Данные Тинькофф Кредитные Системы под защитой Инфосистемы Джет

Банк «Тинькофф Кредитные Системы» (ТКС Банк) и компания «Инфосистемы Джет» сообщают о создании системы мониторинга высококритичных баз данных и защиты от несанкционированного доступа к ним на базе технологий Imperva. Аудит запросов сотрудников банка к базе данных, содержащей конфиденциальную информацию, ведется в режиме 24х7.

Система позволяет идентифицировать конечных пользователей приложений и накапливать статистическую информацию, необходимую для дальнейшего расследования инцидентов информационной безопасности (кто, с какой периодичностью обращается к базам данных, насколько обоснованы предпринимаемые действия).

ТКС Банк является инновационным онлайн-провайдером в сфере финансовых услуг, а также единственным в России полностью дистанционным банком, который работает через высокотехнологичную платформу без розничных отделений. Все клиенты ТКС Банка обслуживаются исключительно через каналы дистанционного банковского обслуживания. Сотрудники центра обслуживания клиентов банка (свыше 1000 чел.) имеют доступ к высококритичной клиентской и финансовой информации и обрабатывают до 4000 клиентских заявок в день. Такой объем транзакций переводит обеспечение безопасности финансовых операций, автоматизацию процессов аудита и контроль действий сотрудников с привилегированными правами доступа к информационным системам в число ключевых задач банка. Партнером проекта стала компания «Инфосистемы Джет», обладающая глубокой экспертизой в применении технологий Imperva.

По итогам аудита эксперты интегратора выделили объект защиты – сегмент ИТ-инфраструктуры банка, в который вошли автоматизированная система CRM, а также сопряженные с ней базы данных и системы управления. Также были сформированы функциональные и структурные требования к создаваемой системе мониторинга, в которую вошли  высокопроизводительные балансировщики сетевого трафика, шлюзы мониторинга запросов к СУБД, серверы управления Imperva и система хранения данных аудита.

Помимо этого, были настроены политики безопасности, предназначенные для контроля запросов к данным, несанкционированных изменений прав доступа, выполнения пользователями привилегированных команд, доступа к данным о держателях платежных карт и т.д. Разработан ряд настроек безопасности, учитывающих специфические требования банка. В частности, обеспечены аудит обращений сотрудников центра обслуживания клиентов банка к данным о кредитных лимитах, контроль доступа к сведениям о депозитах, фиксация сведений об экспорте данных и т.д.