Система защиты информации в банковских системах (Понятие и значение информационной безопасности в банковской деятельности)

Содержание:

ВВЕДЕНИЕ

Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемой информации.

Опираясь на многолетний опыт и экспертизу в области аутентификации, защиты персональных данных, обеспечения конфиденциальности информации и безопасной работы в сети Интернет, компании по средствам защиты информации реализует разработку и поставку средств защиты, отвечающих национальным и международным стандартам в области информационной безопасности. Комплексные решения на их основе востребованы в различных секторах отечественной экономики, в том числе в государственно-административном, банковском и ряде других.

Решения для банковских и финансовых систем обладают рядом специфических особенностей. Во-первых, обеспечение информационной безопасности носит совершенно явный прикладной характер – противодействие мошенничеству и защита финансов. Во-вторых, необходимость строгого соответствия требованиям российского законодательства и отраслевым стандартам. В-третьих, массовое применение этих решений обусловливает требования простоты и удобства использования, необязательности специальных знаний и умений при обеспечении безопасности работы с удаленными сервисами.

Банковская сфера является одной из самых динамично развивающихся на российском рынке. Об этом свидетельствуют как темпы роста отрасли, так и количество сервисов, предлагаемых клиентам.

Цель настоящей работы – рассмотреть систему защиты информации в банковских системах

Для достижения поставленной цели в ходе работы решены следующие задачи:

• изучены основные положения по информационной безопасности банковских систем;
• рассмотрена система информационной безопасности ПАО «СБЕРБАНК».

Структурно работа состоит из введения, двух глав, заключения и списка литературы.

1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАНКОВСКИХ СИСТЕМ

1.1 Понятие и значение информационной безопасности в банковской
деятельности

Развитие информационных технологий и внедрение их во все сферы деятельности влечет за собой не только повышение качества жизни и ведения бизнеса, но и порождает новые проблемы – проблемы информационной безопасности. С каждым годом увеличивается количество компьютерных преступлений, в том числе трансграничных, возрастают их корыстная направленность, наносимый ими материальный ущерб. Информационные технологии все чаще используются для совершения традиционных преступлений – хищений, вымогательств, мошенничества и террористической деятельности.

Важнейшей частью информационной безопасности любого государства является информационная безопасность в банковской деятельности. Вопросы обеспечения информационной безопасности каждого банка являются жизненно важными в силу ряда причин:

• с точки зрения информационной безопасности банк как сосредоточение «живых» денег – организация повышенного риска, незаконное манипулирование с информацией из автоматизированной системы которой может привести к серьезным убыткам;
• современный банк предоставляет большое число сервисов, связанных с удаленным доступом к его информационной системе (персональный интернет-банкинг, интернет-доступ к финансовым рынкам, электронный документооборот и многое другое). С этих позиций банк – «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей;
• банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных, а управление ими осложняется территориальной распределенностью, наличием у банков филиалов и дополнительных офисов. При этом информационная система современного банка является основой функционирования почти всех его основных бизнес-процессов;
• банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов – юридических лиц;
• банки выполняют особую роль посредников при расчетах экономических субъектов. Негативные последствия сбоев в работе даже отдельных кредитных организаций в принципе могут привести к развитию кризиса платежной системы страны.

Указанные причины заставляют предъявлять жесткие требования к защите информационной системы современного банка. Основными из этих требований являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабность и отказоустойчивость. Следует отметить, что многие банковские информационные системы, как и большинство информационных систем, не обрабатывающих государственную секретную информацию, создавались стихийно. Соответственно, сложился разный уровень состояния информационной защищенности кредитных организаций.

Проблема защиты банковской информации и формирования систем информационной безопасности – одна из самых актуальных в настоящее время. Активное участие в развитии указанного направления принимает Банк России, регулярно публикуя стандарты в области информационной безопасности: Стандарт Банка России СТО БР ИББС–1.1–2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации; Аудит информационной безопасности»; Стандарт Банка России СТО БР ИББС–1.2–2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС–1.0–2010»; Стандарт Банка России СТО БР ИББС–1.0–2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Большинство кредитных организаций сейчас находится на этапе внедрения требований Банка России и, по прогнозам, на рекомендуемый уровень соответствия требованиям выйдут через 1–3 года^[1].

Построение надежной системы информационной безопасности, адекватной вложенным в нее средствам, непростая задача. Эффективная защита невозможна без комплекса организационных мер. Прежде всего должны быть определены цели, задачи, приоритеты и риски в области информационной безопасности, и с учетом этих факторов сформулированы требования к системе информационной безопасности, разработана политика информационной безопасности, ее регламенты, процедуры. Обеспечение информационной безопасности в банках должно быть постоянным и непрерывным процессом, а применяемые меры должны носить комплексный и преимущественно превентивный характер.

Информационная безопасность банка – состояние защищенности интересов организации в условиях наличия угроз в информационной сфере, обеспечивающее формирование, использование и дальнейшее развитие информационной среды банка. Соответственно, защита информации представляет собой деятельность, направленную, в частности, на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, и другие действия, т. е. деятельность, направленную на достижение и поддержание состояния защищенности нуждающейся в этом информации. Защита конфиденциальности, целостности и доступности информации банка является частью процесса обеспечения его информационной безопасности.

Проблемы защиты информации в банке связаны прежде всего с обширностью и емкостью информации, с разнообразием и техническими характеристиками используемого аппаратного обеспечения и территориальной удаленностью информационных каналов для пользователей информации.

Проанализировав возможные угрозы надлежащему хранению информации в банке, авторы составили рейтинг (на основе мнения специалистов) значительности угроз:

• преднамеренное хищение информации внутри организации;
• халатность сотрудников, допустивших утечку информации;
• аппаратные и программные сбои;
• вредоносные программы;
• внешнее финансовое мошенничество;
• хакерские атаки;
• стихийные бедствия и катаклизмы.

Угрозы банковским информационным системам, их конкретные проявления и причины возникновения представлены в таблице 1.

Таблица 1

Угрозы банковским информационным системам

Угрозы банковским информационным системам	Проявления угроз банковским информационным системам	Причина возникновения угроз банковским информационным системам
Преднамеренное хищение / изменение информации внутри организации	несанкционированный доступ к секретной или конфиденци­альной информации как банка, так и клиента и ее хищение или искажение преднамеренная порча электронных данных и их носителей при их хранении в банке, в ходе записи или перевозки	мошенничество сотрудников и низкий уровень внутреннего кон­троля
Халатность сотрудни­ков, допустивших утеч­ку информации	внедрение в линию связи между другими участниками расче­тов в системе интернет-банкинга в качестве активного тайного ретранслятора осуществлением платежей по счетам клиентов на основании сфальсифицированных поручений	низкая квалификация персонала и низкий уровень внутреннего контроля
Аппаратные и программные сбои	изменение функций программного обеспечения поломка аппаратуры	устаревание и износ программно- технических средств использование некачественного программного обеспечения
Вредоносные программы	DDoS-атаки («зомби»-сеть) рассылка вирусов по электронной почте фишинговые атаки	устаревание и износ программно- технических средств использование некачественного программного обеспечения
Внешнее финансовое мошенничество	представление себя в качестве другого лица с целью уклоне­ния от ответственности, либо отказа от обязательств, либо использования прав третьего лица для: отправки фальсифицированного электронного сообще­ния на проведение банковской операции; фальсификации или кражи идентификационных данных или их носителей; фальсификации авторизации трансакций или их под­тверждения считывающие информацию на банковских картах устройства в банкоматах (скимминговые устройства)	высокий уровень преступности в обществе и низкий уровень инфор­мационной безопасности банков
Хакерские атаки	провоцирование других участников взаимодействия в системе интернет-банкинга на нарушение правил обмена электронны­ми сообщениями фальсификация или кража данных	высокий уровень преступности в обществе и низкий уровень инфор­мационной безопасности банков
Стихийные бедствия и катаклизмы, вандализм пользователей	поломка, выход из рабочего состояния оборудования банка преднамеренная порча оборудования банка	недостаточная пожарная и техни­ческая безопасность помещений банка низкий культурный уровень в об­ществе

Анализ структуры приведенных выше возможных информационных угроз показывает, что наибольший вред могут принести внутренние, а не внешние угрозы. Таким образом, информационная безопасность – не только техническая сфера, не только сфера информационных технологий, но также и область корпоративного управления и эффективной организации бизнеса.

1.2 Перечень конфиденциальных сведений банка

Анализируя банковскую информацию, нуждающуюся в защите, можно использовать разные критерии ее группировки. Такая информация должна быть ранжирована с присвоением соответствующего уровня конфиденциальности. Можно рекомендовать следующий типовой укрупненный перечень конфиденциальных сведений банка как объектов защиты (исходя из условий конкретного банка нуждающийся в последующей конкретизации и детализации):

1. Абсолютно конфиденциальные сведения (уровень ХХХ) включают в себя:

• информацию, составляющую банковскую тайну;
• закрытую информацию о собственниках, принадлежащих им активах, механизмах коммерческого партнерства с банком, формах участия в прибыли;
• информацию о стратегических планах банка по коммерческому и финансовому направлениям деятельности, вопросам перспективного регионального развития, слияния с другими кредитно-финансовыми организациями или поглощения их, о дружественных банках и иных финансовых институтах (особый характер отношений с которыми необходимо на время скрыть);
• любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий упреждающего противодействия и, частично, адекватного ответа;
• прикладные методы защиты информации банка (коды, пароли, программы);

1. Строго конфиденциальные сведения (уровень ХХ), которые могут включать в себя:

• все прочие конфиденциальные сведения о клиентах банка;
• информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;
• информацию о сотрудниках банка, содержащуюся в индивидуальных досье;

1. Конфиденциальные сведения (уровень Х), включающие в себя:

• базы данных по направлениям деятельности, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;
• сведения о заработной плате и индивидуальных социальных пакетах сотрудников банка, а также о составе резерва на выдвижение;
• внутренние регламенты (положения, инструкции, приказы и т. п.), используемые в системе внутрибанковского менеджмента;

1. Информация для служебного пользования, к которой следует отнести любые другие сведения, не подлежащие публикации в открытых источниках.

1.3 Меры обеспечения информационной безопасности банка

Важнейшим элементом системы информационной безопасности являются меры организационного характера, при этом необходимо в первую очередь систематизировать банковскую информацию, нуждающуюся в защите, в соответствующем внутреннем документе банка, в котором необходимо также закрепить ответственность сотрудников за ее надлежащее использование и хранение.

При хранении и защите информации в первую очередь должно соблюдаться требование о неизменности (сохранности) надлежащего качества информации. Это означает следующее.

1. Информация должна быть надежной (достоверной);

Информацию можно считать надежной (достоверной) в том случае, если она не искажает истинного положения дел. На практике выполнение этого требования достигается за счет использования методически правильной техники получения данных, а также путем перепроверки полученных сведений.

Управленческие решения, принятые на основе недостоверной информации, скорее всего будут ошибочными и будут вести к потерям для экономического субъекта.

1. Информация должна характеризоваться полнотой и регулярностью ее получения, что подразумевает систематическое поступление необходимого объема данных, а также должный уровень организации их хранения;

Информация удовлетворяет требованию полноты, если ее достаточно для понимания и принятия на ее основе верных управленческих решений. Неполнота информации не только сдерживает принятие решений, но и может стать причиной управленческих и исполнительских ошибок.

1. Информация должна представлять ценность, т. е. быть полезной, поскольку в противном случае она лишь отвлекает внимание, мешает осмыслению сущности процессов, событий, операций;

Ценность информации зависит от объема и значимости решаемых на ее основе задач.

1. Информация должна быть в достаточной степени подготовлена к применению, что позволяет своевременно и эффективно использовать ее для принятия управленческих решений;

Выполнение этого требования обеспечивается за счет соответствующей обработки данных и представления их в доступной, легко читаемой форме (например, в виде таблиц, схем, диаграмм, графиков).

1. Информация должна удовлетворять и такому важному требованию, как сопоставимость;

Без этого обработка новых данных становится бессмысленной. Сопоставимость данных достигается за счет использования единой методической базы наблюдений и регистрации показателей во всех подразделениях банка, включая филиалы и иные территориально удаленные подразделения.

1. Информация должна быть своевременной и быстро доступной для представления в заданный момент требования;

Пользователей информации при этом может быть несколько, и всем им необходимо обеспечить возможность использования нужной информации. Для проведения многих видов операций необходимо иметь доступ к данным в режиме реального времени.

1. Информация должна быть актуальной на тот момент, когда она становится доступной для ее использования;

Требования к актуальности существенно возрастают при работе в постоянно меняющихся условиях. Временной период, в течение которого информация остается актуальной, зависит, в частности, от природы принимаемых на ее основе решений, но в любом случае этот период должен быть меньше того времени, которое отводится для принятия управленческого решения.

1. Информация должна характеризоваться целостностью и конфиденциальностью, что предполагает защиту от сбоев, ведущих к ее потере, от несанкционированных изменений или уничтожения данных.

Также должен быть обеспечен ограниченный доступ к информации, предназначенной только для авторизованного пользователя.

К банкам представляется большое количество требований и рекомендаций по обеспечению информационной безопасности. Например, постановления Центрального банка Российской Федерации, различные стандарты: стандарт СТО БР ИББС-1.0-2006, СТО БР ИББС-1.0-2014, которые посвящены управлению информационной безопасностью банка, международные стандарты, требования Basel II; требования международных платежных систем и т.д.

В связи с усилением защиты банковской информации разработан настоящий стандарт по обеспечению информационной безопасности организаций банковской системы Российской Федерации. Разработанный стандарт является основным для развивающей и обеспечивающей его группы документов в области стандартизации по обеспечению информационной безопасности организаций банковской системы России.

Основными целями введения Стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0 являются:

• повышение доверия к банковской системе Российской Федерации;
• повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе – стабильности функционирования банковской системы Российской Федерации в целом;
• достижение адекватности мер по защите от реальных угроз информационной безопасности;
• предотвращение и (или) снижение ущерба от инцидентов информационной безопасности^[2].

Среди основных задач Стандарта выделяют следующие:

• установление единых требований по обеспечению информационной безопасности организаций банковской системы Российской Федерации;
• повышение эффективности мероприятий по обеспечению и поддержанию информационной безопасности организаций банковской системы Российской Федерации.

В настоящее время безопасность российских банков обеспечивается на основе отечественных нормативных требований отраслевых стандартов Центрального банка Российской Федерации СТО БР ИББС – 1.0-2014. Данный стандарт принят и введен действие Распоряжением Банка России от 17 мая 2014 года. Согласно данному стандарту выделяются основные требования к гарантированию безопасности, предоставляются определенные списки мер информационной безопасности в связи с назначением и разделением ролей и установлением доверия к сотрудникам банка, при регулировании доступа и регистрации клиентов, при применении источников сети Интернет и средств криптографической безопасности информации, а также при обработке персональных данных и т.д.^[3]

В настоящее время стало необходимым наличие в каждом банке «Политики информационной безопасности банка», главного документа при формировании системы его информационной безопасности. В данном документе выделяются серьезные угрозы безопасности информации в банке, представляется описание объектов защиты, устанавливаются ключевые задачи информационной безопасности, а также меры по обеспечению информационной безопасности банковской системы.

Главными элементами системы информационной безопасности банка являются:

• авторизация и аутентификация;
• защита от несанкционированного доступа к системам, в том числе и внутренняя защита от незаконного доступа сотрудников банка;
• защита каналов передачи данных, обеспечение целостности и актуальности данных при обмене информацией с клиентами;
• обеспечение юридической значимости электронных документов;
• управление инцидентами информационной безопасности;
• управление непрерывностью ведения бизнеса;
• внутренний и внешний аудит системы информационной безопасности^[4].

При формировании системы информационной безопасности банка следует учесть и такие функциональные требования к системе:

• получение от должностных лиц в зависимости от их иерархической подчиненности той информации, которая необходима им для решения поставленных задач;
• возможность использования должностными лицами всего арсенала средств математического и программного обеспечения в интересах принятия решений;
• обеспечение диалогового взаимодействия участников при работе с системой;
• соответствие процессов функционирования и применения системы методам и логике деятельности должностных лиц;
• соответствие особенностей хранения информации свойствам ее источников и потребителей, обеспечение требуемой срочности, периодичности и очередности ее представления;
• возможность объективного контроля и проверки промежуточных данных и результатов на основе протоколирования^[5].

Долгосрочное адекватное функционирование системы информационной безопасности способно обеспечить только систематическое поддержание баланса между всеми составляющими системы и элементами ее окружения. Такое соответствие является основной задачей поддержания информационной безопасности в банковской деятельности^[6].

2. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПАО «СБЕРБАНК РОССИИ»

2.1 Краткая характеристика ПАО «СБЕРБАНК РОССИИ»

СБЕРБАНК России является крупнейшим Российской Федерации и стран СНГ. Учредителем основным акционером СБЕРБАНКа России Центральный банк Российской Федерации, владеющий % уставного капитала одна голосующая . Другими акционерами Банка являются и российские .

Полное наименование банка: Публичное общество «СБЕРБАНК России».

Сокращенное фирменное банка: ПАО «СБЕРБАНК России» (далее или СБЕРБАНК).

Основным акционером является: Центральный банк Российской Федерации ( – ЦБ РФ, Банк России).

Центральный офис банка по адресу: , Россия, Москва, ул. Вавилова, д. .

Банк работает на Генеральной лицензии на банковских операций № , выданной Банком России 8 2012 года. Кроме , СБЕРБАНК имеет лицензии осуществление банковских на привлечение вклады и драгоценных металлов, операции с металлами, лицензии участника рынка бумаг на брокерской, дилерской, деятельности, а на деятельность управлению ценными .

Приоритетными направлениями деятельности СБЕРБАНКа :

• операции с клиентами: обслуживание и текущих , открытие депозитов, финансирования, выдача , обслуживание экспортно- операций, инкассация, услуги, денежные в пользу лиц и .
• операции с клиентами: принятие во вклады ценные бумаги Банка, , обслуживание банковских , операции с металлами, купля- иностранной валюты, , денежные переводы, ценностей и .
• операции на рынках: с бумагами, производными инструментами, иностранной ; размещение и средств на рынке и капитала и .

Все розничные кредиты СБЕРБАНКе выдаются по «Кредитная фабрика», созданной эффективной оценки рисков и высокого качества портфеля. 

Стремясь сделать более удобным, и технологичным, СБЕРБАНК каждым годом более совершенствует дистанционного управления клиентов. В банке система удаленных обслуживания, в входят:

• интернет- «СБЕРБАНК Онлайн» (более 13 . активных пользователей);
• приложения «СБЕРБАНК Онлайн» для (более 1 . активных пользователей);
• SMS- «Мобильный банк» (более млн. активных );
• одна из в мире банкоматов и самообслуживания (более тыс. устройств).

СБЕРБАНК России, состоянию на 2016 года, 17 493 и 16 банков в субъектах РФ.

В 2010 СБЕРБАНК начал реализацию переформатирования филиальной . С того момента СБЕРБАНК почти 6 . точек обслуживания формата, из около 1, тыс. в году. За 4 переформатировано 68% филиальной сети.

В программы Банк модернизирует и делает более комфортными клиента, адаптирует под определенные клиентов. Во всех нового формата сервис самообслуживания формате 24/.

В 2015 году СБЕРБАНК реализацию программы «Переформатирование филиальной сети»,  рамках которой создать удобные, и многофункциональные обслуживания для клиентов. В 2015  было модернизировано  подразделений, из  57 организовано  нуля. В переформатированных выстроена понятная навигации, выделены для консультаций и ожидания.

Всего  начала реализации открыто 6, тыс. точек клиентов, обеспечивающих стандарты комфорта  сервиса. Ввиду того, большая часть бизнеса сосредоточена  крупных городах, акцент мы  на переформатировании сети в  пунктах с  более 100 . человек (69 %  общего количества подразделений).

Сельские офисы в силу причин, например, состояния помещения отсутствия альтернативных в конкретном пункте. При этом отдаленных территориях мобильные банковские , создаются офисы быстровозводимых модульных . При наличии технической в сельских устанавливаются устройства .

Схематически построение филиальной банка отображено рисунке 1.

Каждый как структурное СБЕРБАНКа России предоставляет весь банковских услуг лицам, финансовым , корпоративным клиентам, предпринимателям. Наибольшим спросом населения пользуются рода кредитные , благодаря которым могут осуществить цели.

ПАО «СБЕРБАНК России»

Территориальные банки

Отделения территориальных
банков

Филиалы (дополнительные офисы банковского обслуживания)

Рисунок 1 – Построение сети ПАО «СБЕРБАНК России»

На рисунке представлена организационная ПАО «СБЕРБАНК России» и положение ней территориальных .

Общее собрание акционеров – руководящий орган СБЕРБАНКа России. На Общем акционеров принимаются по основным деятельности банка, как:

• внесение и дополнений Устав банка или Устава банка в редакции;
• реорганизация ;
• ликвидация банка, ликвидационной комиссии утверждение промежуточного окончательного ликвидационных ;
• избрание членов Наблюдательного банка, Президента, Председателя Правления банка, Ревизионной банка и прекращение их ;
• утверждение аудитора и др.

Для контроля над -хозяйственной деятельностью избирается Ревизионная комиссия, проверяет соблюдение законодательных и актов, регулирующих деятельность, постановку контроля в , законность совершаемых . Ревизионная комиссия дает достоверности данных, в годовой и содержащихся годовой бухгалтерской банка.

Общее собрание акционеров

Ревизионная комиссия

Наблюдательный совет

Комитеты
Наблюдательного совета

Правление, Президент,
Председатель Правления

Комитеты при Правлении

Коллегия Банка

Председатель территориального банка

Заместители председателя

Главный бухгалтер

Аппарат отделения
территориального банка

Рисунок 2 – Организационная ПАО «СБЕРБАНК России»

Наблюдательный совет банка из 17 , среди которых представителей Банка России, 2 Правительства Российской Федерации, 2 представителя СБЕРБАНКа России 7 независимых .

Наблюдательный совет банка общее руководство банка, за решения вопросов, Уставом банка к общего собрания . К компетенции Наблюдательного совета относятся следующие :

• определение приоритетных деятельности банка;
• внутренних документов ;
• открытие и филиалов, открытие банка и ликвидация;
• одобрение сделок в , предусмотренных федеральным и др.

Комитеты Наблюдательного являются органами, для предварительного наиболее важных , отнесенных к Наблюдательного совета, и рекомендаций по . Формирование комитетов осуществляется из числа Наблюдательного совета. В состав комитета входят директора. Комитеты способствуют взаимодействию с управления банка. Решения носят рекомендательный .

Для осуществления контроля финансово-хозяйственной Сбербанка годовым Общим собранием избирается Ревизионная комиссия количестве 7 . Ревизионная комиссия проверяет банком законодательных других актов, его деятельность, внутреннего контроля банке, законность операций. Ревизионная комиссия оценку достоверности , включаемых в отчет и в годовой отчетности банка.

Таким , организационная структура Сбербанка в соответствии Уставом банка и максимально учесть каждого направления банка.

Среди клиентов Сбербанка – 1 млн. (из 4, млн. зарегистрированных лиц в России). Банк все группы клиентов, причем долю малых средних компаний более 35% кредитного портфеля . Оставшаяся часть – это крупных и корпоративных клиентов. 

2.2 Особенности обеспечения информационной безопасности ПАО «СБЕРБАНК»

С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке.

В настоящее время безопасность ПАО «Сбербанк» обеспечивается на основе отечественных нормативных требований отраслевых стандартов Центрального банка Российской Федерации СТО БР ИББС -1.0-2014. Данный стандарт принят и введен действие Распоряжением Банка России от 17 мая 2014 года. Согласно данному стандарту выделяются основные требования к гарантированию безопасности, предоставляются определенные списки мер информационной безопасности в связи с назначением и разделением ролей и установлением доверия к сотрудникам банка, при регулировании доступа и регистрации клиентов, при применении источников сети Интернет и средств криптографической безопасности информации, а также при обработке персональных данных и т.д.

Техническая защита персональных данных и другой защищаемой информации осуществляется в соответствии с требованиями Положения Банка России от 9 июня 2012 г. № 382-11 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств центральный банк Российской Федерации» и Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», предъявляемых к ИСПДн первого уровня защищенности.

Подразделениями информационной безопасности внедрены технологии выявления мошеннических операций, которые за 2017 год выявили и пресекли 25 попыток хищения средств юридических и свыше 154 тыс. попыток хищения средств физических лиц, предотвратив общий ущерб на сумму более 2,8 млрд руб.

С целью обеспечения безопасности информации в ПАО «Сбербанк России» создана система защиты информации, представляющая собой совокупность направлений, требований, средств и мероприятий, сокращающих уязвимость информации и противодействующих незаконному доступу к информации и её утечке

Для увеличения экономической безопасности ПАО «Сбербанк России» концентрируется на выборе персонала, периодически организовывает инструктажи по безопасности. В контрактах ПАО «Сбербанк России» отчетливо выделены персональные требования, функции к персоналу, а также ответственность за различные нарушения, так как в большинстве случаев именно он существенно влияет на информационную безопасность банка. Также, в деятельности Сбербанка широкое распространение получает введение в служебных документах грифа секретности и назначение увеличения суммы оклада для соответствующих категорий персонала^[7].

Самым крупным и развивающимся банком Приволжского федерального округа является Волго-Вятский банк Сбербанка России. В его составе находится примерно 2 300 филиалов, что гарантирует удобный доступ к услугам банка для всех клиентов. В состав Волго-Вятского банка входят банки Республики Мордовии, Чувашии, Татарстана, Марий-Эл, а также Нижегородской, Кировской и Владимирской областей. Так как Сбербанк России отводит много времени на обеспечение информационной защиты, то для наиболее результативной организации ею и увеличения быстроты реагирования на, различного рода, угрозы нужен был инструмент, объединяющий информационную инфраструктуру банка. С данной целью был сформирован центр управления информационной безопасности SOC (Security Operation Center), который основывался на базе решения компании ArcSight ESM – лидера в сфере решений по контролю случаев нарушения безопасности и уровня исполнения норм отраслевого регулирования.

Обычно под определением Security Operation Center (SOC) понимают некоторую систему, которая построена на основе продукции класса SIEM (Security Information and Event Management), предназначенной, в свою очередь, для сбора и хранения лог-файлов устройств и приложений для их дальнейшего анализа и обнаружения инцидентов^[8].

В настоящее время SOC на основе SIEM-продуктов помогает компаниям решать некоторые важнейшие задачи:

• собирать и хранить лог-файлы в едином централизованном хранилище;
• предъявлять специализированные отчеты аудиторам для соответствия требованиям законодательства и отраслевым стандартам;
• определить некоторую "базовую линию" сетевой активности организации, превышение которой может свидетельствовать о различных атаках;
• выполнять корреляцию событий между различными источниками.

Это предоставило возможность Волго-Вятскому банку осуществить ряд задач, в числе которых и мониторинг безопасности прикладных систем и сервисов, введение сбора необходимой информации^[9].

Кроме того, была создана система оповещения персонала банка об угрозах информационной безопасности. Благодаря этому в настоящее время специалисты быстро реагируют на различные угрозы. Данные системы информационной безопасности необходимы для больших федерально-распределенных компаний, нуждающихся в надежности и бесперебойности работы информационных систем.

Аналитики компании «Доктор Веб» зафиксировали в апреле 2018 года распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп. Ущерб, который может нанести Android.BankBot.358.origin, превышает 78 млн. руб.

Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 г. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 тыс. мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 млн руб. Кроме того, киберпреступники могут похитить более 2,7 млн. руб. со счетов мобильных телефонов.

Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке.

При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.

Пресс-служба Сбербанка оперативно отреагировала на сообщение компании «Доктор Веб» и разослала в редакции СМИ сообщение о том, что специалистам банка уже давно известно о существовании описанной вредоносной программы, а приложение «Сбербанк Онлайн» со встроенными антивирусом способно защитить мобильные устройства от подобных атак.

ЗАКЛЮЧЕНИЕ

Для того, чтобы противостоять угрозам из Интернет и обеспечить более эффективное использование рабочего времени сотрудниками, необходимо комплексное решение – надежное, производительное, масштабируемое, отказоустойчивое и легкое в управлении.

Задача по защите, лицензированию и распространению программного обеспечения стоит перед каждым разработчиком коммерческих приложений.

Пиратство и недобросовестная конкуренция со стороны других производителей, которые могут воспользоваться уникальными наработками и применить их в своих продуктах, до сих пор являются острыми проблемами российского рынка программного обеспечения.

Крайне важно для разработчика грамотно организовать защиту программного обеспечения и его лицензирование. Наиболее актуальна эта задача для многофункционального программного обеспечения, состоящего из нескольких компонентов, каждый из которых может продаваться отдельно. Кроме того, часто программы удобно продавать в рассрочку или по подписке.

Применение технологий строгой аутентификации, шифрования и аудита доступа к данным значительно снижают риски несанкционированного доступа, просмотра и изменения информации со стороны неуполномоченных пользователей и администраторов.

Таким образом, за последние 20 лет произошли существенные изменения в сфере информационной безопасности банковских систем. Однако, с огромной ролью информационных технологий в жизни общества, появляется всё большая необходимость в безопасности, так как риски и угрозы воздействия на информационную безопасность постоянно растут. В планах ПАО «Сбербанк России» – расширить зоны охвата и усилить работу центров мониторинга и удаленных постов видеоконтроля, включая контроль «зон 24» в ночное время; активно противодействовать взломам УС методом подрыва (дооснастить зоны УС газоанализирующим оборудованием, генераторами тумана, звуковыми сиренами); совершенствовать договорные отношения с охраняющими организациями.

При наступлении инцидентов информационной безопасности существенно увеличивается риск и вероятность нанесения ущерба организациям банковской системы Российской Федерации. Следовательно, для организаций банковской сферы Российской Федерации данные угрозы являются очень опасными.

СПИСОК ЛИТЕРАТУРЫ

1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ (с изменениями и дополнениями) «Об информации, информационных технологиях и о защите информации» // Собр. законодательства Рос. Федерации. – 2006. – № 31. – Ч. 1. – Ст. 3448
2. Федеральный закон «О коммерческой тайне» от 29.07.2004 № 98-ФЗ
3. ГОСТ Р 50922-2006 – Защита информации. Основные термины и определения.
4. ГОСТ Р 51275-2006 – Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
5. ГОСТ Р ИСО/МЭК 17799 – «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением – ISO/IEC 17799:2005.
6. ГОСТ Р ИСО/МЭК 27001 – «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта – ISO/IEC 27001:2005
7. Банковские риски: учебник/ коллектив авторов: под ред. О.И. Лаврушина, Н.И. Валенцевой. – 3-е изд., перераб. и доп. – М.: КНОРУС, 2013
8. Государственная программа Российской Федерации «Информационное общество (2011–2020 годы)», утвержденная распоряжением Правительства от 20.10.2010 г. № 1815-р
9. Ефремова Л. И. Формирование информационно-аналитической системы в области энергосбережения // Информационное общество. – М., 2013. – № 3. – С. 49-57
10. Ефремова Л. И. Формирование корпоративной информационной системы энергетической компании с использованием геоинформационной системы // Информационные системы и технологии. – 2014. – № 3 (83). С. 39-43
11. Марченко В.С. Защита экономической информации в коммерческом банке // Информационные системы и технологии: управление и безопасность. – 2013. - № 2. – С. 247-253
12. Математические методы защиты информации. Ч. 3 : методические указания / сост. М. В. Краснов; Яросл. гос. ун-т им. П. Г. Демидова. – Ярославль: ЯрГУ, 2013
13. Сашенко А.С. Защита информации банков и коммерческих организаций // Альманах мировой науки. – 2017. - № 1-1 (16). – С. 86-88
14. Cветлова В.В. Задачи комплексной информационной системы обеспечения экономической безопасности коммерческих банков // Евразийский юридический журнал. – 2015. – № 8. – С. 253-256.
15. Тысячникова Н.А., Сандалов И.В., Юденков Ю.Н. Интернет-технологии в банковском бизнесе: перспективы и риск. Учебно-практическое пособие. – М.: КНОРУС, 2011
16. Чекардовская И.А., Бакановская Л.Н., Торопова И.А. Эффективная система проектирования производственных процессов // Научное обозрение. – 2015. – № 5. – С. 272-278
17. Банки URL: http://www.aladdin-rd.ru/sectors/finance
18. Контентная фильтрация

URL: http://www.aladdin-rd.ru/solutions/filtering

1. Информационная безопасность организаций банковской системы Российской Федерации [Электронный ресурс] // Центральный банк Российской Федерации. – Режим доступа: http://www.cbr.ru/credit/gubzi_docs
2. Новые технологии в Security operation center [Электронный ресурс]. – Режим доступа: http://www.bytemag.ru/articles/detail.php?ID=22469
3. Обеспечение информационной безопасности современного банка [Электронный ресурс]. – Режим доступа: http://www.topsbi.ru/?artID=943
4. Особенности обеспечения информационной безопасности в банковской системе [Электронный ресурс]. – Режим доступа: http://www.antimalware.ru/analytics/Technology_Analysis/Features_information_security_in_the_banking_system
5. Официальный сайт Сбербанка [Электронный ресурс] // Режим доступа: http://www.sberbank.com/ru/investor-relations/reports-and-publications/ifrs
6. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» [Электронный ресурс] // Центральный банк Российской Федерации. – Режим доступа: http://www.cbr.ru/credit/Gubzi_docs/st-10-14.pdf
7. Ханнанова Е.Н. «Информационная безопасность Сбербанка России» [Электронный доступ]. – Режим доступа: http://www.scienceforum.ru/2015/1005/9978
8. Центр управления информационной безопасности в Волго-Вятском банке Сбербанка России [Электронный ресурс]. – Режим доступа: http://www.nvg.ru/projects/ibcenter-sberbank

1. Токаренко А. СТО БР ИББС: рекомендовано к обязательному применению // Банковское обозрение. – 2010. - № 10. ↑

2. Информационная безопасность организаций банковской системы Российской Федерации [Электронный ресурс] // Центральный банк Российской Федерации. – Режим доступа: http://www.cbr.ru/credit/gubzi_docs ↑

3. Особенности обеспечения информационной безопасности в банковской системе [Электронный ресурс]. – Режим доступа:

   http://www.antimalware.ru/analytics/Technology_Analysis/Features_information_security_in_the_banking_system ↑

4. Обеспечение информационной безопасности современного банка [Электронный ресурс]. – Режим доступа: http://www.topsbi.ru/?artID=943 ↑

5. Ефремова Л. И. Формирование информационно-аналитической системы в области энергосбережения // Информационное общество. –М., 2013. – № 3. – С. 49–57 ↑

6. Ефремова Л. И. Формирование корпоративной информационной системы энергетической компании с использованием геоинформационной системы // Информационные системы и технологии. – 2014. – № 3 (83). – С. 39-43 ↑

7. Ханнанова Е.Н. «Информационная безопасность Сбербанка России» [Электронный доступ]. – Режим доступа: http://www.scienceforum.ru/2015/1005/9978 ↑

8. Новые технологии в Security operation center [Электронный ресурс]. –

   Режим доступа: http://www.bytemag.ru/articles/detail.php?ID=22469 ↑

9. Центр управления информационной безопасности в Волго-Вятском банке Сбербанка России [Электронный ресурс]. – Режим доступа: http://www.nvg.ru/projects/ibcenter-sberbank/ ↑