурированными данными (например, видео- и аудиозаписи), использование защищенных протоколов обмена с третьими лицами, использование многофакторной аутентификации, использование сертификатов безопасности; 

12.  Оценить уровень безопасности инфраструктуры: оценка обеспеченностью серверными и сетевыми ресурсами, оценка защиты виртуальных ресурсов и комплексной защиты от направленных атак, проверка наличия установки актуальных версий операционных систем и патчей безопасности, наличие использования банком внешних облачных ресурсов и другие; 

13.  Оценить уровень мониторинга: оценка управления инцидентами и цифровыми расследованиями инцидентов, анализ управления учетными записями и удаленным доступом к инфраструктуре, контроль привилегированных пользователей, анализ полноты логов систем для цифровых расследований; 

14.  Оценить уровень защиты от взломов и мошенничества: использование anti-fraud систем, защита от DDoS-атак и sql-инъекций, использование нагрузочных тестов на отказ в обслуживании, защита систем от межсайтового скриптинга и другие; 

15.  Оценить уровень защиты приложений и баз данных: оценка защищенности баз данных, оценка мер безопасности программного кода приложений банка и использование автоматизированных инструментов проверки уязвимости кода, таких как статический и динамический анализаторы (SAST и DAST), в том числе мобильного и интернет-банкинга, в случае наличия в банке внутренней разработки программного обеспечения; 

16.  Оценить уровень сетевой безопасность: оценка топологии сети на предмет выделения подсети с серверами, POS-терминалами и банкоматами, подсети администрирования для привилегированных пользователей, наличия dmz-зон, наличия актуальных версий операционных систем и патчей безопасности; изучение полноты настроек систем предотвращения сетевых вторжений и сетевых аномалий; наличие межсетевых экранов и сканеров безопасности с актуальными подписками. 

В связи с чем, просим Вас в срок до 11 октября 2024 года направить:

1.      Финансовое (коммерческое) предложение о стоимости услуг по аудиту ИС банка.

2.      Список ФКУ и других организаций, аудит ИС которых осуществляла Ваша компания за последние 3 года.

3.      Предложения, включающие планируемый масштаб аудиторской проверки, период проверки, а также отчеты которые планируется подготовить.

4.      Номер и дату получения лицензии, срок действия и кем выдан.

5.      Юридический адрес, телефон Ф.И.О. руководителя аудиторской компании.

6.      Список (ФИО) аудиторов компании, которые будут участвовать в аудите информационных систем Банка и копии их сертификатов (CISA, CISM и т.д.).

Надеемся на долгосрочное сотрудничество с Вашей аудиторской компанией.

По всем вопросам обращаться к Джумагулову Чынгызу - начальнику Службы внутреннего аудита по тел.: (0312) 440 440 (внутр. 214). e-mail: fkb@fkb.kg.