Преподаватель который помогает студентам и школьникам в учёбе.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Содержание:

ВВЕДЕНИЕ

На сегодняшний момент трудно представить себе жизнь без компьютера, телефона или любого подобного гаджета. В январе этого года количество пользователей интернета в мире достигло 4,021 миллиарда человек, и каждый из них привносит во всемирную паутину огромное количество информации. Однако не каждый бит информации должен становиться достоянием общественности.

Актуальность данной работы связана с постоянным ростом роли информации не только в жизни одного человека, но и в работе предприятий, их безопасности и успешного функционирования.

Цель данной работы - рассмотреть особенности информационной безопасности на предприятии, проанализировать организацию защиты информации в ПАО «Сбербанк» и сформулировать предложения по совершенствованию способов информационной защиты.

Для достижения поставленной цели решались следующие задачи:

изучить теоретические аспекты информационной безопасности на предприятии, раскрыв её понятие, цели, задачи и принципы
рассмотреть сущность и содержание информационной безопасности предприятии;
провести анализ особенностей обеспечения информационной безопасности ПАО «Сбербанк»;
предложить ряд мероприятий по оптимизации защиты информации в ПАО «Сбербанк» и оценить затраты, необходимые на их реализацию .

Объект исследования - ПАО «Сбербанк».

Предмет исследования - организация защиты информации ПАО «Сбербанк».

«Сбербанк» — российский финансовый конгломерат, крупнейший транснациональный и универсальный банк России, Центральной и Восточной Европы. Контролируется Центральным банком Российской Федерации, которому принадлежат более 52 % акций. Предоставляет широкий спектр банковских услуг. Является крупнейшим в России банком по объёмам операций с физическими лицами.

Теоретической и методологической основой работы послужили научные труды, а также учебные пособия, в основном, российских специалистов, писавших на разные темы, тесно связанные с вопросами информационной безопасности, таких авторов как, Бабаш А.В., Баранова Е.К., Родичев Ю.А. и др.

Исследование в работе проводилось с применением общих методов научного познания: наблюдения, сравнения, анализа и синтеза, использовавшихся при получении и обработке информации из интернет-ресурсов и специализированной литературы. Также был задействован эмпирический метод при изучении электронного документа в ПАО «Сбербанк».

Помимо научной и учебной литературы в рамках работы использовались законодательные и нормативные документы Российской Федерации.

Структура работы. Работа состоит из введения, трех разделов, заключения, списка использованных источников.

Во введении обосновывается актуальность темы работы, определяются цель и задачи исследования, предмет и объект исследования, краткая характеристика работы, включая краткое содержание всех разделов.

В первом разделе много внимания уделено понятию информационной безопасности, её целям, задачам и принципам.

Раскрываются различные виды угроз информационной безопасности, а также существующие пути защиты.

Во втором разделе приводится описание деятельности компании ПАО «Сбербанк» и организационной структуры организации. Также проанализована система защиты информации предприятия.

В третьем разделе приведены рекомендации по выбору системы информационной защиты, наиболее подходящей для компании ПАО «Сбербанк». В конце раздела даны рекомендации по совершенствованию защиты информации предприятия и оценены затраты и экономическая эффективность их внедрения.

В заключении изложены выводы и основные результаты исследования.

ГЛАВА 1 ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕОРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Цели, задачи и принципы информационной безопасности

Согласно ст. 16 ФЗ от 27.07.2006 N 149-ФЗ (ред. от 23.04.2018) "Об информации, информационных технологиях и о защите информации", защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного

доступа, уничтожения, модифицирования, блокирования,

копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации

ограниченного доступа;

реализацию права на доступ к информации [1].

Анализ Ст. 16 указанного Закона показывает, что:

деятельность по защите информации применима ко всем категориям информации, описанной в Ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;
выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;
государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за ответственности за нарушение информационного законодательства;
основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;
для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;
федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля (например, лицензирование деятельности) [2, стр, 21].

Помимо этого, информационная безопасность также имеет свои цели, задачи и принципы.

Под целями защиты информации понимают:

предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

Для достижения целей защиты должны эффективно решаться следующие задачи:

защита от вмешательства в процесс функционирования предприятия посторонних лиц;
защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;
обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;
обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;
регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;
своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;
анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;
обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;
создание и формирование целенаправленной политики безопасности информации предприятия [3].

Также информационная безопасность должна строго

подчиняться некоторым важным принципам:

Простота использования информационной системы.

Данный принцип информационной безопасности заключается в том, что минимизации ошибок следует из обеспечения простого использования информационной системы. Во время эксплуатации информационных систем пользователи и администраторы совершают непреднамеренные ошибки, некоторые из которых могут вести к невыполнению требований политик безопасности и снижению уровня информационной безопасности. Чем более сложны, запутанны и непонятны для пользователей и администраторов совершаемые ими операции, тем больше ошибок они совершают. При этом следует помнить, что данный принцип не означает простоту архитектуры и снижение функциональности информационных систем.

Контроль над всеми операциями.

Этот принцип подразумевает непрерывный контроль состояния информационной безопасности и всех событий, влияющих на безопасность информации. Необходим контроль доступа к любому объекту ИС с возможностью блокировки потенциально вредоносных действий и быстрого восстановления нормальных параметров информационной системы.

Запрещено всё, что не разрешено.

Этот принцип ИБ заключается в том, что доступ к какому- либо объекту информационной системы должен предоставляться только при наличии соответствующего правила, отраженного, например, в регламенте бизнес-процесса или настройках защитного программного обеспечения. При этом основной функцией системы ИБ является разрешение, а не запрещение каких-либо действий. Данный принцип позволяет допускать только известные безопасные действия, а не заниматься распознаванием любой угрозы, что очень ресурсоёмко, невозможно в полной мере и не обеспечивает достаточный уровень ИБ.

Открытая архитектура информационных систем.

Этот принцип информационной безопасности состоит в том, что безопасность не должна обеспечиваться через неясность. Попытки защитить информационную систему от компьютерных угроз путем усложнения, запутывания и скрытия слабых мест информационных систем оказываются в конечном итоге несостоятельными и только отсрочивают успешную хакерскую, вирусную или инсайдерскую атаку.

Разграничение доступа.

Данный принцип ИБ заключается в том, что каждому пользователю предоставляется доступ к информации и её носителям в соответствии с его полномочиями. При этом исключена возможность превышения полномочий. Каждой роли/должности/группе пользователей можно назначить свои права на выполнение действий (чтение/изменение/удаление) над определёнными объектами ИС.

Минимальные привилегии.

Данный принцип состоит в выделении пользователю наименьших прав и доступа к минимуму необходимых функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать выполнению работы.

Достаточная стойкость.

Этот принцип информационной безопасности выражается в том, что потенциальные злоумышленники должны встречать препятствия в виде достаточно сложных вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров неадекватно больших промежутков времени и/или вычислительных мощностей.

Минимум идентичных процедур.

Этот принцип информационной безопасности состоит в том, что в системе ИБ не должно быть общих для нескольких пользователей процедур, таких как ввод одного и того же пароля. В этом случае масштаб возможной хакерской атаки будет меньше.

Среди основных условий организационной защиты информации можно выделить следующие:

непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению её эффективности;
неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации [4, стр. 13].

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии.

Существует множество передовых методов обеспечения безопасности ИТ, которые относятся к определенным отраслям или предприятиям, но некоторые из них применяются в широком смысле.

а) Защита баланса с помощью утилиты

Компьютеры в офисе могут быть полностью защищены, если все модемы были вырваны, а всех выгнали из комнаты, - но тогда они никому не будут полезны. Вот почему одна из самых больших проблем в области безопасности ИТ - это найти баланс между доступностью ресурсов и конфиденциальностью и целостностью ресурсов.

Вместо того, чтобы пытаться защитить от всех видов угроз, большинство ИТ-отделов сосредоточиваются на изоляции самых важных систем в первую очередь, а затем на поиске приемлемых способов защиты остальных, не делая их бесполезными. Некоторые из систем с более низким приоритетом могут быть кандидатами на автоматизированный анализ, так что наиболее важные системы остаются в центре внимания.

б) Разделить пользователей и ресурсы

Чтобы система информационной безопасности работала, она должна знать, кому разрешено видеть и делать определенные вещи. Например, кому-то в бухгалтерском учете не нужно видеть все имена в клиентской базе данных, но ему может потребоваться увидеть цифры, выходящие из продаж. Это означает, что системному администратору необходимо назначить доступ по типу работы человека и, возможно, потребуется дополнительно уточнить эти ограничения в соответствии с организационными разделениями. Это позволит гарантировать, что главный финансовый директор в идеале сможет получить доступ к большему количеству данных и ресурсов, чем младший бухгалтер.

Тем не менее, ранг не означает полный доступ. Генеральному директору компании может потребоваться больше данных, чем другие люди, но он автоматически не нуждается в полном доступе к системе. Это подводит нас к следующему пункту.

в) Назначение минимальных привилегий

Лицу должны быть назначены минимальные привилегии, необходимые для выполнения его обязанностей. Если обязанности человека изменяются, то и привилегии. Назначение минимальных привилегий снижает вероятность того, что Джо из дизайна выйдет за дверь со всеми маркетинговыми данными.

г) Использовать независимую защиту

Это военный принцип, а также ИТ-безопасность. Использование одной действительно хорошей защиты, такой как протоколы проверки подлинности, только хорошо, пока кто-то не нарушит ее. Когда используется несколько независимых защит, злоумышленник должен использовать несколько разных стратегий, чтобы пройти через них. Внедрение такого типа сложности не обеспечивает 100-процентную защиту от атак, но снижает шансы на успешную атаку.

д) План отказа

Планирование отказа поможет свести к минимуму его фактические последствия, если это произойдет. Наличие резервных систем на месте заранее позволяет ИТ-отделу постоянно контролировать меры безопасности и быстро реагировать на нарушение. Если нарушение не является серьезным, бизнес или организация могут продолжать работать при резервном копировании, пока проблема устранена. ИТ-безопасность заключается в том, чтобы ограничить ущерб от брешей, а именно предотвращать их.

е) Запись, запись, запись

В идеальном случае система безопасности никогда не будет нарушена, но когда произойдет нарушение безопасности, событие должно быть записано. На самом деле ИТ-персонал часто записывает столько, сколько может, даже когда нарушения не происходит. Иногда причины нарушений не очевидны после факта, поэтому важно иметь данные для отслеживания назад. Данные от нарушений в конечном итоге помогут улучшить систему и предотвратить будущие атаки, даже если это изначально не имеет смысла.

ж) Запуск частых тестов

Хакеры постоянно совершенствуют свое ремесло, что означает, что информационная безопасность должна развиваться, чтобы идти в ногу со временем. ИТ-специалисты проводят тесты, проводят оценки рисков, перечитывают план аварийного восстановления, проверяют план непрерывности бизнеса в случае нападения, а затем повторяют его снова и снова.

Кибербезопасность продолжает оставаться приоритетной задачей для организаций любого масштаба во всех отраслях.

Вещи быстро меняются в мире кибербезопасности. Каждый день появляются все новые угрозы, а злоумышленники постоянно развивают свои методы, за которыми довольно тяжело поспевать.

1.2 Существующие угрозы для безопасности информации

Американская компания Internet Security Alliance провела исследование, касающееся виртуальных угроз. В итоге было выяснено, что информационным атакам подвергается каждая третья небольшая фирма и каждая шестая крупная. По данным независимой научноисследовательской и консалтинговой фирма Yankee Group, лишь 40 % предприятий малого бизнеса уделяют должное внимание надежности важной информации при работе в сети интернет, при этом половина из них крайне нерегулярно обновляет средства защиты, желая сэкономить. Такое халатное отношение к угрозам из киберпространства может обернуться значительными для компаний потерями.

Чем выше степень использования информационных технологий в бизнес-процессах, тем больше внимания нужно уделять IT-инфраструктуре. Вопрос виртуальной безопасности должен быть частью общей стратегии компании, все мероприятия по защите информации в интернете необходимо проводить регулярно.

Угрозой информации называют потенциально возможное влияние или воздействие на автоматизированную систему с последующим нанесением убытка чьим-то потребностям.

На данный момент можно выявить более ста возможных разновидностей угроз для информационной системы, проанализировав которые можно разработать действенные системы защиты от угроз в информационном пространстве.

Хочется отметить, что угрозы не проявляют себя самостоятельно. Они воздействуют на так называемые факторы уязвимости, или наиболее слабые места системы защиты. Таким образом, угроза приводит к нарушению деятельности систем на конкретном объекте-носителе.

Основные уязвимости возникают по причине действия следующих факторов:

Несовершенство программного обеспечения, аппаратной платформы.
Разные характеристики строения автоматизированных систем в информационном потоке.
Часть процессов функционирования систем является неполноценной.
Неточность протоколов обмена информацией и интерфейса.
Сложные условия эксплуатации и расположения информации.

Чаще всего источники угрозы запускаются с целью копирования, уничтожения или изменения информации незаконным способом. Однако случайное действие угроз также возможно.

Существует разделение уязвимостей по классам, они могут быть:

а) объективными;

б) случайными;

в) субъективными [5].

Если постараться полностью устранить или как минимум ослабить влияние уязвимостей, то можно избежать полноценной угрозы, направленной на систему хранения информации.

Объективные разновидности уязвимостей.

Этот вид напрямую зависит от технического построения оборудования на объекте, требующем защиты, и его характеристик. Полноценное избавление от этих факторов невозможно, но их частичное устранение достигается с помощью инженерно-технических приемов, следующими способами:

а) Связанные с техническими средствами излучения:

электромагнитные методики (побочные варианты излучения и сигналов от кабельных линий, элементов техсредств);
звуковые варианты (акустические или с добавлением вибросигналов);
электрические (проскальзывание сигналов в цепочки электрической сети, по наводкам на линии и проводники, по неравномерному распределению тока).

б) Активизируемые:

вредоносные ПО, нелегальные программы, технологические выходы из программ, что объединяется термином «программные закладки»;
закладки аппаратуры - факторы, которые внедряются напрямую в телефонные линии, в электрические сети или просто в помещения.

в) Те, что создаются особенностями объекта, находящегося под защитой:

расположение объекта (видимость и отсутствие контролируемой зоны вокруг объекта информации, наличие вибро- или звукоотражающих элементов вокруг объекта, наличие удаленных элементов объекта);
организация каналов обмена информацией (применение радиоканалов, аренда частот или использование всеобщих сетей).

г) Те, что зависят от особенностей элементов-носителей:

детали, обладающие электроакустическими модификациями (трансформаторы, телефонные устройства, микрофоны и громкоговорители, катушки индуктивности);
вещи, подпадающие под влияние электромагнитного поля (носители, микросхемы и другие элементы).

Случайные виды уязвимостей.

Эти факторы зависят от непредвиденных обстоятельств и особенностей окружения информационной среды. Их практически невозможно предугадать в информационном пространстве, но важно быть готовым к их быстрому устранению. Устранить такие неполадки можно с помощью проведения инженерно-технического разбирательства и ответного удара, нанесенного угрозе информационной безопасности:

Сбои и отказы работы систем:

вследствие неисправности технических средств на разных уровнях обработки и хранения информации (в том числе и тех, что отвечают за работоспособность системы и за контроль доступа к ней);
неисправности и устаревания отдельных элементов (размагничивание носителей данных, таких как дискеты, кабели, соединительные линии и микросхемы);
сбои разного программного обеспечения, которое поддерживает все звенья в цепи хранения и обработки информации (антивирусы, прикладные и сервисные программы);
перебои в работе вспомогательного оборудования информационных систем (неполадки на уровне электропередачи).

Ослабляющие информационную безопасность факторы:

повреждение коммуникаций вроде водоснабжения или электроснабжения, а также вентиляции, канализации;
неисправности в работе ограждающих устройств (заборы, перекрытия в здании, корпуса оборудования, где хранится информация).

Субъективные уязвимости.

Этот подвид в большинстве случаев представляет собой результат неправильных действий сотрудников на уровне разработки систем хранения и защиты информации. Поэтому устранение таких факторов возможно при помощи методик с использованием аппаратуры и ПО:

Неточности и грубые ошибки, нарушающие

информационную безопасность:

на этапе загрузки готового программного обеспечения или предварительной разработки алгоритмов, а также в момент его использования (возможно во время ежедневной эксплуатации, во время ввода данных);
на этапе управления программами и информационными системами (сложности в процессе обучения работе с системой, настройки сервисов в индивидуальном порядке, во время манипуляций с потоками информации);
во время пользования технической аппаратурой (на этапе включения или выключения, эксплуатации устройств для передачи или получения информации).

Нарушения работы систем в информационном пространстве:

режима защиты личных данных (проблему создают уволенные работники или действующие сотрудники в нерабочее время, они получают несанкционированный доступ к системе);
режима сохранности и защищенности (во время получения доступа на объект или к техническим устройствам);
во время работы с тех. устройствами (возможны нарушения в энергосбережении или обеспечении техники);
во время работы с данными (преобразование информации, ее сохранение, поиск и уничтожение данных, устранение брака и неточностей).

Для того, чтобы правильно оценить выявленные уязвимости с помощью специалиста, необходимо определить критерии оценки опасности возникновения угрозы и вероятности поломки или обхода защиты информации. Показатели подсчитываются с помощью применения ранжирования. Среди всех критериев можно выделить следующие, которые являются основными:

а) Доступность - это критерий, который учитывает, насколько удобно источнику угроз использовать определенный вид уязвимости, чтобы нарушить информационную безопасность. В показатель входят технические данные носителя информации (габариты аппаратуры, ее сложность и стоимость).

б) Фатальность - характеристика, которая оценивает масштабность влияния уязвимости на возможности программистов справиться с последствиями созданной угрозы для ИС. Если оценивать только объективные уязвимости, то определяется их информативность - способность передать в другое место полезный сигнал с конфиденциальными данными без его деформации.

в) Количество - характеристика подсчета элементов системы хранения и реализации информации, которые могут быть подвержены тому или иному типу уязвимости в системе.

Чтобы узнать информацию о степени защиты системы точно, нужно привлечь к работе аналитический отдел с экспертами. Они произведут оценку всех уязвимостей и составят информационную карту по пятибалльной системе. Единица соответствует минимальной возможности влияния на защиту информации и ее обход, а пятерка отвечает максимальному уровню влияния и, соответственно, опасности. Результаты всех анализов сводятся в одну таблицу, степень влияния разбивается по классам для удобства подсчета коэффициента уязвимости системы.

Статистика интернет-угроз по России показывает, что 98% национальных компаний хотя бы раз подвергались атаке извне, 87% стали жертвами внутренних угроз. Если говорить о глобальных масштабах, то 90% организаций во всем мире хотя бы раз подвергались различного рода виртуальным атакам. Во всех случаях последствия таких виртуальных угроз были достаточно ощутимыми и принесли немалые убытки.

Система защиты информации в сети Интернет позволяет эффективно устранить основные причины потери корпоративных сведений, среди которых можно выделить:

перехват информации третьими лицами;
подделку сведений об авторе;
модификацию информации;
несанкционированное подключение к серверу компании или линиям телефонной связи;
маскировку под авторизованного пользователя, что обеспечивает право доступа к корпоративной сети;
копирование файлов после того, как система защиты была взломана; ввод новых пользователей;
ошибки в способах хранения архивных данных;
внедрение компьютерного вируса;
ошибки сотрудников, работающих в сети;
несовершенство корпоративной операционной системы и ПО.

Кибератаки могут преследовать различные цели:

Хищение информации.

Коммерческая тайна, персональные данные сотрудников, клиентская база и т. п. могут быть интересны конкурентам. Существует большое количество видов перехвата информации. К примеру, вредоносная программа может подменять популярные приложения, работающие в фоновом режиме, копируя у них описания файлов, пиктограммы и даже размеры файлов. Также внедряемое ПО может похитить или изменить пароли на устройствах сотрудников, а также данные клиентов или историю поиска браузера.

Ликвидация сведений.

Вредоносное ПО уничтожает системные данные без возможности их восстановления. Нейтрализовать последствия такой угрозы помогут регулярные резервные копирования на различных носителях (например, дискетах или флэшках).

Денежное воровство.

Существуют типы вредоносного программного обеспечения, которые в состоянии похитить денежные средства со счета через специальные системы дистанционного банковского обслуживания.

Причинение финансового вреда компании.

Для организации, осуществляющей продажи с помощью интернета, выход сайта из строя означает существенные финансовые потери. Для того чтобы «положить» сайт, применяются DDoS-атаки. Это хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. [6]

Причинение вреда репутации фирмы.

Для нанесения вреда репутации компании, первым делом необходимо взломать сайт. Действия хакеров в этом случае будут зависеть от способа причинения ущерба репутации. Это могут быть, например, вредоносные ссылки, размещенные на сайте компании, при переходе по которым пользователи получают вирус, добавление вредоносного баннера или публикация политически ориентированного сообщения.

Хищение цифровых сертификатов IT-компаний.

Подобное хищение существенно подрывает доверие пользователей к IT-организациям, имеющим свои публичные центры сертификации, что может впоследствии привести к сворачиванию бизнеса.

Следует отметить, что на восстановление после успешных кибератак компании тратят большие денежные средства. (см. Приложение Б)

Для защиты от каждой из перечисленных кибератак применяются различные способы. В России самую высокую эффективность показывают:

антивирусное программное обеспечение (его используют около 60 % компаний). Тем не менее, порядка 26 % предприятий игнорируют даже такие элементарные средства защиты информации в интернете;
контроль регулярности обновления программного обеспечения;
управление приложениями;
облачные сервисы.

ГЛАВА 2 АНАЛИЗ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ПАО «СБЕРБАНК»

2.1Характеристика компании ПАО «Сбербанк»

Реализация Стратегии 2014-2018, утвержденной Наблюдательным советом в 2013 году, успешно завершилась в 2018 году выполнением поставленных целей. За годы реализации Стратегии Сбербанк сохранил звание стабильного и надежного банка для населения страны, значительно развил инфраструктуру для обслуживания клиентов, а также сформировал современную, высокопрофессиональную команду специалистов, обладающих навыками управления бизнесом в непростых экономических условиях.

В 2018 году Сбербанк утвердил новую стратегию на период 2018-2020 годов. Главная цель новой Стратегии 2020 - выход на новый уровень конкурентоспособности, дающий возможность конкурировать с глобальными технологическими компаниями, оставаясь при этом лучшим банком для населения и бизнеса. Ключевая задача банка - нарастить масштабы бизнеса, повысить прибыльность и эффективность и вместе с тем увеличить гибкость, скорость и клиентоориентированность через внедрение новых технологий и развитие новых навыков сотрудников.

Ключевые направления, цели и ожидаемые результаты Стратегии 2020:

Лучший клиентский опыт и экосистема

клиентский опыт в финансовой сфере
строительство экосистемы нефинансовых бизнесов

Технологическое лидерство

надежность и эффективность
новая платформа
безопасность
работа с данными
инновации

Люди нового качества в эффективных командах

новые компетенции
команды вместо иерархии
корпоративная культура
трансформация HR-функции

Финансовые цели:

Прибыльность:

значительный рост значительный рост прибыли, поддержание устойчивого значения ROE 20%, увеличение доли прибыли, направляемой на дивиденды

Доходы и расходы:

устойчивый рост комиссионного дохода, снижение расходов на операционную деятельность за счет оптимизации расходов на персонал, недвижимость, устройства самообслуживания, рост расходов на внедрение новых ИТ-решений и цифровой бизнес.

Расходы на риск:

рост достаточности капитала, реализация консервативной политики управления риском и снижение расходов на риск, управление новыми рисками.

Сбербанк сегодня - это кровеносная система российской экономики, треть ее банковской системы. Банк дает работу и источник дохода каждой 150-ой российской семье. На долю лидера российского банковского сектора по общему объему активов приходится около 30% совокупных банковских активов. Банк является основным кредитором российской экономики и занимает крупнейшую долю на рынке вкладов. На его долю приходится 46% вкладов населения, 38,7% кредитов физическим лицам и 32,2% кредитов юридическим лицам. (см. Приложение Г)

На сегодняшний день в Сбербанк входят 14 территориальных банков и более 16-ти тысяч отделений по всей стране в 83-х субъектах Российской Федерации, расположенных на территории 11-ти часовых поясов.

Только в России у Сбербанка более 110-ти миллионов клиентов - больше половины населения страны, а за рубежом услугами Сбербанка пользуются около 16-ти миллионов человек. В число клиентов банка входят как физические, так и юридические лица. Банк имеет обширную аудиторию активных пользователей.

Среди физических лиц:

50,4 млн. ежемесячных активных пользователей;
14,6 млн. ежедневных пользователей.

Среди юридических лиц:

1,63 млн. ежемесячных активных пользователей;
784 тыс. ежедневных активных пользователей.

Среди клиентов Сбербанка много пенсионеров.

В 2018 году была проведена масштабная работа по изменению стереотипного восприятия пенсионеров как социально неактивных людей, проживающих «возраст дожития».

Был создан специальный сайт для пенсионеров активного возраста, который является платформой для получения полезной информации и новостей по различным тематикам, скидок и предложений от партнеров программы лояльности «Спасибо от Сбербанка», прохождения обучающих курсов на разные темы, а также сервиса записи к врачам. Также на сайте представлен раздел «Финансы», который знакомит посетителей с предложениями банка для клиентов пенсионного возраста.

В 2018 году стартовала миграция пенсионных карт Maestro на Национальную систему платежных карт МИР при плановом и досрочном перевыпуске. Клиенты получают новую карту МИР с сохранением всех условий предыдущей карты.

В 2018 году планируется разработка специальных тарифов связи Сбербанк Телеком для пенсионеров, получающих пенсию в банке. Также будет продолжена работа по интеграции с Порталом госуслуг, что позволит пенсионерам и гражданам льготных категорий удаленно получать наиболее востребованные ими услуги.

В рамках создания специального предложения по страховым продуктам для пенсионеров была установлена специальная цена по продукту «Защита банковской карты» с дисконтом относительно массового клиента.

Помимо пенсионеров, банк старается заботиться и о детях, создавая полезные для них продукты. Одним из таких продуктов является вклад «Пополняй», который открывается на имя ребенка и становится доступен ему, когда он достигает совершеннолетия. Вклады такого типа помогают родителям ребенка сформировать стартовый капитал для своих детей для помощи в будущем. Чтобы защитить денежные средства от мошенников, на вклад действует дополнительная защита от государства: только родители имеют право снимать денежные средства с данного счета и делать это они могут только с разрешения органов опеки. Это минимизирует риски мошенничества. Такая мера ограждает от необдуманных трат как родителей, так и детей. Процент обновляется при каждой пролонгации вклада.

Сбербанк является стратегическим партнером проекта Банка России «Онлайн-уроки финансовой грамотности. Профессионалы рынка придут в каждую школу». Проект рассчитан на школьников 611 классов, занятия проводятся в формате просмотра онлайн-урока в классе. Из них школьники узнают о вкладах, банковских картах и кредитах. В 2018 году Сбербанк провел 150 эфиров, в которых приняли участие 117 000 школьников. В 2018 году планируется увеличение охвата на 40% за счет более длительной сессии и вовлечения регионов.

В 2018 году Сбербанк значительно расширил перечень каналов обслуживания, по которым проводится СМС-опрос удовлетворенности клиентов, при этом количество оцениваемых событий увеличено с 26 до 108. Теперь клиенты Сбербанка могут оценить качество работы банкоматов, специалистов прямых продаж, осуществляющих обслуживание клиентов вне отделений, консультантов по банковским продуктам, операций мобильного банка, а также направляемых клиентам персональных предложений.

Сбербанк уделяет особое внимание тому, чтобы ни один отзыв не остался незамеченным. Полученные низкие оценки передаются в профильные подразделения банка для системной отработки отклонений и устранения корневых причин недовольства клиентов. У клиентов имеется возможность сообщить банку, что считают свой вопрос нерешенным, - все подобные случаи воз- вращаются в работу. Благодаря мерам, принятым для устранения корневых причин, наблюдается положительная динамика по CSI.

В 2018 году банк существенно пересмотрел работу с обращениями по ключевым темам. Так, по банковским картам предложен ряд решений для выявления и устранения проблем до того, как клиент обратится в банк. Важным достижением стала автоматизация обработки обращений и внедрение конвейера в топ- тема- тиках.

Банку удалось в течение года повысить долю обращений, которые решаются частично или полностью автоматически, с 2% до 33%, а также повысить производительность на 47%. При этом важно отметить, что удовлетворенность клиентов процессом работы с обращениями повысилась с 6,4 баллов в январе до 6,7 баллов в декабре 2018 года (CSI, максимальный балл 10).

Топ 5 тем обращений клиентов в 2018 году и мероприятия по их устранению:

Спорная операция:

внедрение доработки, позволяющей защитить держателей карт от некорректных списаний в сетях сторонних банков.

Проблема входа в систему:

изменение сценариев входа в интернет-банк и мобильное приложение «Сбербанк Онлайн»;
оптимизация процесса входа в Сбербанк Онлайн на платформе Android.

Не приходит СМС:

реализованы PUSH-уведомления в мобильном приложении «Сбербанк Онлайн» (уведомления о входе и об операциях в Сбербанк Онлайн);
повышена точность алгоритмов защиты клиентов от мошенничества в цифровых каналах.

Арест денежных средств:

внедрение технологии работы с реестровыми зачислениями, в которой полностью автоматизирован алгоритмом расчета доступной суммы ареста/ взыскания для целей исполнительного производства (требования статей 99 и 101 Федерального закона «Об исполнительном производстве» от 02.10.2007 № 229 ФЗ). Данное решение позволяет сделать средства должников более защищенными, а сам процесс исполнительного производства прозрачным для всех сторон.

Неуспешный взнос наличных:

информирование клиента о сбойной операции «Взнос наличных» и сроках возврата средств;
внедрен инструмент онлайн урегулирования сбойных операций, возникших по причине инцидентов централизованных АС;

- повышена эффективность АС по допретензионному урегулированию.

Кроме того, в 2018 году банк планировал внедрить новый инструмент опроса клиентов - расширенную веб-анкету в СМС/e-mail/ push. При этом будет расширен перечень событий, по которым производится опрос. С целью обеспечения комфортного для розничного клиента диалога с банком была разработана Коммуникационная политика. С помощью принципов и правил, лежащих в ее основе, все сервисные коммуникации последовательно приводятся к единой тональности. Например, внедренный в начале 2018 года подход к формированию ответов на обращения клиентов позволил снизить долю низких оценок CSI по причине «Ответ не понятен клиенту» за год с 22% до 14%. Дополнительно создается автоматизированный модуль по настройке коммуникаций с клиентами.

Сбербанк активно применяет специальные проекты для мотивации сотрудников и повышения степени их вовлеченности в клиентоцентричную модель. Так, мотивационная программа «I like Сбербанк» объединяет команды Адвокатов бренда - сотрудников Сбербанка, которые активно пользуются продуктами и услугами банка, хорошо в них разбираются и рекомендуют их своим друзьям и знакомым. Более 25 тыс. новых участников зарегистрировались для участия в программе в 2018 году, при этом общее количество Адвокатов бренда превысило 83 тыс. человек.

Для поощрения и продвижения клиентоориентированного обслуживания также реализуется программа нематериальной мотивации сотрудников фронт-офиса1, о работе которых клиенты оставляют положительные отзывы в социальных сетях за сервис, превосходящий их ожидания. За 2018 год сотрудникам фронт- офиса, продемонстрировавшим высочайший уровень облуживания клиентов, были вручены 274 благодарственных письма.

Сбербанк предлагает широкий спектр услуг для всех типов клиентов: от традиционных депозитов и различных видов кредитования до банковских карт, денежных переводов, банковского страхования и брокерских услуг. Все розничные кредиты в Сбербанке выдаются по технологии «Кредитная фабрика», созданной для эффективной оценки кредитных рисков и обеспечения высокого качества кредитного портфеля. (см. Приложение В) [7]

Стремясь сделать обслуживание более удобным, современным и технологичным, Сбербанк с каждым годом все более совершенствует возможности дистанционного управления счетами клиентов. В банке создана система удаленных каналов обслуживания, в которую входят:

мобильные приложения Сбербанк Онлайн для смартфонов (более 31-го млн активных пользователей);
веб-версия Сбербанк Онлайн (16 млн активных пользователей);
SMS-сервис «Мобильный банк» (более 23-х млн активных пользователей);
одна из крупнейших в мире сетей банкоматов и терминалов самообслуживания (более 90 тыс. устройств).

Сбербанк является крупнейшим юридическим лицом, выпускающим от своего имени дебетовые и кредитные карты для различных слоев населения

Среди клиентов Сбербанка — более 1-го млн предприятий. Банк обслуживает все группы корпоративных клиентов, причем на долю малых и средних компаний приходится более 35% корпоративного кредитного портфеля банка. Оставшаяся часть — это кредитование крупных и крупнейших корпоративных клиентов. В команду Сбербанка сегодня входят более 260-ти тыс. квалифицированных сотрудников.

В последние годы Сбербанк существенно расширил свое международное присутствие. Помимо стран СНГ, Сбербанк представлен в девяти странах Центральной и Восточной Европы и в Турции. Сбербанк России также имеет представительства в Германии и Китае, филиал в Индии, работает в Швейцарии.

В июле 2014 года Сбербанк занял первое место среди банков Центральной и Восточной Европы, а также 33-е место в общем зачете в ежегодном рейтинге «ТОП 1000 банков» мира, опубликованных журналом The Banker. Кроме того, Sberbank online был признан лучшим розничным онлайн-банкингом в странах Центральной и Восточной Европе, а также признан лучшим банком в России по итогам исследования, проведенного этим журналом в 2016 году.

Сбербанк активно развивает каналы удаленного обслуживания. В 2018 году количество уникальных активных клиентов удаленных каналов выросло на 9,4 млн и достигло 56,8 млн человек. При этом основной рост активных пользователей в удаленных каналах обслуживания произошел за счет мобильного приложения.

В 2018 году значительно обновлен функционал сервиса «Сбербанк Онлайн» и произведен ряд нововведений, включая следующие:

в мобильном приложении «Сбербанк Онлайн» запущен сервис «Советы», который анализирует обезличенные данные пользователей (траты, накопления, данные профиля) и дает рекомендации клиенту на основе математического анализа;
расширены возможности сервиса управления личными финансами в приложении: пользователям стали доступны функции выбора целей накопления средств при помощи открытия различных типов вкладов, целевых вкладов в иностранной валюте и сравнения своего финансового поведения с тратами клиентов с похожим поведением. В приложении теперь можно закрывать вклады и цели, а также переводить средства на карту в любой момент;
в веб-версии «Сбербанк Онлайн» пользователям стала доступна обновленная расширенная форма заявки на кредит, а также появилась информация о статусе выпуска/пере выпуска и доставки карты;
в 2018 году лимит на платежи и переводы между клиентами в Сбербанк Онлайн без подтверждения в контактном центре увеличился со 100 тыс. руб. до 500 тыс. руб. в сутки. В веб- версии «Сбербанк Онлайн» появилась возможность управлять этим лимитом;
у пользователей мобильного приложения «Сбербанк Онлайн» появилась возможность привязать свою карту к Pays («кошельку»), таким как Apple, Google, Samsung, Garmin Pay и расплачиваться телефоном. Благодаря новому сервису бесконтактная оплата стала еще удобнее.

Основным акционером и учредителем Сбербанка России является Центральный банк Российской Федерации, который владеет 50% уставного капитала плюс одна голосующая акция. Другими акционерами Банка являются международные и российские инвесторы.

Обыкновенные и привилегированные акции банка котируются на российских биржевых площадках с 1996 года. Американские депозитарные расписки (АДР) котируются на Лондонской фондовой бирже, допущены к торгам на Франкфуртской фондовой бирже и на внебиржевом рынке в США. Прибыль на обыкновенную акцию Сбербанка за 2018 год составляет 34,58 руб. (данный показатель вырос на 9,58 руб., по сравнению с прошлым годом). [8]

Если говорить о финансовых результатах ПАО «Сбербанк России» за 2018 год, нельзя не сказать о росте большинства показателей. (см. Приложение А)

Таблица 1.1 - Динамика основных показателей Сбербанк за 2017-2018 гг.

Показатели за год (млрд. руб.)	2017	2018	Изменен ие
Операционные доходы до резервов	1697,5	1903,3	12,1%
Расходы на создание резервов под обесценение долговых финансовых активов	(342,4)	(387,3)	-16,1%
Операционные доходы	1355,1	1616,0	19,3%
Операционные расходы	(677,6)	(672,8)	-0,7%
Прибыль до налогообложения	677,5	934,2	39,2%
Чистая прибыль	541,9	748,7	38,2%

Сбербанк завершил 2018 год с рекордной чистой прибылью - 748,7 млрд руб., которая на 38,2% превысила показатель 2017 года. Активы банка в 2018 году возросли на 1,743 млрд. руб., по сравнению с 2017 годом, и составили 27,112 млрд. руб.

Показатели стоимости риска и процентом расходов к доходам, упали и составили 1,5% и 35,2% соответственно.

Показатели корпоративных и частных кредитов, выросли, составив 14,175 млрд. руб. и 5,717 млрд. руб. соответственно.

В 2018 году Сбербанк увеличил затраты на благотворительную деятельность на 54% за счет осуществления ряда крупнейших благотворительных и спонсорских проектов. Затраты на благотворительность Сбербанка в 2018 году составили 5,8 млрд. руб.

Сбербанк работает над созданием глобальной экосистемы, которая охватывала бы все сферы удовлетворения ежедневных потребностей клиентов. Экосистема Сбербанка развивается с 2017 года, постепенно включая все новые нефинансовые сервисы и выходя на новые рынки.

Среди технических возможностей, которые предоставит своим участникам экосистема Сбербанка, можно выделить систему идентификации клиентов, быстрый обмен данными, единые программные интерфейсы и другие сервисы.

Здоровье.

В 2018 году банк приобрел контрольный пакет в компании DocDoc.ru и теперь совместно с этой и другими компаниями - лидерами отрасли создают экосистему здоровья. Благодаря данному проекту клиенты получат доступ к лучшим медицинским решениям на выгодных условиях. DocDoc.ru - маркетплейс медицинских услуг № 1 в России. Компания объединяет более 2 600 клиник-партнеров и более 38 тыс. квалифицированных докторов разных профилей. В 2018 году более 660 тыс. клиентов DocDoc.ru получили 1,2 млн консультаций. На конец 2018 года сервисом было покрыто 15 городов России, доля DocDoc.ru в Москве - 70%, в Санкт-Петербурге - 40% рынка.

Электронная коммерция.

Другим значимым событием отчетного года стало подписание обязывающего соглашения между Сбербанком и Яндексом о создании совместного предприятия на базе Яндекс.Маркета. Сегодня Яндекс.Маркет - это маркетплейс, объединяющий 25 тыс. частных интернет-магазинов, продающих товары в различных категориях - от бытовой техники и электроники до одежды и продуктов. В 2018 году на базе Яндекс.Маркет было продано товаров на сумму 150 млрд руб., ежедневно платформой пользуются 3 млн клиентов по всей России. Объединив инфраструктуру и технологии, Яндекс.Маркет и Сбербанк будут развивать систему финансовых и торговых транзакций, включающих покупку и продажу товаров, а также связанные с этим услуги. На горизонте пяти лет у совместного предприятия стоит цель достичь целевого показателя объема продаж в 500 млрд руб. Участие Сбербанка в данном проекте важно, как для развития цифровой экосистемы самого Сбербанка, так и для экономики страны в целом. Это партнерство откроет новые возможности для игроков рынка электронной коммерции, малого и среднего бизнеса, а также создаст условия для роста экспорта российских товаров за рубеж и новые возможности для зарубежных участников рынка. Направления экосистемы Сбербанка

Биометрическая платформа.

В ноябре 2018 года Сбербанк совершил первый важный шаг по построению биометрической платформы экосистемы банка. Была подписана сделка по приобретению пакета акций в компании VisionLabs, одного из лидеров рынка распознавания лиц в мире. Компания входит в мировой топ-3 по уровню точности идентификации (99,17%). Сотрудничество с VisionLabs позволит создать уникальный биометрический идентификатор для доступа к любой услуге или сервису клиентам Сбербанка и обеспечит высочайший уровень информационной безопасности экосистемы. Данный идентификатор наряду с лицом будет использовать также распознавание по голосу, сетчатке глаза и другим биометрическим факторам.

Платежные сервисы.

Яндекс.Деньги - технологическая платформа, предоставляющая услуги по управлению электронными кошельками и мобильными платежами, на которые наслаиваются дополнительные функции, например, возможность удобного сбора средств на общие цели. Помимо этого, Яндекс.Деньги предлагает решения для корпоративных клиентов, которые с помощью сервиса могут автоматизировать платежную дисциплину на своих предприятиях. Эта функция сильно упрощает деятельность онлайн-магазинов и других предприятий. На конец 2018 года компания предоставляла защищенный доступ к 1,5 млн активных электронных кошельков, обслуживающих объем транзакций на общую сумму 180 млрд руб. К 2020 году компания планирует увеличить количество кошельков до 6,7 млн, а общую сумму транзакций до 370 млрд руб. Мобильное приложение Plazius позволяет безопасно расплачиваться в любимых кафе и ресторанах с помощью мобильного телефона сразу, не дожидаясь счета и официанта. Кроме того, пользователи могут накапливать баллы и выгодно расплачиваться ими в тех же местах в последующие посещения.

Мобильный оператор.

«Поговорим» от Сбербанка - виртуальный мобильный оператор, который предлагает гибкий подход к формированию тарифа и онлайн-контроль за расходами на мобильную связь и интернет с широкой сетью покрытия в России. Также одним из направлений развития оператора является создание удобного мессенджера и выход на новый рынок услуг для Internet of Things (IoT) и Machine to Machine (M2M). К 2020 году мобильный оператор ставит перед со - бой задачу расширить клиентскую базу до 3 млн пользователей.

Экосистема Сбербанка для бизнеса.

Важным направлением совершенствования экосистемы Сбербанка является развитие интегрированных сервисов для малого и среднего бизнеса. В рамках этого направления в экосистему были интегрированы компании Segmento и Эвотор, предлагающие инновационные решения для B2B клиентов. Segmento - технологическая платформа, таргетирующая рекламу на основе офлайн- и онлайн-данных. Компания предлагает комплексный инструментарий для управления рекламными кампаниями. Несмотря на молодой возраст компании, благодаря решениям Segmento были реализованы интересные кейсы для международных брендов, таких как Hyundai, Samsung, СИгоеп. Также платформа неоднократно была отмечена международными премиями. Эвотор разрабатывает программное обеспечение и технологические решения, выстраивая мощную экосистему управления продажами для предприятий малого и среднего бизнеса. Данная экосистема позволяет компаниям эффективно собирать и анализировать данные о продажах товаров, автоматизировать рутинные процессы продажи товаров и одновременно соответствовать существующему законодательству. Кроме того, компания Эвотор является одним из лидеров на российском рынке продажи и поддержки онлайн-касс. К 2018 году компанией были интегрированы в экосистему 450 тыс. кассовых онлайн-терминалов. Продажи в 2018 году составили 140 тыс. терминалов. В планах компании достичь к 2020 году 1 млн реализованных онлайн-терминалов (20% рынка) и начать предоставлять компаниям программные решения, основанные на анализе больших данных, что позволит предпринимателям лучше понимать свой бизнес и эффективнее им управлять.

Кибербезопасность.

В 2018 году компания БИЗон, на 100% принадлежащая Группе Сбербанк, вышла на рынок кибербезопасности, выполнив первые коммерческие контракты с заказчиками из России, стран СНГ и других стран. Компания разрабатывает собственные продукты и проводит первые пилотные проекты с заказчиками по продуктам Fraud Monitoring as a Service 1 и Threat Intelligence Platform 2. БИЗон запустил лабораторию по тестированию решений в области защиты информации, позволяющая проводить нагрузочное и функциональное тестирование. Совместно со Сбербанк Страхованием запущена услуга по страхованию рисков кибербезопасности для малого бизнеса. Планируется также выпуск страховых услуг для других сегментов рынка. В планах компании - вывод на рынок новых продуктов TI.Sensors 3 и пользовательского портала по кибербезопасности CyberSpace. С Ассоциацией банков «Россия» запускается платформа по обмену данными по кибербезопасности для финансовой отрасли России, а с всемирным экономическим форумом (Global Center for Cybersecurity within World Economic Forum) - для компаний Европы и Азии. Запуск направления консалтинга в области кибербезопасности позволит использовать экспертизу компании БИЗон для повышения уровня защищенности заказчиков как внутри Группы Сбербанк, так и коммерческих заказчиков. Подписаны соглашения о сотрудничестве с Interpol и SWIFT и планируются подписания соглашений с другими государственными и коммерческими организациями в области борьбы с киберпреступностью. Проведены первые международные соревнования CTF 4 с участием международных команд первой величины, планируется участием в организации самого крупного соревнования на конференции Defcon, Лас Вегас, США.

- Маркетплейс для облачных технологий.

В планах Сбербанка создание маркетплейса для облачных технологий на базе совместного предприятия с IT-компанией «Ай - Теко», входящей в топ 10 отраслевых предприятий. Совместное предприятие предназначено стать ядром экосистемы цифровой экономики. Сервисы облачной инфраструктуры будут доступны для Сбербанка и его клиентов, помогая улучшить эффективность бизнеса, трансформировать бизнес-модель и создать новые точки роста. Все описанные выше сервисы и новые перспективные компании, собранные на базе единой технологической платформы Сбербанка, вместе смогут создать высокий уровень клиентского опыта, основа которого - эргономичное дополнение друг друга.

В 2018 году Сбербанк продолжил развивать линейку продуктов и сервисов для клиентов массового высокодоходного сегмента. Запущен пилотный проект продаж продукта «Личный юрист» и создание экосистемы сервисов. Теперь клиенты массового высокодоходного сегмента могут выбрать пакеты услуг не только для себя, но и для всей семьи (три дополнительных пользователя), а также два пакета для сопровождения бизнеса в форме ИП. Преимущество продукта, предлагаемого Сбербанком, заключается в том, что ни один пакет не содержит ограничений по перечню отраслей права.

Разработано наиболее функциональное на рынке мобильное приложение, позволяющее банку быть под рукой у клиента в режиме 24/7. Наша цель - сервис «Личный юрист» у каждого третьего клиента банка. В Telegram запущен чат-бот, консультирующий клиента по всем правовым тематикам.

Запущен пилот по расширению критериев предоставления пакета услуг «Премьер». Теперь пакет услуг будет доступен не только клиентам с крупными балансами, но и с высокой транзакционной активностью - от 80 тыс. руб. в месяц.

Также в 2018 году клиентам представлен обновленный пакет услуг «Золотой», включающий в себя карты с начислением повышенных бонусов СПАСИБО и страховые продукты. Клиенты смогут выбрать один из двух видов пакета услуг: ориентированный на клиентов высокодоходного массового сегмента, либо на клиентов сегмента «Активный возраст».

По всей стране были запущены премиальная дебетовая и кредитная карты с увеличенными бонусами (начисляется до 6 раз больше бонусов СПАСИБО, чем по обычным картам Сбербанка). Начисление повышенных бонусов запущено по картам Visa в пакете услуг «Премьер».

Продолжено развитие онлайн-сервиса по возврату налогов в массовой сети и в сети «Премьер». Сервис уже помог более 30 тыс. клиентам получить налоговый вычет, при этом объем выплаченных средств составил более 3 млрд. руб. Продажа в массовой сети, сети «Премьер», а также включение сервиса по возврату налогов в пакеты услуг позволит познакомить с услугой большее количество клиентов и повысить их лояльность.

Запущены продажи travel-сервисов «Возврат TaxFree», «Возврат компенсации» (компенсации за задержку и отмену рейса), «Виза на дом», которые дополнят линейку существующих финансовых сервисов от партнеров банка. Цель внедрения сервисов - повышение лояльности клиентов высокодоходного массового сегмента и укрепление экосистемы банка для путешественников. Объем рынка авиакомпенсаций («Возврат компенсаций») составляет 48 млн. евро ежегодно, а объем TaxFree - 2 млрд. руб. ежегодно.

Запущен сервис «Простые инвестиции» в партнерстве с «FinEx». Сервис предназначен для инвестирования средств в биржевые инвестиционные фонды (ETF) с автоматической ребалансировкой один раз в квартал. Это позволяет клиентам получать повышенную доходность по сравнению с активным управлением в 80% случаев. С момента запуска пилота привлечено порядка 100 млн. руб.

Банк запустил новый инвестиционный продукт «Валютное ДУ» (доверительное управление). Теперь клиентам, сберегающим в валюте, доступен более выгодный продукт для инвестирования в сравнении с валютными вкладами. За декабрь привлечено более 1,3 млрд. руб.

Для клиентов «Премьер» запущены продажи новых страховых продуктов «Уверенный водитель» и «Защита дома».

Продолжено тестирование адресных коммуникаций с клиентами с использованием психотипов. Коммуникации, основанные на психологических особенностях, позволяют сделать их более адаптированными для восприятия клиентов и повысить их эффективность.

В 2018 году Сбербанк принял Стратегию развития до 2020. Своими ключевыми стратегическими приоритетами Сбербанк видит дальнейшее улучшение клиентского опыта, технологическое лидерство и развитие экосистемы для удовлетворения большинства потребностей своих клиентов через предложение нефинансовых услуг.

Сбербанк - это крупнейший финансовый институт в России и Центральной и Восточной Европе. Банк обслуживает 151 млн клиентов, из которых 134,7 млн в России. На долю Сбербанка приходится 28,9% совокупных активов российского банковской системы. На российском рынке Сбербанк работает уже 176 лет и его бренд прочно ассоциируется у клиентов с надежностью и социальной ориентированностью, а также все больше с инновациями и технологическим лидерством. Банк активно развивает свои каналы взаимодействия с клиентом через уникальную физическую и цифровую инфраструктуры, создает ИТ-систему на базе современных инновационных технологий (искусственный интеллект, машинное обучение, блокчейн, робототехника и прочее). Сбербанк также трансформируется, переходя к модели глобальной экосистемы, чтобы предоставить своим клиентам лучшие финансовые и нефинансовые сервисы для удовлетворения их ежедневных потребностей.

2.2Организация защиты информации в ПАО «Сбербанк»

Стратегии информационной защиты для сектора банков довольно сильно отличаются от стратегий компаний и организаций других секторов бизнеса. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов.

Информационная безопасность банка должна учитывать следующие специфические факторы:

Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги.

На основе информации, содержащейся в банковских компьютерах, производятся выплаты, открываются счета, выдаются кредиты, а также переводятся большие суммы денег. Поэтому ясно, что несанкционированное манипулирование с подобной информацией может повлечь серьезные убытки для клиентов банка. Данная особенность резко расширяет число преступников, совершающих покушения именно на банки.

Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка.

Как правило, клиенты предоставляют банку

конфиденциальную информацию и потому ожидают, что банк несет ответственность за то, что данная информация находится в строгой секретности. Если банк не выполняет это условие, он рискует своей репутацией со всеми вытекающими отсюда последствиями.

Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом.

Клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими денежными средствами. Однако такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы.

Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов.

Сбербанк использует современные системы информационной безопасности для обеспечения безопасного и полнофункционального обслуживания клиентов. В 2018 году применение искусственного интеллекта и аналитических измерений для определения мошеннических операций, при которых клиент добровольно передает информацию мошенникам, позволило хеджировать около 97% такого риска со стороны клиента. За 2018 год было пресечено более 300 тыс. попыток хищения средств физических и юридических лиц, предотвращен ущерб на сумму более 40 млрд руб.

Сбербанк уделяет особое внимание кибербезопасности. Банк научился успешно противодействовать киберпреступности с помощью интеллектуальной системы защиты клиентов. Проект Сбербанка «Фрод-мониторинг для удаленных каналов обслуживания физических лиц» стал бронзовым призером международного конкурса IPMA International Project Excellence Award 2018. В рамках масштабного проекта, который длился 15 месяцев, в Сбербанке была внедрена уникальная система фрод-мониторинга, созданная на основе искусственного интеллекта. Система в автоматическом режиме защищает клиентов от некорректных действий, вызванных недостаточным знанием правил кибербезопасности.

В 2018 году развитие системы противодействия кибермошенничеству продолжилось, чтобы обеспечить абсолютную защиту всех каналов обслуживания клиентов Сбербанка.

Обеспечение защиты персональных данных в Сбербанке осуществляется в рамках единой комплексной системы организационно-технических и правовых мер по защите конфиденциальной информации (коммерческая, банковская тайна, персональные данные), с учетом требований федерального законодательства (включая Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006) и лучших мировых практик.

При обработке персональных данных банк принимает необходимые правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В состав мер по обеспечению безопасности персональных данных входят:

обеспечение контролируемой зоны, в пределах которой осуществляется функционирование автоматизированных систем Сбербанка;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
антивирусная защита;
обнаружение и предотвращение вторжений;
контроль и анализ защищенности персональных данных;
обеспечение целостности автоматизированных систем Сбербанка и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита автоматизированных систем, их средств, систем связи и передачи данных;
выявление инцидентов, которые могут привести к сбоям или нарушению функционирования автоматизированных систем и (или) к возникновению угроз безопасности персональных данных, и реагирование на них.

В целях нейтрализации актуальных угроз безопасности персональных данных обеспечено применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

Доступ к обрабатываемым персональным данным предоставляется только тем работникам Сбербанка, которым он необходим в связи с исполнением ими своих трудовых обязанностей. Все лица, оформляемые на работу в Сбербанк, подписывают обязательства о неразглашении персональных данных и другой конфиденциальной информации, хранение обязательств осуществляется в личных делах работников.

В целях повышения осведомленности, знаний и навыков по вопросам обеспечения информационной безопасности проводится обучение работников в форме обязательного прохождения электронных дистанционных программ подготовки.

Также в Сбербанке организован внутренний контроль (аудит) соответствия обработки персональных данных 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Сбербанка в отношении обработки персональных данных, локальным актам Сбербанка. Внутренний аудит осуществляется Службой внутреннего аудита Сбербанка в рамках аудиторских проверок.

Контроль обеспечения защиты персональных данных при их обработке в автоматизированных системах осуществляется подразделениями Службы кибербезопасности Сбербанка. В рамках реализации мер контроля защищенности информационной инфраструктуры применяются инструментальный контроль защищенности и тестирование на проникновение.

Политика безопасности Сбербанка осуществляется по нескольким элементам:

Нормативно-правового элемент.

В сфере защиты информации ПАО «Сбербанк России» руководствуется следующими нормативно-правовыми актами:

Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ.
Закон Российской Федерации «О государственной тайне» (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, 5485-1.
Закон Российской Федерации «Об информации, информатизации и защите информации», принят Государственной думой 25.01.95.
Указ Президента Российской Федерации «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.95, 334.
Постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 35.
Постановление Правительства Российской Федерации «Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности» 870 от 4.09.95.
Указ Президента Российской Федерации «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9.01.96.
Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных», принят Верховным Советом РФ 23.09.92, 3523-1.
Закон Российской Федерации «О правовой охране топологий интегральных микросхем», принят Верховным Советом РФ 23.09.92, 3526-1.
Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» 188 от 6.03.97.
Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» 1203 от 30.11.95.
Указ Президента Российской Федерации «О Межведомственной комиссии по защите государственной тайны» 1108 от 8.11.95.
Постановление Правительства Российской Федерации «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 года) 608 от 26.06.95.
Федеральный закон «О банках и банковской деятельности» от 25.06.1993 года

На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ПАО «Сбербанк России».

Инженерно-технического элемент.

Организационные меры инженерно-технической защиты информации Сбербанка включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации.

Регламентация предусматривает:

установку контролируемых границ и охранных зон;
определение уровней защиты информации в зонах;
регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т.д.);
определение режимов работы технических устройств, в том числе сбора, обработки и хранения информации, которая требует защиты, на персональных электронно-вычислительных машинах, передачи документов.

Управление доступом к информации в Сбербанке включает следующие мероприятия:

идентификацию лиц и обращений;
проверку полномочий лип и обращений;
регистрацию обращений к информации, требующей защиты;
реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений к каналам телекоммуникаций проводится с целью их надежного опознавания.

ПАО «Сбербанк России» использует следующие способы идентификации:

карточки или ключи;
пароли и коды;
в некоторых помещениях установлены биометрические идентификаторы (используются техники цифрового изображения лица в 3D или 2D, отпечатки пальцев и идентификация личности по радужной оболочке глаза).

С помощью биометрических систем безопасности Банк ограничивает или разрешает доступ:

для сотрудников - в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов;
для клиента - к своей ячейке;
для особо важных клиентов - в ряд специальных помещений.

При этом биометрия существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом, создает психологический барьер для потенциального злоумышленника, а также документально подтверждает факт прохода в охраняемые помещения каждой личности.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

В системе безопасности Сбербанка применяются специальные средства видеоконтроля. Сетевой программно-аппаратный комплекс видеоконтроля и автоматизированного управления интегрированными системами безопасности «Инспектор+» сочетает в себе высокое качество компьютерных цифровых технологий с возможностью объединения автономных компонентов системы безопасности банка в профессиональную интегрированную систему безопасности. «Инспектор+» позволяет распределить приоритеты между видеоканалами таким образом, что в момент тревоги тревожной камере выделяется максимальный ресурс по скорости записи, который даже в режиме мультиплексирования составляет до 10-12,5 FPS. Помимо качественного видеоконтроля «Инспектор+» осуществляет синхронно с видеоконтролем аудиоконтроль.

Объединение сети банка в единое пространство безопасности в технологии «Инспектор+» происходит через видеошлюз, который призван сопрягать высокоскоростные характеристики локальных сетей с медленной работой межсетевых соединений.

Помимо видеошлюза, в арсенале технологии «Инспектор+» содержатся и другие полезные модули.

Модуль резервного копирования, или видеоархивации, - это объект, управляющий процессами архивации видеоданных. Модуль видеоархивации позволяет создавать централизованный архив видеоданных. Как правило, данная функция используется при решении задач долговременного хранения большого объема информации или информации, имеющей стратегическое значение.

Модуль телеметрического управления используется для дистанционного управления камерами, установленными на двухкоординатных поворотных устройствах. Управление всеми камерами может осуществляться как с любой клавиатуры, так и посредством управляющих окон на экране компьютера.

Для защиты банкоматов в технологии «Инспектор+» существует подсистема «Банкомат Инспектор». Данная подсистема позволяет создать интегрированную систему защиты требуемой конфигурации как для одного банкомата, так и для территориально- распределенной сети банкоматов, что является наиболее сложной задачей, которую невозможно решить обычными средствами обеспечения безопасности. В системе «Банкомат Инспектор» полностью интегрированы устройства видеонаблюдения, сенсоры и оборудование передачи сигналов с возможностью гибкой настройки логики системных реакций на входные события.

Программный элемент.

Для реализации программного элемента защиты информации в ПАО «Сбербанк России» используется комплексная система защиты информации «Панцирь-К».

Это программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты как автономных компьютеров, так и компьютеров в составе сети предприятия.

К комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОСWindows, т.е. позволяет решать задачи защиты информации в общем виде. КСЗИ может применяться для защиты, как от внешних, так и от внутренних угроз для информационных технологий, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном устройстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам, эксплойтам, вредоносным и шпионским и любым иным деструктивным программам, атакам на ошибки программирования в системном и прикладном ПО; содержит в своем составе, как механизмы защиты от несанкционированного доступа, так и механизмы криптографической защиты данных.

В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных, при этом обеспечивается прозрачное для пользователя шифрование любого заданного администратором любого файлового объекта. Ключевая политика, реализующаяся данной комплексной системой, позволяет защитить данные от раскрытия даже при краже компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам.

Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров «Signal-СОМ СSP» и «КриптоПро СSP 3.0».

КСЗИ «Панцирь-К» предоставляет возможности

использования аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам; разграничения и аудита работы пользователей с локальными и сетевыми ресурсами; разграничения и аудита работы программ с локальными и сетевыми ресурсами; разграничения и аудита работы пользователей с устройствами с использованием их серийных номеров; разграничения и аудита работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) - персональный Firewall; шифрования данных «на лету», включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным; контроля времени, проведенного сотрудников за работой, в то числе с помощью использования систем видеонаблюдения.

В 2018-ом году Сбербанком, совместно с Российским квантовым центром, была протестирована первая собственная линия связи, которая была защищена с помощью квантовой криптографии [9].

Данный тип криптографической защиты подразумевает потенциально невзламываемый тип информационной защиты. Поскольку данные для создания ключей шифрования передаются по каналу связи в виде состояний частиц света (фотонов), злоумышленник, пытающийся перехватить нужные ему данные, не сможет получить доступ к информации - квантовое состояние фотона после перехвата неизбежно изменится, и о взломе узнают те, кто должен был получить эти данные.

В ходе теста специалистам удалось с успехом передать информацию с квантовой защитой на 25 километров между двумя офисами банка в Москве. Сбербанк подчеркнул, что это первый в России эксперимент по квантово-защищенной передаче реально используемых данных в городских условиях.

По технической части киберзащиты Сбербанк продвинулся достаточно далеко. Как сообщил руководитель службы безопасности банка Сергей Лебедь: "Для нас сейчас технические вопросы перестали быть актуальными, мы научились бороться с вирусами, компьютерными атаками, развиваем наш антифрод, у него достаточно высокая эффективность. Сейчас для нас основная проблема — социальная инженерия" [10].

Сами представители банка считают своим главным слабым местом человеческий фактор. Некоторые молодые специалисты по неопытности могут открыть вредоносные файлы или программы, а клиенты банка очень просто могут стать жертвами социальной инженерии и предоставить мошенникам свои пароли или любую другую конфиденциальную информацию. Это так называемый фишинг - вид интернет-мошенничества, целью которого является получение личных данных пользователей (номеров карт, счетов и т.п.).

Чтобы защитить своих сотрудников от фишинга, Сбербанк выпустил специальную flash-игру, в которой сотрудник чувствует себя агентом, решающим какие-либо задачи: хранит пароли, реагирует на фишинговые письма, учится отличать и обнаруживать признаки фишинга [11].

Несмотря на то, что сам Сбербанк чувствует себя относительно безопасно, если речь заходит о кибератаках, они не прекращаются. По состоянию на 1 июня 2018 года число кибератак на банк уже превысило 30 раз. Хакерские атаки становятся всё сложнее: они сокращаются по времени и совершаются сразу на несколько банковских ресурсов. По подсчётам аналитиков TAdviser, Сбербанк в 2018 году потратил на IT 105 млрд. руб. [12].

Таким образом, в создании высокого уровня обеспечения информационной безопасности Сбербанк, бесспорно, добился больших успехов. Предприятием было внедрено большое разнообразие способов идентификации, а также высокотехнологичных устройств, с помощью которых предприятие справляется с возможными кибератаками, сохраняя при этом коммерческую тайну и индивидуальные данные своих клиентов. Предприятие, несомненно, оценивает риски, с которыми связано хранение такого рода информации, и потому развивает область своей деятельности, связанную с защитой информации.

ГЛАВА 3 ПРОЕКТИРОВАНИЕ МЕРОПРИЯТИЙ ПО СОВЕРШЕНСТВОВАНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

3.1 Рекомендации по оптимизации информационной безопасности ПАО «Сбербанк»

В результате проведенной работы и на основе собранной информации, были предложены следующие пути по оптимизации информационной безопасности ПАО "Сбербанк":

Автоматизированный профайлинг «КИБ СёрчИнформ»

Профайлинг - это набор приемов, с помощью которых можно быстро составить психологический портрет и понять, как будет действовать человек в тех или иных обстоятельствах [13].

Многие специалисты по информационной безопасности являются профайлерами от природы и полагаются на интуицию, однако у них не достает четкого алгоритма, по которому составляется психологический портрет, и ясного представления, как получить максимальную пользу от типизации и классификации.

Вместе с психологическими портретами сотрудников специалист по безопасности получает следующие знания:

безопасно ли давать сотруднику доступ к конфиденциальной информации, финансовым активам и ценным ресурсам компании;
на что обращать внимание, чтобы вовремя заметить критичные изменения в линии поведения сотрудника;
за кем из сотрудников необходимо следить время от времени, а за кем — постоянно или в определенных ситуациях, например, только в период высокой нагрузки;
с кем в коллективе сохранять подчеркнуто формальные отношения, а с кем, наоборот, наладить дружеские связи;
кому из сотрудников достаточно «внушения» и профилактической беседы, а кого следует более строго наказывать за нарушение правил и т. д. [14].

Однако работа со специалистом требует большого количества времени (одна только опросная беседа в среднем длится от 40 до 60 минут. Чтобы вручную обработать профили 30 пользователей, требуется в среднем 2 дня), немалых затрат (от 5-ти тысяч рублей за услуги молодого специалиста - профайлера), а также не гарантирует полную объективность. Вкусы и мировоззрение работников также могут меняться со временем, поэтому необходимо найти способ постоянного обновления, при этом не отрывая сотрудника от работы каждый раз. Таким помощником будет автоматизированный профайлинг.

Автоматизированная система профайлинга собирает большое количество текстов, написанных сотрудниками. Однако нужны не деловые, а неформальные тексты (исходящие письма, сообщения в мессенджерах и рабочих чатах).

Данный модуль может вычислить тип личности, структуру мышления, доминирующие черты характера, сильные и слабые стороны того или иного сотрудника. Модуль определяет, как человек относится к тому, что происходит вокруг, в чем его истинные цели и намерения. Расчет показывает уровень амбиций и лояльности, помогает установить роль в коллективе и степень влияния на коллег. Результаты анализа отображаются в отчете с пояснениями и рекомендациями [15]

Safetica DLP

Safetica DLP предназначена для защиты компании от утечки данных, злонамеренных действий сотрудников и рисков BYOD (Bring your own device - это концепция глобального уровня, которая предполагает возможность использования работниками компаний своих собственных мобильных гаджетов в рабочем процессе). Продукт является агентным - устанавливается на конечные точки, применяя способ контекстной фильтрации, что делает решение простым в установке, а также позволяет осуществить полное внедрение всего за восемь недель.

Решение модульное, то есть при необходимости можно приобрести только необходимый модуль (например, офисный контроль) и далее делать апгрейд на более высокий уровень, если это необходимо. Данный модуль рекомендуется для защиты конфиденциальной информации и мониторинга эффективности работы сотрудников.

Имеющиеся модули:

а) Auditor (регистрация активности сотрудников);

б) Supervisor (повышение эффективности бизнес-процессов компании);

в) DLP (предотвращение утечки конфиденциальных данных).

Возможности и особенности:

- выявляет атаки, спровоцированные методами социальной инженерии, основанной на человеческой психологии, которые ставят своей целью несанкционированный доступ к паролям, конфиденциальной информации и данным банков;

отслеживает изменения в производительности сотрудников и опасные тенденции;
контролирует личные устройства сотрудников в корпоративной среде [16].

Active Bot Protection (Variti)

Интеллектуальная технология защиты от кибер-, DDoS-, хакерских атак, клик-фрода («скликивание» роботами рекламы и онлайн-ресурсов) и парсинга/сканнинга (копирование роботами информации на сайтах). Анализ трафика и фильтрация ботов в режиме реального времени, эффективное противодействие DDoS-атакам на различных уровнях коммутатора без потери конечных пользователей.

Возможности и особенности:

Фильтрация нелегитимных бот-запросов на уровне сессий без блокировки по IP-адресам.
Распознавание ботов с первого запроса в режиме реального времени без каких-либо задержек для наработки статистики.
Защита интернет-ресурсов от низкочастотных, трудно распознаваемых атак и даже от одиночных бот-запросов.
Анализ как HTTP-трафика, так и HTTPS без раскрытия сертификатов с сохранением указанных выше особенностей: без блокировки IP-адресов и с первого запроса.

Данное решение рекомендуется для защиты:

от потерь выручки для компаний, работающих в сфере е- соттегсе;
от воровства интеллектуальной собственности и онлайн- ресурсов;
от воровства и манипуляций с данными клиентов;
репутации компаний.

3.2Оценка затрат на реализацию предлагаемых мероприятий

Автоматизированный профайлинг «КИБ СёрчИнформ»

Рассмотрим основные моменты по внедрению и обслуживанию данной системы автоматизированного профайлинга, а также рассчитаем проценты эффективности инвестиций в DLP- систему.

Таблица 2 - Расчёт суммарной стоимости владения DLP- системой автоматизированного профайлинга за пять лет, тыс. руб.

	1-ый год	2-ой год	3-ий год	4-ый год	5-ый год
Лицензия	14000	12000	12000	12000	12000
Серверное оборудовани е и системное ПО	860	-	-	-	-
Тех. поддержка	16800	-	-	-	16800
Внедрение	0	0	0	0	0
Разработка ОРД	1460	-	-	-	-
Обучение администрат оров	230	-	-	-	-
Обслуживан ие	12000	12000	12000	12000	12000
Итого	45350	24000	24000	24000	40800
Стоимость владения DLP- системой на всех устройствах банка	1181821	625440	625440	625440	1063248

Суммарная стоимость владения DLP-системой за пять лет составила 4 121 389 руб.

Safetica DLP

Предлагает полноценный комплекс DLP (Data Loss Prevention), который устраняет широкий спектр угроз безопасности, которые связаны с человеческим фактором. Решение защищает компанию от спланированных или случайных утечек данных, несанкционированных действий инсайдеров и BYOD рисков, а также помогает повысить продуктивность работы персонала.

Safetica - полнофункциональное корпоративное решение, предотвращающее утечки данных. Safetica позволяет создавать отчеты о деятельности сотрудников и обеспечивает соблюдение политик безопасности компании.

Отличительные особенности Safetica

полноценное DLP решение;
быстрое развертывание;
высокий уровень защиты от несанкционированного доступа;
специальные функции защиты от утечек;
агностический подход;
четко определенные политики данных;
точный мониторинг времени;
автоматическая оценка и оповещение.

Электронная базовая лицензия на 1 год составляет 100380 руб.

Чтобы внедрить данную программу во все 14 территориальных банков, потребуется 100380*14407 = 1 446 174 660 ру^б.

Active Bot Protection (Variti)

На защиту от DDoS - атак разработчиками предлагаются различные тарифы:

тариф Start с абонентской платой 10000 руб./месяц;
тариф Business с абонентской платой 40000 руб./месяц;
тариф Professional с абонентской платой по запросу [17]. Стоимость тарифа Start на 1 год будет составлять 120000 руб. Стоимость тарифа Business на 1 год будет составлять 480000

руб.

Чтобы внедрить данную программу во все 14 территориальных банков, потребуется 480000*14407 = 6 915 360 000 ру^б.

Выручка ПАО "Сбербанк России" за 2018 год составила 674 млрд. руб.

Итоговая стоимость всех предлагаемых мероприятий составит 8365656049 руб.

ЗАКЛЮЧЕНИЕ

Защита информации в банке представляет собой комплексную проблему, которая охватывает не только его руководство и сотрудников, но и простых обывателей, доверяющих банкам свои денежные средства.

ПАО "Сбербанк России" серьёзно подходит к решению проблем информационной безопасности, используя новейшие технологии, а также стараясь обезопасить своих клиентов и повысить их знания в области кибербезопасности.

В данной работе были представлены несколько мероприятий, которые могут служить альтернативами уже имеющихся в банке технологий защиты.

В процессе написания данной работы были выделены цели, задачи и принципы информационной безопасности на предприятии.

Были достигнуты поставленные задачи:

были изучены теоретические аспекты информационной безопасности на предприятии, раскрыты цели, задачи и принципы;
была рассмотрена хозяйственная деятельность ПАО "Сбербанк России" и проанализирована организация защиты информации на данном предприятии;
были предложены мероприятия по оптимизации защиты информации в ПАО «Сбербанк» и оценены затраты, необходимые на их реализацию.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ.
Парошин А.А. Нормативно - правовые аспекты защиты информации Учебное пособие / Издательство Дальневосточного федерального университета, 2010. 115с.
Цели и задачи информационной безопасности // URL: http://www.managertip.ru/tubvs-665-1.html (дата обращения: 04.05.2018)
Громов Ю.Ю. Методы организации защиты информации / Ю.Ю. Громов, О. Г. Иванова, Ю. Ф. Мартемьянов и др. Издательство ФГБОУ ВПО «ТГТУ», 2013. 79с
Угрозы информационной безопасности // URL:

https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/ugrozy- informatsionnoj-bezopasnosti/ (дата обращения: 19.05.2018)

DoS-атака // URL: https://ru.wikipedia.org/wiki/DoS-атака (дата обращения: 01.06.2018)
Устойчивость и надежность банка // URL:

http://analizbankov.ru/bank.php?BankId=sberbank-rossii- 1481&BankMenu=nadezhnost (дата обращения: 31.05.2018)

Годовые отчёты ПАО «Сбербанк России» // URL: http://www.sberbank.com/ru/investor-relations/reports-and- publications/annual-reports (дата обращения: 21.05.2018)
Овечкин О. "Сбербанк" впервые передал данные между офисами по квантовой связи // URL: https://rb.ru/news/quantum-sber/ (дата обращения: 29.05.2018)
Нашилов Е. Сбербанк считает мошенничество основной угрозой безопасности // URL: https://threatpost.ru/sberbank-claims-social- engineering-is-the-main-threat/23652/ (дата обращения: 12.06.2018)
Еремина А. Сбербанк защитил сотрудников от фишинга с

помощью игры // URL:

https://www.vedomosti.ru/finance/articles/20 17/02/15/677749-sberbank- igru (дата обращения: 01.06.2018)

Литова Е. Число кибератак на Сбербанк в 2018 году выросло

в 1,5 раза // URL:

https://www.rbc.ru/finances/01/06/2018/5b0fd6c19a7947610ae17c83 (дата обращения: 12.06.2018)

Профайлинг // URL: https://ru.wikipedia.org/wiki/Профайлинг (дата обращения: 18.05.2018)
Бируля И. Нетехнические методы защиты информации:

профайлинг на службе ИБ // URL: https://www.anti-

malware.ru/practice/methods/information-security-profiling (дата

обращения: 31.05.2018)

КИБ СерчИнформ // URL: https://searchinform.ru/products/kib/ (дата обращения: 01.06.2018)
Офисный контроль и DLP Safetica // URL: https://www.esetnod32.ru/business/services/eta/dlp/ (дата обращения: 01.06.2018)
Тарифы на защиту от DDoS-атак // URL: https://variti.com/ru- ru/tariffs/ddos-protection/ (дата обращения: 31.05.2018)