Анализ локальных актов ПАО "Сбербанк", их значение в обеспечении экономической безопасности

ПАО «Сбербанк России» обладает уникальной филиальной сетью: в настоящее время в нее входят 17 территориальных банков и более 20 000 подразделений по всей стране. Дочерние банки Сбербанка России работают в Республике Казахстан и на Украине. Публичное акционерное общество «Сбербанк России» является крупнейшим российским банком и среди них занимает 1 место по активам–нетто. Сегодня ПАО «Сбербанк России», как один из участников рынка занимает лидирующую позицию в российской банковской сфере, так на 01 Августа 2016 г. величина активов– нетто банка ПАО «Сбербанк России» составила 23154.63 млрд. руб.

Руководство Банка несет ответственность за составление и достоверность годовой бухгалтерской (финансовой) отчетности в соответствии с установленными в Российской Федерации правилами составления годовой бухгалтерской (финансовой) отчетности и за систему внутреннего контроля, необходимую для составления годовой бухгалтерской (финансовой) отчетности, не содержащей существенных искажений вследствие недобросовестных действий или ошибок [8].

Важнейшими направлениями работы ПАО «Сбербанк России» в области безопасности остаются: обеспечение информационной безопасности, противодействие преступным посягательствам на устройства самообслуживания, противодействие мошенничеству с использованием поддельных документов, обеспечение физической охраны объектов Банка.

В целях организации обработки персональных данных, в Банке определены должностные лица, ответственные за процессы обработки персональных данных.

Изданы и введены в действие внутренние нормативные документы, определяющие политику Банка в отношении обработки персональных данных, а также устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений:

• - Политика обработки персональных данных в ПАО «Сбербанк

  России» от 29.04.2014 №3324;

• - Политика информационной безопасности Сбербанка России от

  23.11.2006 №1370-2-р;

• -    Положение о порядке обработке и защите прав субъектов персональных данных в части организации управления персоналом ОАО «Сбербанк России» от 04.02.2013 №2749;

• -    Регламент работы с коммерческой тайной ПАО «Сбербанк России» от 25.03.2014 №227-3-р;

• -    Порядок обеспечения безопасности информационных технологий в Сбербанке России от 28.12.2001 № 875-р;

• -    Порядок управления процессами обеспечения безопасности в ИТ инфраструктуре Сбербанка России от 12.01.2006 от 1410-р.

Конкретные требования по обеспечению безопасности персональных данных, детализированы во внутренних нормативных документах более низкого уровня, определяющих порядок и правила обработки персональных данных в частных банковских процессах и процедурах. К документу, определяющему политику Банка в отношении обработки персональных данных обеспечен неограниченный доступ. Политика Банка в отношении обработки персональных данных опубликована на официальном сайте ПАО Сбербанк в разделе: О банке / Показатели деятельности / Устав и иные внутренние документы, регулирующие деятельность органов АО.

Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных» реализованы в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, содержащей коммерческую, банковскую тайну и персональные данные [5].

В частности, Банком реализованы следующие меры:

• -    определены угрозы безопасности персональных данных при их обработке в автоматизированных банковских системах и произведена оценка их актуальности. Разработана Модель угроз и нарушителя безопасности персональных данных;

• -    для каждой автоматизированной банковской системы в протоколах аттестации автоматизированных систем определены категории обрабатываемой информации, определен перечень средств вычислительной техники, входящих в состав вычислительного комплекса и перечень помещений, в которых размещаются указанные средства вычислительной техники, установлены уровни защищенности информационных систем персональных данных;

• -    в целях нейтрализации актуальных угроз безопасности обеспечено применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

• -    учет машинных носителей информации осуществляется в конфиденциальном делопроизводстве, в соответствии с Порядком работы в Сбербанке России с документами,

содержащими   конфиденциальную   информацию.    При

• осуществлении учета носители информации маркируются;

• - порядок и правила доступа к информационным системам и информационным ресурсам определены Технологическим регламентом организации доступа пользователей к автоматизированным системам и информационным ресурсам.

Доступ к информационным системам и информационным ресурсам предоставляется на основании оформленных установленным порядком заявок на допуск к информационным ресурсам (реализован принцип легитимности полномочий). Применяемые средства защиты и мониторинга безопасности исключают возможность доступа сотрудников служб безопасности непосредственно к критичной банковской информации (реализован принцип пассивности контроля).

Регистрация и учет действий, совершаемых с персональными данными в информационных системах, осуществляются в соответствии с Требованиями по обеспечению информационной безопасности в автоматизированных банковских системах Сбербанка России и реализованы подсистемами журналирования и аудита автоматизированных банковских систем.

Оценка достаточности и эффективности принимаемых мер по обеспечению безопасности персональных данных осуществляется при проведении приемо–сдаточных испытаний в соответствии с «Порядком проведения приемо–сдаточных испытаний автоматизированных систем» от 17.09.2002  №845-2-р, до ввода информационных систем в промышленную эксплуатацию. Результаты приемо-сдаточных испытаний оформляются актами.

Контроль состояния системы обеспечения безопасности информационных технологий и соответствия установленного уровня защищенности осуществляется исполнительными органами системы обеспечения безопасности. В рамках реализации мер контроля защищенности информационной инфраструктуры, применяется инструментальный контроль защищенности и тестирование на проникновение [5].

В 2016 году была продолжена работа по дальнейшему совершенствованию защиты денежных средств и ценностей Банка за счет внедрения новых технических средств охраны, специального оборудования и повышения технической укрепленности объектов. Системами охранно–пожарной и тревожной сигнализации оснащены 99,7 %, а телевизионными системами видеоконтроля – 86 % ВСП и иных объектов недвижимости Банка. Охранной сигнализацией оборудовано 97 % устройств самообслуживания. К центрам мониторинга подключено более 3,7 тыс. ВСП и 22 тыс. устройств самообслуживания.

В результате предпринятых усилий по оборудованию устройств самообслуживания охранной сигнализацией с подключением на пульты централизованной охраны и обеспечения эффективного времени реагирования групп задержания по сигналам тревоги за 2016 год предотвращено 555 из 650 преступных посягательств, общий объем нереализованных рисков превысил 1 300 млн руб. Охраняющими организациями, прибывшими на места происшествий по сигналам «тревога» от сигнализации банкоматов, задержано 190 злоумышленников.

Отличительной чертой 2016 года стал почти троекратный рост случаев подрывов сейфов УС, причем инциденты со взрывами отмечены во всех регионах. Снижения потерь от взрывов устройств удалось достигнуть за счет внедрения активных средств защиты – газоанализаторов, парогенераторов, светозвуковых сирен. В 2016 году в восьми случаях срабатывание газоанализаторов, смонтированных с сиренами и парогенераторами, позволило предотвратить хищение 37,5 млн руб. при общем объеме потерь от взрывов 42 млн руб. за год [7].

Среди недавно принятых законов, большую роль в развитии информационной безопасности банковских систем сыграл Федеральный закон от 27 июня 2011 года 161-ФЗ «О национальной платежной системе», вступивший в силу в марте 2015 года, который регламентирует деятельность по переводу денежных средств. Безусловно, к банкам представляется большое количество требований и рекомендаций по обеспечению информационной безопасности. Например, постановления Центрального банка Российской Федерации, различные стандарты: стандарт СТО БР ИББС-1.0-2006, СТО БР ИББС-1.0-2014, которые посвящены управлению информационной безопасностью банка, международные стандарты, требования Basel II; требования международных платежных систем и т.д. [4, с. 216]

В связи с усилением защиты банковской информации разработан настоящий стандарт по обеспечению информационной безопасности организаций банковской системы Российской Федерации. Разработанный стандарт является основным для развивающей и обеспечивающей его группы документов в области стандартизации по обеспечению информационной безопасности организаций банковской системы России.

В настоящее время безопасность ПАО «Сбербанк» обеспечивается на основе отечественных нормативных требований отраслевых стандартов Центрального банка Российской Федерации СТО БР ИББС -1.0-2014. Данный стандарт принят и введен действие Распоряжением Банка России от 17 мая 2014 года. Согласно данному стандарту выделяются основные требования к гарантированию безопасности, предоставляются определенные списки мер информационной безопасности в связи с назначением и разделением ролей и установлением доверия к сотрудникам банка, при регулировании доступа и регистрации клиентов, при применении источников сети Интернет и средств криптографической безопасности информации, а также при обработке персональных данных и т.д. [2]

Техническая защита персональных данных и другой защищаемой информации осуществляется в соответствии с требованиями Положения Банка России от 9 июня 2012 г. № 382-11 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств центральный банк Российской Федерации» и Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», предъявляемых к ИСПДн первого уровня защищенности.

Подразделениями информационной безопасности внедрены технологии выявления мошеннических операций, которые за 2016 год выявили и пресекли 25 попыток хищения средств юридических и свыше 154 тыс. попыток хищения средств физических лиц, предотвратив общий ущерб на сумму более 2,8 млрд руб.

По итогам 2016 года подразделениями экономической безопасности в правоохранительные органы было направлено 3,6 тыс. заявительских материалов об уголовном преследовании лиц, совершивших преступления против Банка, возбуждено 1,4 тыс. уголовных дел, осуждено 270 лиц.

Сумма предотвращенного потенциального ущерба в результате отказа в выдаче кредитов корпоративным клиентам в связи с выявлением негативной информации, фактов предоставления клиентами фиктивных документов превышает 110,3 млрд руб.

За отчетный период выявлено более 27 тыс. поддельных, суррогатных и умышленно поврежденных/составных купюр.

С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке.

Для увеличения экономической безопасности ПАО «Сбербанк России» концентрируется на выборе персонала, периодически организовывает инструктажи по безопасности. В контрактах ПАО «Сбербанк России» отчетливо выделены персональные требования, функции к персоналу, а также ответственность за различные нарушения, так как в большинстве случаев именно он существенно влияет на информационную безопасность банка. Также, в деятельности Сбербанка широкое распространение получает введение в служебных документах грифа секретности и назначение увеличения суммы оклада для соответствующих категорий персонала. [3]

Таким образом, за последние 20 лет произошли существенные изменения в сфере информационной безопасности банковских систем. Однако, с огромной ролью информационных технологий в жизни общества, появляется всё большая необходимость в безопасности, так как риски и угрозы воздействия на информационную безопасность постоянно растут. В планах ПАО «Сбербанк России» – расширить зоны охвата и усилить работу центров мониторинга и удаленных постов видеоконтроля, включая контроль «зон 24» в ночное время; активно противодействовать взломам УС методом подрыва (дооснастить зоны УС газоанализирующим оборудованием, генераторами тумана, звуковыми сиренами); совершенствовать договорные отношения с охраняющими организациями.

При наступлении инцидентов информационной безопасности существенно увеличивается риск и вероятность нанесения ущерба организациям банковской системы Российской Федерации. Следовательно, для организаций банковской сферы Российской Федерации данные угрозы являются очень опасными.