Противодействие угрозам информационной безопасности организации со стороны собственного персонала

Введение
Понятие «информационная безопасность» возродилось одновременно с появлением человеческого желания защищать свои данные от любой утечки. Защита информации – один из главных факторов для успешного развития организации в нынешних условиях рыночной конкуренции. Вопрос о качестве защиты информационных ресурсов занимает одно из первых мест в списке ключевых факторов компании.
Самое большое влияние на информационную безопасность организации оказывает собственный персонал. Повышение угроз безопасности именно с этой стороны обусловлено несколькими факторами, а именно: любое ослабление контроля за персоналом, увеличение свободы выбора в собственных решениях, либерализация в организации и повышение роли персонала в управлении компанией. Данные аспекты напрямую оказывают влияние на безопасность информации и показывают актуальность выбранной темы.
Целью работы является изучение и анализ обеспечения безопасности информации от угроз ее утечки со стороны персонала объекта исследования ООО «Империя Текстиля» и разработка рекомендаций по ее улучшению. Для этого были поставлены следующие задачи:
• исследовать потенциальные угрозы со стороны собственного персонала по их халатности или преднамеренному желанию;
• определить и исследовать угрозы безопасности данных в случае их разглашения;
• Внедрение основных методов защиты конфиденциальной информации от угроз со стороны собственного персонала организации;
• дать краткую характеристику

ООО «Империя Текстиля» и провести анализ текучести кадров;
• Провести анализ обеспечения защиты конфидициальной информации компании и выявить недостатки в ней;
• Разработка рекомендаций по улучшению защиты информации
А) В электронном виде
Б) Устная форма
В) Печатных носителях
Информационные материалы исследования брались из внутренних документов компании ООО Империя Текстиля, а так же устав и труды российских и зарубежных авторов.Материалы и результаты научных исследований, статистических сборников, . Также использовались действующие законодательные акты, семинары. В следствии написания данной работы, появится возможность исследовать как теоретические так и практические возможности противодействия угрозам информационной безопасности в организации. Данная работа поможет провести анализ методов исследуемых процессов и явлений вероятных и фактических угроз.
Данная работа включает в себя введение, три главы основного текста и заключение.
ГЛАВА 1. НЕЛОЯЛЬНЫЕ И БЕЗОТВЕТСТВЕННЫЕ СОТРУДНИКИ КАК СУБЪЕКТЫ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РАБОТОДАТЕЛЯ
1.1 ПОНЯТИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ И ПОТЕНЦИАЛЬНЫЕ УГРОЗЫ КОНКУРЕНТНЫМ ПОЗИЦИЯМ ОРГАНИЗАЦИИ В СЛУЧАЕ ЕЕ РАЗГЛАШЕНИЯ
В связи с развитием информатизации общества, появилась новая глобальная проблема — информационная безопасность. Большое количество важных интересов в настоящее время определяется состоянием информационной среды. Целенаправленные или непреднамеренные воздействия на информационную сферу со стороны внешних или внутренних источников могут наносить серьезный ущерб и представляют угрозы и риски для безопасности. Поэтому информационная безопасность в современных условиях является одним из самых необходимых условий нормального функционирования организации. Кадровая безопасность является одной из составляющих информационной безопасности (наряду с другими — финансовой, силовой, , технико-технологической, правовой, экологической). Практика показывает, что любая недружественная акция, направленная против интересов хозяйственного субъекта, начинается с сбора информации.
Информация обладает следующими свойствами:
• Ценность — Ценность информации зависит от того, насколько она важна для реше¬ния задачи, а также от того, насколько в дальнейшем она найдет применение в каких-либо видах деятельности человека.
• конфиденциальность — свойство информации быть защищенной от несанкционированного ознакомления;
• защищенность — свойство, характеризующее невозможность несанкционированного использования или изменения информации;
• аутентичность — свойство информации, позволяющей идентифицировать источник ее происхождения (устанавливать авторство)
Общеизвестный факт, что информация с ограниченным доступом имеет как моральную, так и материальную ценность. По своему содержанию информация с ограниченным доступом охватывает всю совокупность сведений, составляющих секретную и конфиденциальную информацию. Информация с ограниченным доступом — это прежде всего сведения, данные и знания, известные определенному кругу лиц, имеющие для них особую ценность. Относительно доступа к этим сведениям применяются организационно-технические и правовые меры и мероприятия, направленные на ограничение доступа посторонних лиц. И следовательно незаконное получение, распространение или использование данных сведений может причинить владельцу моральный или материальный ущерб.
Понятие «конфиденциальная информация» ныне является неотъемлемой частью юридической лексики. В настоящий момент оно используется в нескольких сотнях нормативных правовых актов Российской Федерации. Не отстают от законодателя и правоприменители: все чаще в различных договорах можно встретить целые разделы или даже отдельные соглашения о конфиденциальности. Широкое распространение получило включение положений о запрете на распространение сведений конфиденциального характера в трудовых договорах.
Одно из пониманий конфидициальности это предотвращение возможности использования информации лицами, которые к ней не причастны. По мнению профессора В.А. Дозорцева, информация признается конфиденциальной именно потому, что она является объектом исключительного владения, пользования и распоряжения конкретного лица или лиц. Конфиденциальность информации означает доступность информации только адресату.
Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосредственный (личный) характер, так и характер передачи формируемых на основе информации сообщений посредством технических средств и средств коммуникаций (различных средств и систем связи).
Основными источниками конфиденциальной информации являются:
— персонал предприятия, допущенный к конфиденциальной информации;
— носители конфиденциальной информации (документы, изделия);
— технические средства, предназначенные для хранения и обработки информации;
средства коммуникации, используемые в целях передачи информации;
— передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.
К конфиденциальной информации относится информация, доступ к которой ограничивается с целью защиты коммерческой или клиентской тайны, а также иные данные, разглашение которых по тем или иным причинам нежелательно для конкретной организации. Иначе говоря, это любая информация, разглашение которой потенциально может нанести ущерб ее владельцу, пользователю или связанным с ними лицам.
С этих позиций близкими к данному понятию категориями являются:
клиентская тайна — разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести имущественный или неимущественный ущерб ее клиентам или партнерам по хозяйственной деятельности;
банковская тайна — конфиденциальные сведения о финансовой и коммерческой деятельности клиентов финансово-кредитной организации, которыми банк располагает как их доверенное лицо;
коммерческая тайна — разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести ей имущественный или неимущественный ущерб как хозяйствующему субъекту.
Любая конфиденциальная информация является таковой в силу ее значимости для отдельных физических или юридических лиц , групп или государства в целом . Вместе значимость подобного рода сведений обосновывается тем фактом, что они (сведения) не известны широкому кругу лиц и именно с этих позиций имеют определенную ценность. Формы и виды конфиденциальной информации можно классифицировать по различным позициям (см. рис. 1).
Рисунок 1. Классификация конфиденциальной информации организации
В целом, конфиденциальную информацию в сфере хозяйственной деятельности можно определять условно разделить на три сектора:
деловая информация предприятия или организации;
информация, касающаяся непосредственно фактических данных о субъекте хозяйствования (информация персонального характера);
ноу-хау — так называемые секреты производства.
Первая часть информации касается непосредственно информации о деятельности предприятия или организации в определенной сфере, а именно: различные базы данных (клиентов, адресов, контрагентов), результаты исследований статистического, маркетингового характера, конъюнктуры потребительского рынка и т.д.
Второй блок информации касается информации, характеризующей предприятие и неразрывно связанной с ним, такой как: сведения о банковских счетах, масштабах производства и разнообразных договорах, заключаемых данным предприятием и т.д.
Третий блок информации можно условно обозначить как «ноу-хау» или совокупность технических, технологических, коммерческих и других знаний, оформленных в виде технической документации, навыков и производственного опыта, необходимых для организации того или иного вида производства, но не запатентованных.
На современном этапе развития экономики и общества в целом информация, как объект интеллектуальной собственности компании, становится все более значимым инструментом на пути к коммерческому успеху. Научно технические разработки, экономические и организационные решения, которые неизвестны третьим лицам, могут оказывать компании конкурентные преимущества и служить основным или дополнительным источником дохода. В последнее время все больше владельцев такой информации начали осознавать необходимость ее защиты. В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает информационная безопасность. Это связано с растущим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создает качественно новые угрозы конфиденциальной информации и конкурентным позициям организации в случае ее разглашения.
Именно вследствие утечки коммерческой информации компании очень часто страдают от снижения возможности продажи лицензий на собственные научные разработки, от потери приоритета в освоенных областях научно технического прогресса, от роста затрат на переориентацию деятельности исследовательских подразделений, от роста расходов предприятия на создание новой рыночной стратегии и многих других.
Наряду с необходимостью защиты коммерческой тайны (т.е. информации, разглашение которой наносит ущерб самой организации), обеспечение информационной безопасности имеет еще один аспект. Он связан с сохранением той части конфиденциальной информации, разглашение которой наносит ущерб интересам ее клиентов. К ней относятся любые сведения о размерах и движении денежных средств на счетах клиентов (для финансово-кредитной организации), о финансовом состоянии партнеров и заемщиков, о переданном организации в доверительное управление имуществе или сохраняемых ценностях. Разглашение данной информации имеет своим основным негативным последствием потерю организацией деловой репутации и имиджа доверенного лица в глазах не только имеющихся, но и потенциальных партнеров и клиентов. Допустившая подобную «утечку информации» организация незамедлительно теряет наиболее перспективных партнеров из числа корпоративных структур и крупных индивидуальных клиентов .
Создание эффективной системы управления информационной безопасностью невозможно без четкого определения угроз охраняемой информации. Под угрозами информации принято понимать потенциальные или реально возможные действия в отношении информационных ресурсов, приводящие к неправомерному владению информацией.
Угрозы организации, связанные с доступом к конфиденциальной информации, можно классифицировать по следующим критериям (рис.2):
Рисунок 2. Классификация угроз, связанных с доступом к конфиденциальной информации
по критериям информационной безопасности (угрозы конфиденциальности данных и программ; угрозы целостности данных, программ, аппаратуры; угрозы доступности данных; угрозы отказа от выполнения операций);
по компонентам информационных систем, на которые нацелены угрозы (информационные ресурсы и услуги, персональные данные, ноу-хау, программные средства, аппаратные средства, программно-аппаратные средства);
по способу осуществления (случайные, умышленные, действия природного и техногенного характера);
по расположению источника угроз (внутренние и внешние).
Соответственно, можно выделить актуальные угрозы информационной безопасности, которые направлены на снижение конкурентных позиций организации в случае ее разглашения:
противоправный сбор и использование информации;
нарушение технологии обработки и хранения информации;
внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
вывод из строя, повреждение или разрушение средств и систем обработки информации, телекоммуникации и связи;
влияние на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
утечка информации по техническим каналам;
утечка информации по личным каналам;
внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций всех форм собственности;
уничтожение, повреждение, разрушение или хищение печатных, аудио-, видео-, электронных и других носителей информации;
перехват информации в сетях передачи данных и линиях связи, дешифрование этой информации;
навязывание недостоверной и ложной информации;
распространение информации, способной нанести ущерб репутации организации;
использование не сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации;
несанкционированный доступ к информации, находящейся в банках и базах данных;
нарушение законных ограничений на конфиденциальность и распространение информации.
Современный анализ ситуаций, связанных с доступом к конфиденциальной информации, свидетельствует о том, что финансовые компании и госструктуры постоянно сталкиваются с внутренними угрозами в этой сфере. Целесообразно привести несколько примеров инцидентов, произошедших за последнее время :
Управление Роскомнадзора по Санкт-Петербургу и Ленинградской области пришло к выводу, что ООО «ВКонтакте» нарушило законодательство о персональных данных. К ООО «ВКонтакте» применены административные и штрафные санкции (новость от 15.06.2012);
Великобритания. Городские власти Глазго принесли извинения перед гражданами и юридическими лицами, чьи данные хранились на похищенных ноутбуках. Всего подверглись угрозе 37 тыс. персональных данных (от 14.06.2012);
США. Федеральный кредитный союз Bethpage (BFCU) сообщил 86 тыс. своих клиентов о компрометации информации по их кредитным карточкам (от 13.06.2012);
В Рунете появилась новость о краже паролей пользователей LinkedIn (от 07.06.2012);
Сотрудник компании JPMorganChase&Co в Японии был признан виновным в разглашени инсайдерской информации, связанной с продажей акций компании NipponSheetGlassCo в 2012 г. (от 31.05.2012).
Отметим, что кчислу наиболее существенных внутренних угроз относятся действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, следствием которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д.
Специалисты по обеспечению экономической безопасности полагают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и мотивации персонала . Учитывая, что значительная часть внутренних угроз реализуется при участии или содействии персонала, можно считать, что основным источником таких угроз являются работники данной организации. Соответственно, объектом дальнейшего рассмотрения являются негативные риски и угрозы, связанные с деятельностью персонала организации и, в первую очередь, исходящие от ее безответственных и нелояльных сотрудников.
1.2 ОСНОВНЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ, ИСХОДЯЩИЕ ОТ ЕЕ БЕЗОТВЕТСТВЕННЫХ И НЕЛОЯЛЬНЫХ СОТРУДНИКОВ
конфиденциальный угроза защита информация
Человек всегда был уязвимым объектом для угроз утечки и потери информации. Почти 10 лет назад, в 2005 году организация CERT провела исследования E-CrimeWatchSurvey, в ходе которого было опрошено более 800 компаний, и каждая вторая компания хотя бы раз в течение года пострадала от утечки данных. Аналитики подсчитали, что 33,0 и 20,0% всех инцидентов утечки данных были вызваны действующими или бывшими сотрудниками соответственно. Это свидетельствует о то, что проблема существования нелояльных и безответственных сотрудников является достаточно болезненной для организации.
Для лучшего понимания возможностей утечки информации и определения способов ее предупреждения целесообразно рассмотреть существующие классификации самих нарушителей и классификацию угроз, связанных с персоналом. Так, существует несколько различных классификаций внутренних нарушителей – инсайдеров организации.
Одной из первых шаг в направлении классификации сделала международная научно исследовательская компания IDC, представившая свой взгляд на проблему в 2006 году. По версии IDC, система инсайдеров имеет четыре уровня: «граждане», «нарушители», «отступники», «предатели».
Верхний уровень составляют «граждане» — лояльные служащие, которые очень редко (если вообще когда-либо) нарушают корпоративную политику и этику и, в основном, не являются угрозой безопасности. На втором уровне находятся «нарушители», составляющие большую часть всех сотрудников предприятия. Эти сотрудники позволяют себе небольшие фамильярности, работают с персональной веб-почтой, играют на рабочем месте в компьютерные игры и осуществляют онлайн-покупки. Представители данного уровня нарушителей создают угрозу информационной безопасности, но эти инциденты являются случайными и непреднамеренными.
На следующем уровне находятся «отступники» — работники, которые большую часть рабочего времени делают то, что они делать не должны. Эти служащие злоупотребляют своими привилегиями по доступу к Интернету. Более того, такие сотрудники могут посылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, «отступники» представляют серьезную угрозу безопасности.
На самом нижнем уровне находятся «предатели». Это служащие, которые умышленно и регулярно подвергают конфиденциальную информацию компании опасности (обычно за финансовое вознаграждение от заинтересованной стороны). Такие сотрудники представляют реальную угрозу, но их сложнее обнаружить.
Более широкая классификация представлена российской компанией InfoWatch (см. табл. 1). Специалисты компании фокусируют внимание исключительно на защите данных от утечки, искажения и уничтожения информации, и поэтому их взгляды отличаются большей глубиной анализа.
Таблица 1.
Экосистема внутренних нарушителей, разработанная компанией InfoWatch
Тип Умысел Корысть Постановка задачи Действия при невозможности
Халатный — — — Сообщение
Манипулируемый — — — Сообщение
Обиженный + — Сам Отказ
Нелояльный + — Сам Имитация
Подрабатывающий + + Сам/Извне Отказ/Имитация/Взлом
Внедренный + + Извне Взлом
Халатные нарушители (также известные как «неосторожные») являются наиболее распространенным типом внутренних нарушителей. Их нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, намерения, пользы.
Нарушители, которыми манипулируют — это те сотрудники, которых обманным путем толкают на нарушение установленных норм. Такие сотрудники часто и не подозревают о том, что их действия приводят к потере конфиденциальных данных.
Обиженные нарушители (иначе говоря, саботажники) — это сотрудники, которые стремятся нанести ущерб компании по личным причинам. Чаще всего причиной такого поведения может быть обида, возникшая из-за недостаточной оценки их роли в компании, недостаточный размер материальной компенсации, ненадлежащее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря).
Следующий тип внутренних нарушителей — нелояльные нарушители. Прежде всего, это сотрудники, которые решили сменить место работы, или акционеры, которые решили открыть собственный бизнес.
Сотрудники, которые «подрабатывают» продажей конфиденциальной информации и внедренные внутренние нарушители — это сотрудники, цель которых определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее замаскировать свои действия.
Рассмотрим более подробно внешние и внутренние угрозы информационной безопасности организации, связанные с персоналом. Внешней считается такая угроза, источник которой находится за пределами предприятия, но именно из-за существования которой необходимо защищать информацию и по которой существуют угрозы внутренние. Ведь, если бы ни было заинтересованных лиц в получении информации предприятия, ее не нужно было бы защищать. К внешним угрозам можно отнести противоправную деятельность криминальных структур, конкурентов, фирм и частных лиц, занимающихся промышленным шпионажем и социальной инженерией.
Внутренние угрозы включают в себя неосторожные действия либо умышленные действия персонала по разглашению информации, а также аферы со стороны ведущих специалистов: «откаты», фальсификации документации предприятия при помощи электронной техники и Интернета, внесение «нужных» изменений в отчетные документы и т.д.
Рассмотрим эти угрозы более подробно:
1) Внешние:
а) Промышленный шпионаж. Впервые термин «промышленный шпионаж» был сформулирован в начале 60-х годов прошлого века во время семинара по методам сбора информации для менеджеров высшего звена, который проводился американской консалтинговой компанией ManagementInvestigationServices. Западные теоретики понимают под «промышленным шпионажем» добычу законным и незаконным путем у конкурирующих фирм (монополий, политических партий, физических и юридических лиц, правоохранительных органов) сведений или информации в сфере научных исследований, производства продукции по наиболее перспективным технологиям и т.д., а также персональных данных с целью их использования в конкурентной борьбе или в корыстных целях.
Целью промышленного шпионажа чаще всего бывают: либо проверка делового партнера на благонадежность, либо уничтожение конкурента или нанесения ему серьезных убытков. И, если при первом варианте нет прямой угрозы организации, то в втором, если конфиденциальная информация попадет в руки таких агентов, это может привести к очень серьезным последствиям для компании, заканчивая ее банкротством и ликвидацией.
По оценкам специалистов, на долю человеческого фактора, то есть на «болтливость» сотрудников, приходится до 60% всего утечки информации. другие 40% — это то, что удается перехватить техническими средствами.
При этом, используя технические средства, промышленные шпионы очень часто обращаются за помощью к сотрудникам компании, о которой стремятся заполучить информацию. Даже сотрудникам низшего звена под силу установить соответствующую аппаратуру для снятия информации. Поэтому промышленный шпионаж является важной внешней угрозой, от которой нужно защищаться. Однако, промышленные шпионы не достигали бы поставленной цели, если бы не угрозы внутренние: неосторожные или умышленные действия сотрудников.
б) Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабости человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора персональных данных о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.
К способам воздействия на человека через интернет в целях социальной инженерии:
Фишинг — вид интернет-мошенничества, с целью получение доступа к конфиденциальным данным пользователей — логинам и паролям. Данная операция достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (Rambler), банков или внутри социальных сетей (Facebook). В письме часто содержится ссылка на сайт, внешне неотличимый от настоящего. После того, как пользователь попадает на поддельную страницу, социальные инженеры различными приёмами побуждают пользователя ввести на странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет получить доступ к аккаунтам и банковским счетам.
Более опасным видом мошенничества, чем фишинг, является так называемый фарминг.
Фарминг — механизм скрытого перенаправления пользователей на фишинговые сайты. Социальный инженер распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения с необходимых сайтов на поддельные. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие социального инженера сайты.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате человек должен выдать определенную информацию, или совершить определенное действие. Этот вид атак применяется обычно по телефону. Чаще данная техника включает больше, чем просто ложь, и требует каких-либо предыдущих исследований (например, персонализации: дата рождения, сумма последнего счета и др.), с тем, чтобы обеспечить доверие человека.
«Троянский конь» — эта техника эксплуатирует интерес, или жадность человека. Злоумышленник отправляет e-mail, который содержит достаточно интересную для человека информацию, например, свежий компромат на сотрудника; вложение обычно содержит «вирус», считывающий информацию с компьютера адресата. Такая техника остается эффективной, пока пользователи по невнимательности открывают любые приложения.
«Дорожное яблоко» — этот метод атаки является адаптацией «троянского коня», и заключается в использовании физических носителей. Злоумышленник может подбросить инфицированный CD или флэш-носитель, в месте, где он может быть легко найден. Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать интерес.
Qui pro quo — злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, который опрашивает, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» сотрудник вводит команды, которые позволяют злоумышленнику запустить вредное программное обеспечение.
Классификация сотрудников к разглашению конфиденциальной информации организации приведена в рис. 2.
Рис 2. классификации внутренних нарушителей.
Халатные — самый распространённый вид внутренних нарушителей. В данную категорию обычно попадают среднестатистические сотрудники компании, обладающие не высоким уровнем компьютерной грамотности, а так же крайне не внимательные. Все нарушения данной категории инсайдеров, относительно конфиденциальной информации, ничем не мотивированы и не преследуют каких–либо целей. Они нарушают правила хранения и работы с конфиденциальной информацией, мотивируя свои действия только лучшими побуждениями. Угрозы, создаваемые ими, носят незлонамеренный, ненаправленный характер. Пример: сотрудник пытается скопировать и унести домой информацию, носящую конфиденциальный характер. Он не хочет её продать, он всего лишь планирует поработать над ней дома, для того, что бы уложиться в срок, сдать своевременно отчёт, запустить вовремя проект. При всей благовидности намерений, все его действия могут нанести не меньше урона компании, чем промышленный шпионаж.
Манипулируемые в большинстве своём являются жертвами социальной инженерии. Данные приёмы используются не только для получения обманным путем персональной информации пользователей, их паролей, номеров кредитных карт и т.д. По словам экс-хакера Кевина Митника, ныне называющегося «консультантом по вопросам ИТ-безопасности», именно социальная инженерия сегодня является «бичом» информационных систем. Пример: сотруднику поступает звонок от якобы директора филиала компании, который весьма уверенно представляется и исключительно правдоподобно описывает проблему, связанную с невозможностью доставки внутренней почты (временные технические сложности). Он просит переслать ему некоторую информацию (допустим финансовые прогнозы на следующий года) на его личный ящик, в какой-нибудь публичной почтовой службе. Сотрудника даже не подозревает, что звонивший вовсе не является тем, за кого он себя выдаёт. Настолько уверенно звучали его слова. И вот уже через несколько минут на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. Определить звонившего человека в такой ситуации достаточно проблематично. Понятно только одно, что он был заинтересован в получении данной информации, преследуя явно корыстные цели. Так же понятно, что сотрудник действовал только из благих побуждений, однако вред от его действий как и от действий халатных инсайдеров может быть не меньше чем от промышленного шпионажа. Так как данный вид нарушителей относиться к лояльной части сотрудников, при возникновении проблем с копированием и передачей закрытой информации они обращаются к коллегам, руководству, техническому персоналу, который в свою очередь укажут им он неправомерности планируемых действий.
Злонамеренные Нарушители
Данная группа нарушителей, в отличие от описанных выше, чётко осознают, что их действия наносят ущерб компании. Их можно разделить на четыре типа, опираясь на мотивы их враждебных действий и прогноз их поведения, это обиженные, «нелояльные», «подрабатывающие» и «внедренные».
Обиженные
Обиженные нарушители — сотрудники, стремящиеся нанести урон компании, преследуя свои личные мотивы. Как правило, данными нарушителями движет обида, возникшая из-за недостаточной оценки их роли и компании, отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, телефон), низкая зарплата, маленькая должность, отсутствие элементов моральной мотивации. Его существенным отличаем от всех других видов инсайдеров являются два фактора его поведения: сотрудник не собирается покидать компанию; он стремится нанести вред, а не украсть информацию. Он стремится всячески скрыть свою причастность к утечке информации. Если же по какой-либо причине ему не удаётся похитить информацию, он может направить весь свой потенциал на уничтожение или фальсификацию информации, к которой у него есть доступ. Обиженный инсайдер сам определяет ценность информации и тяжесть урона нанесённого её утечкой. Он сам определяет, какую информацию и кому передать. Как правило, он передаёт информацию в прессу, для придания огласки или же теневым структурам для дальнейшего шантажа. Пример: сотрудник предприятия по утилизации токсических отходов передаёт в прессу информацию о нелегальном захоронении отходов на территории заповедника.
Нелояльные
Нелояльные инсайдеры – сотрудники, планирующие в ближайшее время сменить нынешнее место работы. Именно эти сотрудники попадают под подозрения в первую очередь, если речь заходит о внутренних угрозах. Как показала практика, семь из десяти сотрудников при увольнении забирают с собой часть доступной им информации, будь то база клиентов или же финансовая база. Так же достаточно распространено хищение интеллектуальной собственности в высокотехнологических компаниях. В основном это стажёры из развивающихся стран или же временные сотрудники. Их угрозы носят не направленный характер, так как они часто даже и подозревают о ценности информации и не представляют себе, как и где они смогут её применить. Чаще всего доступ к закрытой информации нарушители получают, имитируя производственную необходимость, что в свою очередь может привести к их разоблачению. После осуществления кражи информации они не стремятся скрыть данный факт. В некоторых случаях данная информация является залогом комфортного увольнения с полагающейся компенсацией и рекомендательными письмами.
Данный вид инсайдеров не так опасен. Они определяют объект похищения, уничтожения или же искажения, сами ищут покупателя. Нет гарантии, что переданная в прессу информация будет напечатана, что на украденные чертежи найдётся покупатель. Всё это не может привести к существенному ущербу для компании. Если данный данному типу нарушителей не удастся похитить информацию, он не будут искать техническую возможность обойти защиту, так как в большинстве случаев, они не владеют необходимым для этого уровнем технической подготовкой.
Нелояльные, как и обиженные инсайдеры могут легко превратиться в мотивированных извне. Данная метаморфоза происходит, если они находят потенциального клиента на конкретную информацию, это может быть пресса, конкуренты или же криминальные структуры.
Подрабатывающие и внедренные
Подрабатывающие и внедренные внутренние нарушители — самый расчетливый и неуловимый тип инсайдеров. В данную категорию входят сотрудники, которые уже получили заказ на кражу определённой информации. Все эти два вида инсайдеров стремятся как можно тише и незаметней осуществлять свои противоправные действия, но мотивация их все-таки отличается.
Подрабатывающий тип включает в себя довольно большой спектр работников компании, вступивших на путь инсайдерства по различным причинам. К данной категории относятся люди, решивших дополнительно заработать пару тысяч, которых им не хватает для покупки квартире, машины и т.д.
Бывают случаи, когда человек становится инсайдером не по своей воле в результате шантажа, вымогательства. Данные действия не оставляют им выбора и они вынуждены выполнять приказы третьих сторон. Всё это может побудить подрабатывающего инсайдера к различным действиям в случае возникновения проблемы при реализации поставленной задачи. Они могут имитировать служебную необходимость, могут вообще прекратить попытки, а могут пойти и на подкуп других сотрудников для получения нужной информации. Выбор его действий напрямую зависит от условий, в которых он находится.
Внедрённые — к данному типу нарушителей относятся сотрудники, устраивающиеся на работу только с получения доступа к конкретной информации для дальнейшего похищения, удаления или же искажения. Пример: системному администратору крупной компании поступает очень выгодное предложение о переходе на другую работу. Ему предлагают, более высокую зарплату, гибкий график работы, медицинскую страховку, покрывающую все виды лечения. Администратор, не задумываясь, пишет заявление об увольнении. В это время в службу по работе с персоналом данной компании поступает превосходное резюме аналогичного специалиста с рекомендательными письмами и высокой квалификацией. Разумеется, в данной ситуации компания принимает его на работу. В результате пока старый администратор сдает дела, новый уже получает доступ к конфиденциальной информации и передаёт ее заказчику. После этого агентство, предложившее новую работу администратору, и новый специалист просто испаряются, компания остается без корпоративных секретов, а системный администратор без работы. Основная опасность данного вида нарушителей заключается в том, что в случае технических ограничении на вынос информации за пределы корпоративной информационной сети «работодатели» могут обеспечить его соответствующими программными или техническими средствами для взлома защиты. Данный нарушитель пойдет на всё, для получения необходимой информации. Помимо его профессионального опыта он вооружён изощренными средствами взлома и похищения информации.
В данной классификации пропущены более мелкие классы инсайдеров, а также те внутренние нарушители, которые не пользуются корпоративной информационной системой. Данных нарушителей можно отнести к классу экономических преступников — сотрудников компании, похищающих конфиденциальную корпоративную информацию для получения выгоды, так как она к примеру, может отразиться на стоимости акций. Основная проблема заключается в том, что практически невозможно пресечь утечку данной информации техническими и организационными мерами, так как её количество очень невелико, и оно даже может не существовать в электронном виде. К примеру, дату слияния и названия компаний можно просто запомнить, и не прибегать к помощи всякого рода носителей информации. В отличие от проверяющих органов, клиентам инсайдеров, как правило, не требуется подтверждение информации в электронном виде. Во избежание подобного рода утечек на законодательном уровне действует запрет на использование инсайдерской информации при торговле ценными бумагами. Всё это послужило основанием исключить из списка инсайдеров данную классификацию нарушителей.
Необходимо понимать, что чем крупнее и солиднее компания, тем более ухищрённей будут атаки с использованием инсайдеров. В отличие от крупных корпораций, средний и малый бизнес не так сильно подвержены атакам инсайдеров, он легко может оправиться даже после очень серьезного инцидента, будь-то хищение очередного ноу-хау или годового финансового отчета. Крупные организации, в особенности, выставляющие свои активы на фондовых биржах, могут рассыпаться как колосс на глиняных ногах. Примером тому могут служить корпоративные скандалы с участием инсайдеров: банкротство британских корпораций Polly Peck и Bank of Credit and Commerce International и американских гигантов Enron, HeathSouth, Adelphia, Tyco, WorldComm, Quest Communications, CardSystems Solutions и Global Crossing, мошенничество с пенсионным фондом фирмы Maxwell Communications. Все эти инциденты привели к потере миллионов долларов. Основной причинной послужил- недостаточный контроль сотрудников, в частности его руководством. Интеграция бизнес процессов с информационными технологиями прямо пропорционально уровню инсайдерских угроз
Согласно второго ежегодного исследования в области внутренней информационной безопасности, проводимого аналитическим центром компании Perimetrix, было выявлено, что ситуация с внутренней безопасностью в компаниях, по-прежнему, остается весьма плачевной. Организации практически всех отраслей и размеров продолжают допускать утечки и только 5% заявили об отсутствии каких-либо инцидентов в течение последнего года. Однако прослеживаются и положительные сдвиги. Гораздо большее количество специалистов стали осознавать собственную незащищенность и уязвимость своей компании перед действиями инсайдеров.
Уровень проникновения систем защиты от внутренних угроз вырос, хотя и не слишком значительно, возможно сказалось влияние мирового кризиса. Но большинство компаний до сих пор пытаются бороться с утечками исключительно с помощью административных мер, не решаясь на внедрение технических системы защиты. Однако не слишком значительный рост рынка отчасти объясняется ограниченным предложением и низким качеством доступных заказчикам продуктов.
Так же одним из негативных фактором, повышающих опасность внутренних угроз является слишком слабая ответственность нарушителей – халатные инсайдеры, как правило, наказываются строгим выговором, а злонамеренные – увольнением из компании без негативных записей в трудовой книжке. Нарушителям внутренней безопасности редко грозят серьезные санкции, такие как судебное преследование или материальные взыскания.
1.3 ОСНОВНЫЕ МЕТОДЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ УГРОЗ СО СТОРОНЫ СОБСТВЕННОГО ПЕРСОНАЛА ОРГАНИЗАЦИИ
Целью информационной безопасности является обеспечение сохранности системы, защита и гарантия точности и полноты информации, минимизация возможных потерь в случае, если информация будет модифицирована или повреждена.
Для нейтрализации и минимизации внутренних угроз конфиденциальной информации со стороны собственного персонала организации необходимо принять следующие меры:
Организационные мероприятия по защите информации (комплекс административных и ограничительных мер);
Контрольно-правовые меры (контроль за выполнением персоналом требований соответствующих инструкций, распоряжений, приказов, нормативных документов);
Профилактические мероприятия (направленные на формирование у персонала мотивов поведения, которые побуждают их к безусловному выполнению в полном объеме требований режима, правил проведения работ и др., а также на формирование соответствующего морально-нравственного состояния в коллективе);
Инженерно-технические мероприятия (кодирование информации, ограничение прав доступа к электронным носителям и т.п.);
Работа с кадрами (подбор персонала, инструктажи, обучение персонала по вопросам обеспечения защиты информации, воспитание бдительности сотрудников, повышение их квалификации);
Психологические мероприятия (установка видеонаблюдения, обнародование инцидентов с попыткой вынесения служебной информации за пределы организации).
Для того, чтобы предотвратить возможность несанкционированного доступа к конфиденциальной информации, необходимо ввести надежную систему защиты документооборота. При этом следует принимать во внимание тот факт, что внедрение системы защиты всегда приводит к осложнениям в работе, следовательно, внедрение системы защиты должно быть экономически обоснованным и целесообразным.
Правовая основа защиты информации на предприятиях и в организациях базируется на следующих нормативных документах:
Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Уголовный кодекс Российской Федерации;
Доктрина информационной безопасности Российской Федерации;
Закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-Ф3;
Закон РФ «О персональных данных» от 29.07.2006 г. №151-Ф3;
Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства РФ от 15 августа 2006 г. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
Постановление Правительства РФ от 31 августа 2006 г. №532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
Государственные (национальные) стандарты Российской Федерации.
Организационно-правовые методы защиты информации заключаются в ограничении доступа, как посторонних лиц, так и работников организации к объектам, где содержится секретная или конфиденциальная информация. Главная задача этих методов защиты — препятствовать несанкционированному доступу (НСД). Атака этого вида может осуществляться как пассивным методом (считывание секретной информации), так и активным (повреждение информации) .
Для предупреждения НСД осуществляют следующее:
при работе с внешними документами, содержащими секретную информацию, следует придерживаться определенных правил (передавать документы с курьером, обеспечить их хранение и охрану и т.п.);
при безбумажной передаче документов следует обеспечить идентификацию, как автора документа, так и его содержания.
Наиболее распространенным алгоритмом идентификации является использование электронной цифровой подписи (ЭЦП). В схемах ЭЦП вместо документа рассматривается его хэш-функция h(x), основное свойство которой — практическая невозможность создания двух разных документов с одинаковым значением хэш-функции. Проверка правдивости документа заключается в контроле соотношения, которое связывает хеш-функцию документа, подпись под ним и открытый ключ автора документа.
Помимо использования правовых и организационно-правовых методов для препятствования НСД, следует установить физические препятствия на пути попадания злоумышленника к конфиденциальной информации, в том числе попыток с использованием технических средств съема информации и воздействия на нее.
Для предотвращения утечки речевой информации по акустическому и виброакустическому каналам осуществляются мероприятия по выявлению каналов утечки. В большинстве случаев для несанкционированного съема информации в помещении злоумышленник применяет соответствующие считывающие устройства.
Технические меры защиты можно разделить на:
средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания, и так далее;
программные средства защиты, в том числе: криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и так далее .
Внутренняя система информации и документооборота наиболее уязвима со стороны сотрудников предприятия. Доказано, что причиной 80% всех потерь или искажений информации являются злонамеренные поступки работников фирмы. Единственный способ предотвратить это — соответствующая кадровая политика организации, направленная на повышение заинтересованности сотрудников в успешной работе, воспитание чувства ответственности за свою работу. Рассмотрим порядок реализации каждой из функций управления персоналом в целях обеспечения информационной безопасности .
Планирование персонала. При приеме на работу рекомендуется проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д. Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу. В случае успешного прохождения кандидатом проверки и признания, его соответствующим должности, осуществляется заключение (подписание) двух документов:
а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;
б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).
Организация персонала. Организация персонала предполагает обучение сотрудников правилам и приемам работы с конфиденциальной информацией. Обучение может быть дифференцировано в зависимости от срока работы сотрудников на предприятии — т.е. программа обучения для новых сотрудников и для сотрудников, которые имеют опыт работы в данной организации (более года — двух лет).
Внутреннее нормативно-методическое содержание программы обучения должно включать:
общие правила обеспечения безопасности организации с ответственностью сотрудника за соблюдение установленных правил;
перечень полномочий службы безопасности по контролю и прямому функциональному руководству соответствующим направлением деятельности персонала;
рекомендации по предотвращению ситуаций, способных сделать работника объектом вербовки и шантажа;
рекомендации поведения в случае попытки вербовки и шантажа.
Обычно обучение новых сотрудников проводят руководители структурных подразделений, задачей обучения при этом является доведение до обучаемых правил обеспечения безопасности на конкретных рабочих местах в рамках исполняемых служебных обязанностей. Организация последующей подготовки сотрудников осуществляется службой безопасности в режиме повышения профессиональной квалификации персонала. Формы соответствующей подготовки могут дифференцироваться следующим образом:
для топ-менеджмента — это ознакомление со специальными информационно-аналитическими обзорами, ежеквартально направляемыми им за подписью руководителя службы безопасности;
для руководителей структурных подразделений — ежеквартальные встречи с руководителем службы безопасности;
для остального персонала — специальный инструктаж, который не реже одного раза в полгода проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.
Мотивация. Мотивация сотрудников организации в целях обеспечения ее информационной безопасности может реализовываться по двум направлениям — путем применения поощрений и санкций. Специальные поощрения (премии) за активную работу по укреплению информационной безопасности предприятия могут использоваться в отношении:
сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;
сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;
руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности;
любых сотрудников организации, оказавших службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.
Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности применяются по представлению службы безопасности или руководителей этих коллективов. По характеру управляющего воздействия они делятся на три группы. Это могут быть:
1. Санкции административного характера, наиболее жесткие по силе воздействия (например, смещение с занимаемой должности; отказ в пролонгации трудового договора; перевод сотрудника на другое рабочее место, которое позволит перекрыть доступ к конфиденциальной информации; исключение сотрудника из резерва на выдвижение и т.д.).
2. Санкции экономического характера (среди которых: лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда; лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения; отмена персональных социально-экономических льгот и т.д.).
3. Санкции психологического характера (например, индивидуальная беседа с руководителем или представителем службы безопасности предприятия; обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения и т.п.).
Контроль. Субъектами контроля выступают: руководители структурных подразделений; специалисты службы безопасности и ее внештатные сотрудники в структурных подразделениях; специалисты частных детективных агентств, приглашенные для проведения служебных расследований. Объектами контроля являются два аспекта деятельности сотрудников организации:
исполнение ими установленных правил обеспечения информационной безопасности работодателя;
общая лояльность работодателю.
Итак, для организаций, которые заботятся о долгосрочных перспективах развития, важным является формирование лояльности персонала. Лояльность персонала рассматривают как универсальную по направленности составляющую кадровой безопасности, потому что отношение работника к собственной организации является фактором, который либо укрепляет, либо разрушает систему информационной безопасности компании. Работники с лояльным отношением к компании намного более устойчивы к «соблазнам»: их сложно переманить в другую организацию, склонить к сотрудничеству с конкурентами, мошенничеству и злоупотреблению полномочиями. Лояльные сотрудники критически относятся к коллегам, нарушающим правила организации, тем самым предупреждая возникновение внутренних угроз информационной безопасности.
КРАТКИЕ ВЫВОДЫ ПО ГЛАВЕ
Итак, исследование теоретических аспектов, связанных с нелояльными и безответственными сотрудниками организации как субъектами угроз информационной безопасности работодателя, проведенное в рамках первой главы данной бакалаврской работы, позволило сформулировать следующие выводы.
1. В условиях развития рыночной экономики информация становится ценным товаром, поэтому главной задачей для субъектов хозяйственной деятельности является защита конфиденциальной информации, позволяющей обеспечить организации экономическую безопасность, избежать банкротства, защитить себя от недобросовестной конкуренции и коммерческого шпионажа, предупредить рейдерские атаки.
2. Наиболее существенные внутренние угрозы информационной безопасности организации включают в себя действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, результатом которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д. Игнорирование угроз, связанных с конфиденциальностью информации, может привести к появлению серьезных убытков и потерь организации. Речь идет не только о финансовом, но и о репутационном ущербе.
3. В целях нейтрализации и минимизации внутренних угроз конфиденциальной информации со стороны собственного персонала организации целесообразно применять в комплексе: организационные мероприятия по защите информации, контрольно-правовые меры, профилактические мероприятия, инженерно-технические мероприятия, кадровые и психологические мероприятия.
4. Важнейшим элементом в этом комплексе является соответствующая кадровая политика организации, а именно:
планирование персонала (более тщательный отбор, анкетирование и проверка потенциальных сотрудников);
организация персонала (внутрифирменное обучение, направленное на закрепление общих правил безопасности и воспитание навыков противодействия попыткам вербовки и шантажа);
мотивация (применение соответствующих поощрительных мер и санкций);
контроль (постоянный мониторинг соблюдения работниками правил информационной безопасности и оценка уровня лояльности).
ГЛАВА 2. ПРАКТИКА ПРОТИВОДЕЙСТВИЯ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОАО «СБЕРБАНК РОССИИ» СО СТОРОНЫ СОБСТВЕННОГО ПЕРСОНАЛА (НА ПРИМЕРЕ МОСКОВСКОГО БАНКА ОАО «СБЕРБАНК РОССИИ)
2.1 КРАТКАЯ ХАРАКТЕРИСТИКА МОСКОВСКОГО БАНКА ОАО «СБЕРБАНК РОССИИ» И АНАЛИЗ ДИНАМИКИ ЕГО КАДРОВОГО ПОТЕНЦИАЛА ЗА ПЕРИОД 2011-2013ГГ.
ОАО «Сбербанк России» представляет собой современный универсальный коммерческий банк, отвечающий интересам различных сегментов потребителей в широком диапазоне финансовых услуг. Сбербанк России обслуживает частных и корпоративных потребителей, в том числе крупные компании, объекты малого и среднего бизнеса, коммунальные и государственные предприятия, органы местного самоуправления. Сервисамибанка пользуются более 100 миллионов человек (более 70% населения России) и около 1 миллиона СПД (из 4,5 млн. зарегистрированных юридических лиц в Российской Федерации). Ключевые критерии организационно–экономической деятельности ОАО «Сбербанк России» в 2013 г. представлены в табл. 3.
Таблица 3.
Организационно-экономическая характеристика Сбербанка
Показатель Характеристика
1 2
Характеристика структуры собственников банка Доля Центрального банковской организации Российской Федерации в уставном капитале ОАО «Сбербанк России» составляет 50 % плюс одна голосующая акция, в голосующих акциях — 52,32 %
Сумма активов на 30.06.2013, млн руб. 16 142 500
Сумма капитала на 30.06.2013, млн руб. 1 706 500
Чистая прибыль на 30.06.2013, млн руб. 86 500
Количество офисов и подразделений, ед. 18 513
Количество сотрудников, человек 289 027
Клиентская база (физические лица), чел. Около 70 миллионов
Географический охват Все регионы РФ, Беларусь, Украина, Казахстан, Австрия, Венгрия, Чехия, Словакия, Хорватия, Словения, Сербия, Босния и Герцеговина, Швейцария, США, Великобритания, Кипр, Турция, Индия, Китай
Индекс доверия населения по методике GRI 87,7
Операционная маржа 39,96
Чистая процентная маржа (спред), % 5,80
Рентабельность активов, % 2,3
Организационная структура управления ОАО «Сбербанк России» представлена в Приложении 1.В настоящее время общая численность персонала группы Сбербанка составляет около 300 тыс. человек в 22 странах присутствия .
Московский банк ОАО «Сбербанк России» создан 2 ноября 2009 года путем объединения отделений, расположенных в Москве, с целью более эффективной реализации стратегических приоритетов Сбербанка в г. Москве, повышения эффективности обслуживания клиентов и качества сервиса, снижения кредитных рисков, сокращения административных расходов, оптимизации ряда управленческих функций и исключения их дублирования, а также повышения общего уровня координации всех бизнес-процессов.
По состоянию на 1 января 2014 года в Московском банке ОАО «Сбербанк России» работали 2 402 человека. За 2013 год численность персонала увеличилась на 2,43% по сравнению с показателем по итогам 2012 года. В свою очередь, на начало 2013 года численность персонала увеличилась на 10,22% по сравнению с показателем на начало 2012 года. Общий прирост численности персонала за 2 ода составил 12,66%. Отметим, что удельный вес персонала Московского банка ОАО «Сбербанк России» является достаточно стабильным и составляет порядка 0,81-0,82%(см. табл. 4, рис. 4).
Таблица 4.
Анализ численности персонала Московского банка ОАО «Сбербанк России» в 2012-2014 гг.
Показатель 01.01.
2012 01.01.
2013 01.01.
2014 Изменение, абс. Темп прироста, %
2014 к 2013 2014 к 2012 2014 к 2013 2014 к 2012
Численность персонала, чел. 2132 2345 2402 57 270 2,43% 12,66%
Удельный вес персонала Московского банка в общей структуре ОАО «Сбербанк России», % 0,81% 0,82% 0,81% -0,01% 0,00% — —
Рисунок 4. Динамика численности персонала Московского банка ОАО «Сбербанк России» в 2012-2014 гг., чел.
Активное развитие бизнеса Московского банка ОАО «Сбербанк России»в 2012-2014 годах и расширение спектра предлагаемых клиентам продуктов и услуг сопровождались увеличением численности персонала и развитием профессиональных навыков сотрудников. В команду Московского банка ОАО «Сбербанк России» привлекались как состоявшиеся профессионалы, так и молодые специалисты, прошедшие стажировку в учебном центре Банка. При подборе персонала особое внимание уделялось теоретическим знаниям по необходимым аспектам банковского дела, при принятии на работу сотрудников с опытом в банковской сфере – их практическому опыту и достижениям.
На начало 2014 г. доля работников Московского банка ОАО «Сбербанк России», имеющих высшее образование, составила 78% (оставшиеся 22% составляли в основном операционно-кассовые работники). Для сравнения: на начало 2013 г. доля работников Московского банка ОАО «Сбербанк России», имеющих высшее образование, составила 70% (оставшиеся 30% составляли в основном операционно-кассовые работники) (см. табл. 5).
Таблица 5.
Анализобразовательной структуры персонала Московского банка ОАО «Сбербанк России» в 2012-2014 гг.
Показатель 01.01.
2012 01.01.
2013 01.01.
2014 Изменение, абс. Темп прироста, %
2014 к 2013 2014 к 2012 2014 к 2013 2014 к 2012
Численность персонала, чел. 2132 2345 2402 57 270 2,43% 12,66%
В т.ч. сотрудники с высшим образованием 1450 1642 1874 232 424 14,14% 29,23%
Сотрудники со средним специальным образованием 682 704 528 -175 -154 -24,88% -22,54%
Удельный вес сотрудников с высшим образованием в общей структуре, % 68,0% 70,0% 78,0% 8,0% 10,0% — —
Удельный вес сотрудников со средним специальным образованием в общей структуре, % 32,0% 30,0% 22,0% -8,0% -10,0% — —
Как видно из данных, представленных в табл. 5, на протяжении анализируемого периода структура персонала Московского банка ОАО «Сбербанк России» по уровню образования улучшилась: так удельный вес работников, имеющих высшее образование, увеличился на 10% за два года. Это связано с тем, что развитие дистанционного банковского обслуживания ОАО «Сбербанк России» в 2013 г. требовало соответствующего развития персонала. Являясь привлекательным работодателем, Московский банк ОАО «Сбербанк России» принимал на работу и квалифицированных сотрудников, имеющих опыт работы в банковской сфере, и молодых специалистов, предоставляя им все возможности для обучения и развития.
Рисунок 5. Структура персонала Московского банка ОАО «Сбербанк России» по уровню образования на 01.01.2014 г., %
Обучение персонала Московского банка ОАО «Сбербанк России» направлено на поддержание баланса между сохранением уровня квалификации персонала, необходимого для выполнения текущих задач, и повышением уровня компетентности сотрудников для реализации долгосрочных проектов. Руководство данного структурного подразделения ОАО «Сбербанк России», как и топ-менеджмент всей группы Сбербанк, в полной мере осознают важность профессионального развития персонала и исходят из того, что высокий уровень профессиональной подготовки сотрудников является одним из ключевых факторов надёжности Банка. Сотрудники Московского банка ОАО «Сбербанк России» регулярно посещают за счёт средств банка семинары, конференции, круглые столы, мастер-классы и другие мероприятия. Соответствующие программы, действующие в банке, позволяют сотрудникам повышать свой профессиональный уровень, принимать участие в различных мероприятиях, нацеленных на повышение квалификации, реализовывать себя в различных сферах.
Большинство персонала составляют работники, находящиеся в наиболее экономически и социально активном возрасте – до 40 лет. Сочетание молодых, инициативных и опытных, высокопрофессиональных сотрудников, передающих свои знания и умения, является оптимальной для СМП Банка возрастной структурой персонала (см. табл. 6).
Таблица 6.
Анализ возрастной структуры персонала ОАО СМП-банк
Возрастные категории сотрудников На 01.01.2013 На 01.01.2013 На 01.01.2014 Изменение
2014 к 2013 2014 к 2012
от 18 до 25 лет 18% 17% 15% -2% -3%
от 26 до 35 лет 38% 40% 43% 3% 5%
от 36 до 50 лет 33% 32% 32% 0% -1%
от 50 лет 11% 11% 10% -1% -1%
Средний возраст сотрудников, лет 38 36 35 -1 -3
В Московском банке ОАО «Сбербанк России» успешно действует система материальных и нематериальных поощрений персонала. По итогам работы в отчётные периоды награждаются лучшие подразделения и сотрудники. В банке существуют системы премирования и бонусирования по результатам работы в течение года. Компенсационный пакет, предоставляемый сотрудникам Банка, успешно конкурирует на рынке труда, учитывает региональные и отраслевые особенности рынка.
Система оплаты и мотивации труда в Московском банке ОАО «Сбербанк России» разработана с учётом различных показателей, таких как категории должностей, результативность деятельности филиалов и структурных подразделений, а также особенности региональных рынков труда. Размер заработной платы сотрудников зависит от уровня сложности и ответственности выполняемой ими работы, квалификации и влияния их труда на основные результаты деятельности банка.
В Московском банке ОАО «Сбербанк России» для сотрудников также предусмотрены льготные условия потребительского и ипотечного кредитования и льготные условия по кредитным картам. Показатели эффективности использования персонала Московского банка ОАО «Сбербанк России» в 2012-2013 гг. проанализированы в табл. 7.
Таблица 7.
Эффективность использования персонала Московского банка ОАО «Сбербанк России» в 2012-2013 гг.
Показатель 01.01.2013 01.01.2014 Изменение
Абс. %
1 2 3 4 5
Операционный доход, тыс. руб. 5741556 6376627 635071 11,06%
Операционные расходы, тыс. руб. 4389841 5282913 893072 20,34%
Административные расходы, тыс. руб. 1966312 2162849 196537 10,00%
Расходы на персонал, тыс. руб. 2271001 2542837 271836 11,97%
Прибыль до вычета налога на прибыль, тыс. руб. 1351715 1093714 -258001 -19,09%
Среднесписочная численность персонала, чел. 2345 2402 57 2,43%
Среднесписочная численность управленческого персонала, чел. 235 240 5 2,13%
Экономическая результативность управленческой деятельности, % 130,79% 120,70% -10,09% —
Доля расходов на управление, % 44,79% 40,94% -3,85% —
Производительность труда, тыс.руб./чел. 2448,42 2654,72 206,291 8,43%
Средние расходы на персонал, тыс.руб./чел. в год 968,444 1058,63 90,1893 9,31%
Трудоемкость банковской деятельности, % 0,04% 0,04% 0,00% —
Результативность управления, тыс.руб./чел. 24432,2 26569,3 2137,13 8,75%
Рентабельность банковской деятельности, % 23,54% 17,15% -6,39% —
Рентабельность затрат, % 30,79% 20,70% -10,09% —
Рентабельность использования персонала, % 59,52% 43,01% -16,51% —
Как видно из табл. 7, в 2013 г. производительность труда работников Московского банка ОАО «Сбербанк России» увеличилась по сравнению с 2012 г. на 8,43% или на 206,3 тыс. руб. на одного сотрудника в год. Также возросла и результативность управления: на 8,75% или на 2 137,1 тыс. руб. в год из расчета на одну единицу управленческого персонала. Трудоемкость деятельности при этом практически не изменилась.
В то же время, нужно отметить отрицательную динамику экономической результативности управленческой деятельности (-10,09%), рентабельности банковской деятельности (-6,39%) и рентабельности затрат (-10,09%). Рентабельность использования персонала также демонстрирует негативную тенденцию: снижение на 16,51%. Это вызвано тем, что расходы на содержание персонала увеличились более быстрыми темпами в сравнении с производительностью труда (11,97% против 8,43%), как показано на рис. 6.
Рисунок 6. Изменение рентабельности использования персонала Московского банка ОАО «Сбербанк России», %
Банк имеет три отчетных сегмента, включающих в себя бизнес-подразделения.
1. Корпоративный бизнес — включает в себя корпоративное кредитование, привлечение депозитов и размещение векселей, выдачу гарантий, операции с иностранной валютой и другие операции с корпоративными клиентами, индивидуальными предпринимателями и субъектами малого и среднего бизнеса.
2. Розничный бизнес — включает в себя услуги открытия и ведения расчетных счетов, привлечение финансирования в форме векселей и депозитов физических лиц, обслуживание дебетовых и кредитных карт, денежные переводы, частное банковское обслуживание, кредитование и операции с иностранной валютой с физическими лицами.
3. Финансовые рынки — включает в себя операции с ценными бумагами, межбанковское кредитование, привлечение финансирования на рынке капиталов, обмен валюты и т.п.
Результаты банка на 01.01.2014 г. год в разрезе различных бизнес-подразделений приведены в табл. 8.
Таблица 8.
Результаты Московского банка ОАО «Сбербанк» по основным отчетным сегментам за 2013 год
Показатель Розничный бизнес Корпоративный бизнес Финансовые рынки
Тыс. руб. % Тыс. руб. % Тыс. руб. %
Чистый процентный доход (расход) -4 007 824 -115,33% 6 771 091 194,85% 711 801 20,48%
Доход (расход) от операций с другими сегментами 4 867 836 — -4 284 073 — -583 763 —
Чистый комиссионный доход (расход) 408 162 45,43% 518 696 57,74% -28 454 -3,17%
Операционные доходы (расходы), в т.ч.: -2 926 723 -46,08% 7 880 265 124,06% 1 398 209 22,01%
расходы на персонал 1 305 452 51,34% 1 156 932 45,50% 80 453 3,16%
Прибыль (убыток) до вычета налога на прибыль -697 117 -62,54% 1 070 074 95,99% 741 793 66,54%
Рентабельность использования персонала, % -53,40% 92,49% 922,02%
Из данных табл. 8 видно, что в розничном сегменте банковского обслуживания Московского банка ОАО «Сбербанк России» отмечена отрицательная рентабельность использования персонала, в то время как подразделения, обслуживающие корпоративный бизнес и финансовые рынки, являются высокорентабельными. При этом наибольший удельный вес в общей структуре расходов на персонал приходится на розничный бизнес. Это представляет определенную угрозу безопасности банка, поскольку сотрудники, обслуживающие розничный бизнес, демонстрируют недостаточный уровень деловой активности и вовлеченности, а сотрудники, обслуживающие два других сегмента, могут чувствовать себя недооцененными.
В 2013 году было проведено ежегодное исследование вовлеченности и удовлетворенности сотрудников ОАО «Сбербанк России», в котором приняли участие более124 тыс. человек, в том числе 100 сотрудников Московского банка. Индекс вовлеченности сотрудников в 2013 г. продемонстрировал значительный рост— на 1,1 пункта (см. рис. 7).
Рисунок 7. Динамика изменения индекса вовлеченности персоналаМосковского банка ОАО «Сбербанк России» в 2011-2013 г.
Важнейшими факторами, оказавшими положительное влияние на вовлеченность сотрудников, являются: удовлетворенность высшим руководством банка, организация рабочих процессов и система поощрения и вознаграждения. Проведенный опрос также позволил выявить ключевые проблемы, оказывающие негативное влияние на уровень удовлетворенности и лояльности персонала (см. табл. 9).
Таблица 9.
Ключевые проблемы, влияющие на уровень удовлетворенности и лояльности персонала Московского банка ОАО «Сбербанк России» в 2013 г.
Проблемная область в порядке приоритетности Содержание проблемы
1 2
Политика в области оплаты труда Соответствие уровня оплаты труда рыночному уровню, учет инфляции
Добровольное медицинское страхование (ДМС) сотрудников Изменение подходов банка к системе ДМС сотрудников (ДМС бесплатно для сотрудников со стажем работы более 1 года)
Политика в области выплаты вознаграждения за выслугу лет Отмена ежегодной выплаты за выслугу лет. Надбавка за выслугу вносит серьезную социальную несправедливость в отношении сотрудников, пришедших недавно и показывающих высокие результаты
Система оценки личной результативности «5+» Влияние субъективного мнения руководителя на конечную оценку результативности сотрудника
В целом, анализ динамики развития кадрового потенциала ОАО «Сбербанк России» позволяет сформулировать следующие выводы. За последние 5 лет в ОАО «Сбербанк России» была создана современная система управления персоналом, в то время как коллектив банка существенно изменился как по своему составу, так и по основным характеристикам:
отмечена положительная тенденция к повышению образовательного уровня персонала: увеличилось количество и удельный вес сотрудников, имеющих высшее образование;
на протяжении анализируемого периода снизился средний возраст сотрудников с 38 до 35 лет, что свидетельствует о существенном омоложении кадров;
снизился удельный вес управленческого персонала в общей структуре, при этом повысилась эффективность и результативность управленческой деятельности.
В то же время в сфере работы с персоналом Московского банка ОАО «Сбербанк России» сталкивается с рядом вызовов и проблемных областей:
уровень компетенций и знаний как рядовых сотрудников, так и руководителей Московского банка ОАО «Сбербанк России» находится на недостаточно высоком уровне. Это касается общих управленческих навыков, профессиональных знаний, особенно в области управления рисками и информационных технологий, а также навыков продаж, консультированияи взаимодействия с клиентами;
в целом по Московскому банкуОАО «Сбербанк России» наблюдается рост текучести: в отдельных сегментах текучесть персонала выросла за последние несколько летс 10 до 25% в год;
в ближайшее время конъюнктура рынков труда будет складываться достаточно неблагоприятным образом. На всех рынках присутствия ОАО «Сбербанк России», в том числе в Москве, наблюдается дефицит квалифицированной рабочей силы и ожидается обострение конкуренции за таланты;
тенденции к изменениям в обществе, которые приводят к смене предпочтений и поведения клиентов, отражаются и на людях, которые потенциально являются сотрудниками банка. К 2018 году их профиль существенно изменится, более половины сотрудников Московского банка ОАО «Сбербанк России» будет принадлежать к так называемому поколению Y. Изменятся ожидания сотрудников относительно карьеры и достижений. Для представителей новых поколений будет недостаточно материальной мотивации, особую важность приобретут возможность самореализации, баланс между работой и личной жизнью, автономия в принятии решений, возможность получать на работе положительные эмоции. Существующие в Московском банке ОАО «Сбербанк России» и в экономике в целом технологии управления персоналом не соответствуют потребностям и предпочтениям этого поколения и должны быть в существенной мере переосмыслены.
Указанные недостатки и проблемные области в сфере управления кадровым потенциалом ОАО «Сбербанк России», в целом, и Московского банка, в частности, создают определенные риски конфиденциальной информации банка, связанные с возможными проявлениями безответственности и нелояльности со стороны его сотрудников.
2.2 АНАЛИЗ ПРАКТИКИ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ БАНКА ОТ УГРОЗ СО СТОРОНЫ БЕЗОТВЕТСТВЕННЫХ И НЕЛОЯЛЬНЫХ СОТРУДНИКОВ И ВЫЯВЛЕННЫЕ В НЕЙ НЕДОСТАТКИ
ОАО «Сбербанк России» тесно сотрудничает с правоохранительными органами, благодаря чему выстроена надежная система противодействия преступности. Банк оказывает всю необходимую помощь правоохранительным органам в рамках проводимой политики противостояния новым видам банковских преступлений, направленной на повышение прозрачности, эффективности и клиентоориентированности кредитной организации. Заслуги банка в этой области неоднократно отмечались и зарубежными партнерами. В частности, в июле 2013 года Сбербанк удостоен награды Visa LEADER Award в категории «Лучший эмитент» за активное взаимодействие с правоохранительными органами в рамках борьбы со скиммингом.
Внутренний контроль за информационными системами и техническими средствами проводится в Московском банке ОАО «Сбербанк России» в соответствии с Политикой информационной безопасности ,другими нормативными документами ОАО «Сбербанк России» и охватывает все направления деятельности, включая правила приобретения, разработки и сопровождения программного обеспечения, а также порядок осуществления контроля за безопасностью физического и логического доступа .
Способы контроля за автоматизированными информационными системами, обеспечивающие их надежность и снижение риска искажения информации, включают общий и программный контроль. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.
Программный контроль реализуется в виде принципа «двух персон», заключающегося в подтверждении критичных банковских операций вторым лицом, контроля целостности передаваемой (в ряде случаев — хранимой) информации, защищаемой криптографическими методами. Программный контроль используется при разграничении доступа, авторизации и аудите пользователей АС в рамках выполнения требований по обеспечению информационной безопасности в автоматизированных банковских системах Сбербанка России .
Масштабы и разветвленная филиальная сеть ОАО «Сбербанк России» предопределяют критическую важность эффективной системы передачи информации и гарантий в том, что она доходит до каждого работника, которому она необходима. При этом должны быть соблюдены критерии качества этой информации (надежность, своевременность, доступность и правильность оформления).
Полное понимание сотрудниками стратегии и планов работы ОАО «Сбербанк России», политик и внутренних нормативных документов, указаний, распоряжений, определяющих их работу и обязанности, обеспечивается следующими мероприятиями:
системой сквозных совещаний руководства банка и филиалов, на которых рассматриваются отчеты руководителей функциональных блоков о ходе выполнения приоритетных проектов и уточняются приоритетные задачи на очередной период. Такие совещания проводятся регулярно, как правило, раз в две недели, в режиме телеконференции (или селекторной связи). Это позволяет последовательно распространять управленческую информацию сверху вниз, с высшего уровня ОАО «Сбербанк России» до руководства филиалов и далее — до низового звена и получать обратную связи о взаимном понимании и использовании этой информации в работе (снизу-вверх). Тем самым руководство получает сведения о принятых в ходе деятельности рисках и о текущем состоянии банка;
практикой ежедневных совещаний в подразделениях банка, филиалах и внутренних структурных подразделениях (сменах) по задачам на текущий день;
проведением владельцами и менеджерами бизнес-процессов периодических телеконференций с работниками подчиненных подразделений по актуальным и приоритетным вопросам, отдельным проблемам, продуктам и проектам;
развитием горизонтальной передачи информации с помощью внутрикорпоративного портала;
проведением интерактивных опросов и обучающе-информационных курсов с системой контроля знаний.
В соответствии с Уставом ОАО «Сбербанк России» внутренний контроль в банке осуществляют согласно полномочий, определенных Уставом и внутренними документами банка:
органы управления ОАО «Сбербанк России», предусмотренные Уставом (Общее собрание акционеров, Наблюдательный совет, коллегиальный исполнительный орган — Правление Банка, единоличный исполнительный орган — Президент, Председатель Правления Банка);
Ревизионная комиссия; Главный бухгалтер (его заместители);
руководители (их заместители) и главные бухгалтеры (их заместители) филиалов ОАО «Сбербанк России»;
Служба внутреннего контроля Банка (СВК);
Контролер по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
иные подразделения и сотрудники ОАО «Сбербанк России», осуществляющие внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами банка.
Основные принципы организации системы внутреннего контроля включают:
ответственность органов управления за поддержание культуры внутреннего контроля;
повышенное внимание к эффективности способов хранения и распространения информации;
меры по обеспечению надежности информации в автоматизированных системах и данных бухгалтерского учета;
регламентация процедур внутреннего контроля по всем направлениям и процессам;
организация контроля как повседневной деятельности на всех уровнях управления .
Все сотрудники генерируют информацию, которая используется в системе внутреннего контроля, или совершают действия, необходимые для осуществления контроля. Существенным элементом системы внутреннего контроля является признание всеми сотрудниками необходимости эффективного выполнения своих обязанностей и доведения до сведения руководства надлежащего уровня любых операционных проблем, случаев несоблюдения кодекса профессиональной этики или других нарушений правил или злоупотреблений.
Учет и хранение конфиденциальных документов осуществляют секретари самостоятельных структурных подразделений. В тех подразделениях, где штатным расписанием не предусмотрена должность секретаря, конфиденциальные документы учитываются и хранятся лично начальником этого подразделения или назначенным его распоряжению работником. Учет документов ведется в журналах учета. Основным принципом учета является однократность присвоении регистрационного номера входящим, исходящим и внутренним документам. При передаче документа из одного самостоятельного структурного подразделения в другое его регистрационный номер не меняется.
Конфиденциальные документы выполняются на автоматизированных рабочих местах, отвечающих требованиям информационной безопасности. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для регистрации работнику, осуществляющему их учет. Черновики и варианты уничтожаются этим работником с отражением факта уничтожения в журналах учета.
Тиражирование (копирование) конфиденциальных документов и производство выписок из таких документов осуществляется по письменному указанию (на обороте последнего листа копируемого документа) руководителя соответствующего самостоятельного структурного подразделения. На копии документа в правом верхнем углу первой страницы пишется слово «Копия», а на выписке — «Выписка». Скопированные экземпляры документа (копии) учитываются под новым номером, в журналах учета указывается, когда и сколько экземпляров изготовлено и где они находятся. Выписки из конфиденциальных документов учитываются по новым учетным номерам. При этом на обороте последнего листа документа, с которого производилась выписка, делается отметка, с каких номеров листов или пунктов документа, в каком количестве экземпляров сделана выписка, а также по каким номерам учтены выписки.
Исходящая конфиденциальная корреспонденция отправляется за подписью лиц, правомочных подписывать документы, и только через работников, ответственных за ведение конфиденциального делопроизводства. Пересылка документов с грифом «Коммерческая тайна» или «Банковская тайна», «Для служебного пользования» осуществляется средствами специальной связи (собственная курьерская служба банка, заказные и ценные почтовые отправления). Конфиденциальные документы не подлежат пересылке по незащищенным каналам электрической связи (факсимильная связь, электронная почта).
Поступающая в ОАО «Сбербанк России» конфиденциальная корреспонденция принимается уполномоченными сотрудниками, ответственными за учет конфиденциальных документов (в филиалах и дополнительных офисах банка — сотрудниками, ответственными за конфиденциальное делопроизводство) и регистрируется в журнале учета конфиденциальных документов.
Документы с грифом «Коммерческая тайна» («Банковская тайна») после выполнения группируются в дела. При небольшом объеме конфиденциальных документов (до 150 документов в год), номенклатурой дел предполагается заведение одного дела — «Коммерческая тайна» («Банковская тайна»). При большем объеме документов конфиденциальные документы группируются в дела отдельно или вместе с другими документами связанными единой темой. При этом гриф дела отвечает грифу ограничения доступа входящих в дело документов. Документы, содержащие служебную информацию, допускается группировать в дела вместе с другими документами с пометкой «Для служебного пользования». Срок хранения дела определяется максимальным сроком хранения документов, входящих в дело. Дела постоянного и долговременного хранения (десять лет и более) имеют внутренние описания.
Конфиденциальные документы, дела, утратившие практическое значение, а также с вышедшими сроками хранения, по заключению экспертной комиссии должны уничтожаться по акту. Отбор документов и дел на уничтожение осуществляется экспертными комиссиями, назначаемыми для этих целей приказом Председателя Правления Банка. В состав экспертных комиссий включается не менее трех квалифицированных сотрудников в области информации, содержащейся в деле, в том числе работник Службы внутреннего контроля ОАО «Сбербанк России». Документы уничтожаются по акту уничтожения документов на основании решения Председателя Правления Банка, утвердившего акт экспертной комиссии, путем механической переработки на бумагоперерабатывающих машинах, а магнитные носители информации –путем форматирования или размагничивания (если это позволяет полностью и безвозвратно уничтожить информацию) либо путем механических повреждений рабочей области магнитных носителей информации.
Помимо традиционных способов распространения служебной информации в рамках системы делопроизводства и документооборота ОАО «Сбербанк России» развивает современные технологии внутренних коммуникаций и внутренних социальных сетей. Для автоматизации различных бизнес-процессов используются десятки разнородных Автоматизированных систем (АС) банка. Изначально ИТ-инфраструктура Сбербанка являлась распределенной с децентрализацией управления, что порождало значительные технические и организационные трудности. В частности, децентрализация функций управления доступом к ИТ-ресурсам обуславливала присутствие следующих проблем:
Отсутствие механизмов контроля соблюдения политик информационной безопасности в части управления доступом к ресурсам АС банка.
Высокие издержки на управление учетными записями и паролями пользователей в разнородных АС банка.
Неоперативное предоставление полномочий доступа к ресурсам АС банка для новых сотрудников.
Издержки, связанные с необходимостью при внедрении каждой очередной АС банка реализовывать функции аутентификации, авторизации, хранения учетных записей.
Cложности в работе сотрудников банка, вынужденных применять различные комбинации логина и пароля для доступа к различным приложениям.
Для устранения перечисленных проблем в рамках единой стратегии Сбербанка по централизации ИТ-ресурсов и функций управления было принято решение о создании централизованной Системы Управления Доступом к Информационным Ресурсам (СУД-ИР).Ключевые этапы обеспечения защиты конфиденциальной информации банка с использованием автоматизированных систем представлены в таблице 10.
Таблица 10.
Ключевые этапы обеспечения защиты конфиденциальной информации ОАО «Сбербанк России»
Период Содержание мероприятий по обеспечению защиты конфиденциальной информации
2007 – 2008 гг. проектирование СУД-ИР, развертывание системы в Центральном аппарате Сбербанка, опытная эксплуатация
2009 — 2010 гг. промышленная эксплуатация СУД-ИР для автоматизации процесса управления доступом в Центральном аппарате Сбербанка. Область охвата – управление доступом 30 тыс. сотрудников к ресурсам пяти АС банка
2011 г. интеграция СУД-ИР с источником кадровых данных (АС «Кадры и зарплата»), автоматизация ведения информации о сотрудниках как субъектах доступа
2011 – 2012 гг. интенсивное развитие СУД-ИР в части интеграции с АС банка. Выполнена интеграция для 17 АС. Масштабирование управления доступом на территориальные филиалы Сбербанка
2013– 2014 гг. разработка ролевой модели управления доступом, интеграция с SAP HR в качестве источника кадровых данных. Интеграция СУД-ИР с новыми АС банка
Структура системы представлена на рисунке 8.В состав СУД-ИР входят единый каталог и три основные функциональные подсистемы.
Рисунок 8. Структура централизованной Системы Управления Доступом к ИТ-ресурсам ОАО «Сбербанк России»
Единый каталог, являясь ключевым элементом СУД-ИР, реализует централизованные сервисы ведения, хранения и поиска данных, необходимых для обеспечения процесса управления доступом. В частности, единый каталог СУД-ИР содержит:
справочник субъектов доступа – учетные карточки сотрудников банка, загружаемые в СУД-ИР из системы кадрового учета;
справочник объектов доступа — сервисов АС банка;
информацию о ролях доступа;
политики предоставления (ProvisioningPolicy) – формализованные правила, на основе которых СУД-ИР определяет требуемое соответствие между субъектами, ролями и объектами доступа;
вспомогательные справочники, используемые СУД-ИР в ходе управления доступом, такие как справочник организационной структуры.
Единый каталог СУД-ИР реализован на базе ПО IBM TivoliDirectoryServer. Подсистема управления полномочиями доступа предназначена для автоматизации централизованного управления учетными записями пользователей и их атрибутами в различных АС банка. Благодаря интеграции с кадровой системой Подсистема управления полномочиями доступа позволяет автоматизировать основные этапы жизненного цикла учетных записей пользователей АС банка, включая:
автоматическое создание/изменение учетных записей и их наделение необходимыми полномочиями в АС банка;
изменение полномочий доступа при переводе сотрудника в другое подразделение, либо назначении на новую должность;
оперативную блокировку доступа к АС банка при увольнении сотрудника.
Подсистема обеспечивает два режима управления:
1) Автоматический режим – предоставление (изменение) полномочий доступа к ресурсам АС банка на основе информации о сотрудниках из системы кадрового учета (должность, подразделение, служебные функции).
2) Автоматизированный режим – предоставление (изменение) полномочий доступа к ресурсам АС банка функциональным администратором АС по заявке на доступ с применением веб-интерфейса управления СУД-ИР.
Подсистема управления полномочиями доступа построена на базе ПО IBM TivoliIdentityManager. Подсистема управления предоставлением доступа управляет процессом взаимодействия пользователей с АС банка, обеспечивая дополнительную защиту ресурсов АС банка от несанкционированного доступа. В ходе предоставления пользователям доступа к ресурсам АС подсистема реализует следующие функции:
Аутентификация пользователей (используется несколько методов ее проведения).
Авторизация прав доступа пользователей к веб-ресурсам корпоративных АС банка.
Обеспечение единой регистрации пользователей (SSO) при доступе к веб-ресурсам АС банка.
Балансировка HTTP-запросов пользователей между серверами приложений АС банка.
Подсистема управления предоставлением доступа построена на базе ПО IBM TivoliAccessManagerfor e-business.
Подсистема аудита событий информационной безопасности предназначена для регистрации, обработки, хранения и анализа информации о событиях, связанных с управлением доступом к ресурсам АС банка. В архитектуру СУД-ИР заложены принципы отказоустойчивости и катастрофоустойчивости, в частности: резервирование критичных компонентов; размещение модулей на территориально удаленных площадках, объединенных высокоскоростными каналами связи. Оптимизация производительности СУД-ИР обеспечивается за счет распределения (балансировки) нагрузки между несколькими экземплярами компонентов системы каждого типа. Архитектура СУД-ИР предусматривает возможность горизонтального масштабирования на уровне основных типов компонентов путем развертывания дополнительных экземпляров с их последующим включением в схему балансировки нагрузки.
В 2013 году в ОАО «Сбербанк России» было зафиксировано четыре случая разглашения личных данных клиентов. Все случаи при этом носили локальный характер и затронули очень небольшое количество клиентов. Тем не менее, наличие подобной практики ставит перед банком задачу усовершенствовать политику в отношении обработки персональных данных, задействовав в ее разработке сотрудников из разных департаментов и включив в нее ряд дополнительных процедур по защите.
КРАТКИЕ ВЫВОДЫ ПО ГЛАВЕ
Итак, практика противодействия угрозам информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала (на примере Московского банка ОАО «Сбербанк России) показала, что:
1. За последние 5 лет в ОАО «Сбербанк России» была создана современная система управления персоналом, в то время как коллектив банка существенно изменился как по своему составу, так и по основным характеристикам:
отмечена положительная тенденция к повышению образовательного уровня персонала: увеличилось количество и удельный вес сотрудников, имеющих высшее образование;
а протяжении анализируемого периода снизился средний возраст сотрудников с 38 до 35 лет, что свидетельствует о существенном омоложении кадров;
снизился удельный вес управленческого персонала в общей структуре, при этом повысилась эффективность и результативность управленческой деятельности.
2. Для обеспечения физической сохранности конфиденциальных документов, составляющей коммерческую и/или банковскую тайну, служебную информацию ограниченного распространения, и предотвращения разглашения содержащихся в них сведений, в ОАО «Сбербанк России» действует порядок обязательного их учета, хранения, уничтожения и ответственности работников, допущенных к работе с ними. Средствами СУД-ИР автоматизировано исполнение политик информационной безопасности Сбербанка в части аутентификации и авторизации пользователей, администрирования доступа к информационным ресурсам. Реализованные механизмы аудита позволяют определять, кто, когда и к каким ресурсам получал доступ, обнаруживать попытки нарушения политики безопасности, а при необходимости – принимать меры для блокирования доступа нарушителей к АС банка.
3. В то же время, как показал анализ динамики кадрового потенциала Московского банка ОАО «Сбербанк России» и практики обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников, в работе банка на сегодняшний день присутствует ряд проблемных областей, без преодоления которых нельзя говорить о полной безопасности конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников. К ним относятся:
в розничном сегменте банковского обслуживания Московского банка ОАО «Сбербанк России» отмечена отрицательная рентабельность использования персонала, в то время как подразделения, обслуживающие корпоративный бизнес и финансовые рынки, являются высокорентабельными. При этом наибольший удельный вес в общей структуре расходов на персонал приходится на розничный бизнес. Это представляет определенную угрозу безопасности банка, поскольку сотрудники, обслуживающие розничный бизнес, демонстрируют недостаточный уровень деловой активности и вовлеченности, а сотрудники, обслуживающие два других сегмента, могут чувствовать себя недооцененными;
недостаточная надежность и масштабируемость процессов и систем. Сложная, неоднородная, в недостаточной степени масштабируемая и надежная ИТ-архитектура может стать причиной повторяющихся сбоев в защите конфиденциальной информации банка и клиентов. Это влечет за собой репутационные риски, снижает уровень доверия клиентов к банку;
недостаточная зрелость управленческих систем и процессов. Управление Московским банком ОАО «Сбербанк России» требует зрелой системы управления и управленческих процессов, а также механизмов максимально эффективного менеджмента персонала банка, направленных на повышение вовлеченности и лояльности сотрудников, а также минимизацию угроз со стороны безответственных и нелояльных кадров. Необходимо дальнейшее развитие системы управленческой отчетности, документооборота, управления процессами, ресурсного планирования. Также необходимы дальнейшая модернизация системы управления и развитие корпоративной культуры.
ГЛАВА 3. РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ СТЕПЕНИ ЗАЩИЩЕННОСТИ МОСКОВСКОГО БАНКА ОАО «СБЕРБАНК РОССИИ» ОТ РАССМАТРИВАЕМЫХ УГРОЗ
3.1 СОВЕРШЕНСТВОВАНИЕ ПРАКТИКИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В ЭЛЕКТРОННОЙ ФОРМЕ
Московский банк ОАО «Сбербанк России», являясь финансовым учреждением, обрабатывающим персональные данные населения, является организацией, для которой нарушение конфиденциальности информации и ее утечка считается значительной угрозой. Следует отметить еще одну важную тенденцию. Чем крупнее финансовое учреждение и чем глубже внедрены компьютерные технологии в бизнес-процессы, тем сильнее его информационная безопасность зависит от инсайдеров.
Изучение типов инсайдеров банка имеет прямой практический смысл, так как это определяет методы борьбы с инсайдерским угрозами, блокировку конкретных коммуникационных каналов, проведение организационной работы с сотрудниками. Фактически это определяет объем работ и их стоимость, которую потратить для обеспечения безопасности. Как показал проведенный анализ, условно инсайдеров можно разделить на преднамеренных и непреднамеренных, при этом в своей деятельности они характеризуются различными каналами утечки информации (см. табл. 11).
Таблица 11.
Каналы утечки в использовании преднамеренными и непреднамеренными инсайдерами
Канал утечки Преднамеренные инсайдеры, % Непреднамеренные инсайдеры, %
Бумажные носители 17 23
ПК, сервера 15 11
Web, интернет 8 22
Носители резервных копий 8 6
Ноутбуки, смартфоны 6 12
Съемные носители 5 8
Электронная почта 3 10
Не определено / Прочие 38 8
Как видно из данных табл. 11, ключевые угрозы безопасности конфиденциальной информации банка, связанные с его инсайдерами, исходят от носителей в электронной форме. Соответственно, обойтись только административными мерами для предотвращения ИТ-инцидентов, связанных с утечкой информации, на сегодняшний день уже не удается. Дело здесь не только в увеличении объемов и разнообразия ценной информации, а в принципиальной открытости информационных систем Московского банка ОАО «Сбербанк России».
Поэтому рекомендую применять системы DLP (DataLeakagePrevention), которые находят и блокируют несанкционированную передачу конфиденциальной информации по любому каналу с использованием информационной структуры банка. Основная задача этих систем — это минимизация риска утечки или уничтожения данных, промышленного шпионажа, халатности и других неправомерных действий сотрудников в отношении корпоративной информации. Системы DLP или Контур информационной безопасности (КИБ), — это мощные интеллектуальные системы, в первую очередь благодаря использованию технологии детектирования, а также управлению системой мониторинга и обработки инцидентов (см. рис. 9).
Рисунок 9. Принципы работы систем DLP (Data Leakage Prevention) для защиты конфиденциальной информации банка
В методологии КИБ реализован принцип защиты каналов утечки. каждый канал контролируется специфическим поисковым механизмом — снифером, настроенным только на данный канал. Вся информация перехватывается, обрабатывается и хранится в базе данных SQL-типа, войти в которую может только офицер безопасности. Управляет КИБ также только офицер безопасности. Он знает пароли входа (системный администратор их не знает), настраивает поисковые механизмы, получает информацию об инцидентах. Таким образом, по моей оценке, при использовании «Контура» один офицер безопасности сможет контролировать до 1000-1500 сотрудников.
При обсуждении тенденций развития систем внутренней информационной безопасности Московского банка ОАО «Сбербанк России», будем в основном опираться на необходимость таких систем для борьбы с умышленными инсайдерами. Для этого, на основе изучения случаев утечки информации, имевших место в Московском банке ОАО «Сбербанк России» и других финансово-кредитных организаций, составлен типичный портрет умышленного инсайдера. В 98% случаев это мужчина независимо от возраста, социального статуса и расы, как правило, без криминального прошлого. Основная мотивация — обида на кого-то, кто ассоциируется с учреждением. В половине случаев такой инсайдер является уже уволенным, но до сих пор имеет доступ к информационным ресурсам (47%). Практически все инсайдеры являются специалистами, связанными с IT-технологиями, в том числе 38% — системных администраторов, 21% — программистов, 14% — инженеров, 14% — специалистов по ИТ .
Данная статистика позволяет сделать вывод о высоком уровне технической подготовки умышленных инсайдеров; соответственно, по моему мнению, эффективными будут меры, связанные с криптографической защитой информации, причем парольную информацию следует распределять между несколькими лицами, большинство из которых не входит в группу риска.
Целесообразно использовать следующий набор сниферов (агентов), каждый из них контролирует свой канал передачи информации (см. рис. 10):
Рисунок 10. Алгоритм работы систем DLP (Data Leakage Prevention) для защиты конфиденциальной информации банка
PrintSnifer позволяет перехватывать содержание документов, отправленных пользователем на печать;
DeviceSnifer перехватывает информацию, которая записывается на различные внешние устройства (например, USB-флешки, CD / DVD диски);
MailSnifer перехватывает всю входящую и исходящую электронную почту;
SkypeSnifer перехватывает голосовые и текстовые сообщения Skype;
IMSnifer перехватывает сообщения интернет-пейджеров (ICQ, QIP и другие);
HTTPSnifer позволяет перехватывать информацию, которая отправляется в интернет форумы, блоги и другие web-сервисы;
AlertCenter — это «мозговой центр» всей системы безопасности. AlertCenter — самостоятельное приложение, которое опрашивает все перечисленные агенты и при наличии в перехваченной информации определенных ключевых слов, фраз или фрагментов текста немедленно извещает офицера безопасности.
Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала. Так, Московскому банку ОАО «Сбербанк России» целесообразно также применить DLP-системы для решения следующих задач:
контроль использования рабочего времени и рабочих ресурсов сотрудниками;
мониторинг общения сотрудников;
контроль правомерности действий сотрудников (предотвращение печати поддельных документов и др.);
выявление сотрудников, которые рассылают резюме, для оперативного поиска специалистов на освободившуюся должность.
Обсуждение внутренней жизни банка сегодня происходит не только в «курилке», но и в социальных сетях, скайпе, микроблогах. Появление в открытом доступе негативных отзывов или внутренней информации ОАО «Сбербанк России» может существенно повлиять на его имидж и сказаться на лояльности клиентов. Соответственно, необходимо интегрировать DLP-систему с доменной системой Windows, что позволит достоверно идентифицировать пользователя, отправившего сообщение по электронной почте, Skype, ICQ, MSN, JABBER или оставившего его на форуме либо блоге, даже если сотрудник воспользовался для этого почтовым ящиком на бесплатном сервере, подписался чужим именем (никнеймом) или вошел в сеть с чужого компьютера.
Мобильность сотрудника сегодня играет важную роль в логике ведения банковского бизнеса. Использование корпоративных смартфонов и планшетов повышает эффективность работы сотрудников на десятки процентов. Ведь теперь они могут подключаться к корпоративным сетям наравне с корпоративными ПК и мобильными устройствами из любого места и в любое время. Однако, вместе с удобством приходит целый ряд проблем для сотрудников службы информационной безопасности. Поэтому эффективная DLP-система на сегодня должна поддерживать перехват почты, IM, Skype и HTTP-трафика с iPhone и iPad.
В качестве средства повышения безопасности конфиденциальной информации в электронной форме можно рекомендовать Московскому банку ОАО «Сбербанк России» применение систем сильной аутентификации. Известно, что самым слабым аутентификации является предъявление системе пароля или пин-кода. Если учесть, что сегодня каждый средний пользователь должен помнить примерно 15 паролей, становится понятным, что такая защита не является сильной — пароли оказываются слишком слабыми. Следующий уровень аутентификации — это предъявление системе электронного ключа или смарт-карты. Третий уровень — предъявление биометрики. Использование многофакторной аутентификации позволяет снизить финансовые потери и минимизирует риск ИТ-безопасности. На сегодняшний день распространены USB-токены, которые позволяют внедрять юридически значимый электронный документооборот. Еще одним средством из этой серии является электронная подпись, которая уже внедрена в ОАО «Сбербанк России» для проведения безопасных транзакций.
Следующей важной рекомендацией является отслеживание коммуникативных связей между работниками, выявление неформальных лидеров в коллективе, а также контроль общения сотрудников Московского банку ОАО «Сбербанк России» с бывшими коллегами. Для работников службы безопасности в выявлении конкретных работников, осуществляющих разглашение конфиденциальной информации, отметим следующие индикаторы:
внезапный активный интерес к конфиденциальной информации, деятельности других подразделений;
изменение поведения работника в общении с коллегами, в разговорах, появление неуверенности, страха;
резкое увеличение расходов работника, приобретение дорогих товаров, недвижимости и т.д.
На основании анализа практики ситуаций, связанных с угрозой конфиденциальной информации банка со стороны его служащих, выделена определенна «группа риска», к которой следует отнести следующие категории сотрудников Московского банка ОАО «Сбербанк России»:
1. Сотрудники, ранее замеченные в нарушении Политики информационной безопасности ОАО «Сбербанк России».
2. Сотрудники, которые используют в работе различные «трюки» (переименованные конфиденциальные файлы, пароли для архивов и др.).
3. Нелояльные сотрудники (негативные отзывы о руководстве, о банке).
4. Сотрудники, которые по каким-то причинам начали саботировать работу.
5. Сотрудники, имеющие отношение к конфиденциальной информации банка и клиентов, а также часть менеджеров среднего звена (руководители департаментов).
В качестве эффективного метода профилактики возникновения угроз конфиденциальной информации банка со стороны таких сотрудников, отметим проведение регулярных тренингов или семинаров, на которых до персонала доводится информация об угрозах информационной безопасности и методах защиты конфиденциальной информации в электронном виде. При таком подходе целесообразно порекомендовать руководству сделать ставку на тех сотрудников, которые взаимодействуют с потенциальными «инсайдерами» в офисе, видят их поведение, замечают определенные сигналы и т.п. Все эти служащие должны знать, что о подобных инцидентах нельзя умалчивать, напротив, о них следует тут же извещать своего непосредственного руководителя или сотрудников службы безопасности ОАО «Сбербанк».
3.2 СОВЕРШЕНСТВОВАНИЕ ПРАКТИКИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ НА ПЕЧАТНЫХ НОСИТЕЛЯХ
Что касается практики защиты конфиденциальной информации на печатных носителях, то проконтролировать подобные носители технически сложнее, нежели электронные. После выхода бумажного документаиз принтера следить за ним можно лишь «вручную», с помощью специально обученных сотрудников и организационных процедур. Программно-технические методы защиты, которые дешевле и привычнее, перестают работать. В условиях относительной дешевизны технических решений и относительной дороговизны рабочей силы неудивительно, что в ОАО «Сбербанк России» контроль за печатными носителями технически слабее контроля за компьютерной информацией.
К тому же, действующие средства защиты от утечек информации не контролируют такой канал, как отправка на печать. В этом случае конфиденциальная информация легко выходит из-под контроля. Типичная «бумажная» утечка — это сбой или намеренная ошибка сотрудника при автоматической распечатке писем, адресованных большому числу клиентов. Как известно, адрес на письме или на конверте печатается тоже автоматически, часто и конверты заклеивает автомат. Небольшое смещение — и адресаты в письме и на конверте (в адресе) перестают совпадать, письма с чужими персональными данными отправляются по другому адресу.
Для того, чтобы снизить число «бумажных» утечек и повысить уровень защиты конфиденциальной банковской информации на печатных носителях, необходимо реализовать мероприятия по двум ключевым направлениям:
во-первых, необходима установка DLP-системы, которая блокирует отправку на печать недозволенной информации и проверяет соответствие почтового адреса и адресата;
во-вторых, необходим комплекс организационных мероприятий по совершенствованию учета движения бумажных документов с конфиденциальной информацией.
В частности, целесообразно применить в ОАО «Сбербанк России» DLP-приложение PrintSniffer. Это программа, которая контролирует содержание документов, отправленных на печать. Все данные перехватываются, содержимое файлов индексируется и хранится в базе заданный промежуток времени. Образы и тексты распечатанных документов помещаются в базу данных, индексируются и становятся доступными для просмотра и анализа. Система позволяет проследить «историю» документов: кто распечатал, когда, какое количество экземпляров.
Преимущества системы:
1) Контроль над содержимым всех распечатанных в банковском учреждении документов позволяет отслеживать возможные утечки документов в случае попытки их хищения в бумажном виде.
2) Оценка целесообразности использования принтера каждым сотрудником. Анализируя содержимое всех напечатанных документов можно легко установить, используется ли принтер по назначению, или же для распечатывания, скажем, многостраничных художественных книг.
3) Создание электронного архива распечатанных документов. Содержимое всех документов, отправленных на печать, индексируется и сохраняется в базе, где становится доступным для полнотекстового поиска. индексируется и сохраняется в базе, где становится доступным для полнотекстового поиска. Таким образом, создается своеобразный архив документов, и восстановить потерянный файл не составляет никакой сложности.
4) Использование агентов на рабочих станциях дает возможность контролировать не только сетевые принтеры, но и печатные устройства, используемые локально.
5) Благодаря встроенной системе оптического распознавания текста на изображениях (OCR), PrintSniffer эффективен также и в случаях, когда пользователь распечатывает отсканированные копии документов или снимки экрана с конфиденциальным содержимым.
В состав принципов организации учета уместно движения бумажных документов с конфиденциальной информацией добавить следующие:
принцип комплексности, согласно которому при построении системы защиты учетных данных необходимо предусматривать проявление всех видов возможных угроз для банка, включая каналы несанкционированного доступа к конфиденциальной информации на печатных носителях, и все возможные для него средства защиты;
принцип безопасности и контроля данных, который предусматривает защиту ценной печатной информации, путем установления ограничения пользователей, отнесения ее к информации конфиденциального характера и введения ограничений при работе с ней.
принцип адекватности: применение вышеуказанных мер защиты нужно сопоставлять с возможными видами угроз, а средства защиты информации на печатных носителях должны функционировать в рамках единого комплекса защиты конфиденциальной информации банка, взаимно дополняя друг друга в функциональном и техническом аспектах.
Ответственность за защиту данных на печатных носителях, составляющих коммерческую тайну, следует возлагают не только на службу безопасности, но и на весь управленческий персонал банка — от руководителя до технического персонала. С целью минимизации риска утечки конфиденциальной информации на бумажных носителях ОАО «Сбербанк России» необходимо принимать соответствующие меры, дифференцируя их в соответствии с определенными угрозами:
формирование правовых условий защиты информации, непосредственно в банке, путем разработки нормативно-правовых документов по защите всех видов информации (документированной, электронной, а также информации, существует в виде знаний работников банка), которыми должны регулироваться взаимоотношения банка с его работниками, клиентами и т.д.;
обеспечение контроля за бумажными носителями информации, прежде всего работниками банка, в части соблюдения ими установленного режима защиты информации, своевременное реагирование на все нарушения в защите информации;
внедрение надежной системы документооборота (служебного и специального делопроизводства), исключающей возможность несанкционированного доступа к банковским документам, их потери, уничтожения или модификации;
обеспечение надежной охраны банков с целью исключения возможности несанкционированного доступа к информации, выноса документов или их копий;
повышение квалификации персонала в области экономической и информационной безопасности;
повышение прозрачности отчетности и ужесточение требований к обеспечению достоверности банковской информации, проведение внешнего и внутреннего аудита банка.
3.3 СОВЕРШЕНСТВОВАНИЕ ПРАКТИКИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В УСТНОЙ ФОРМЕ
Главное место в организации надежной защиты конфиденциальной информации в устной форме, отводится работе с кадрами. Специалисты считают, что сохранение секретных данных, полученных в устной форме, на 80% зависит от правильного подбора, расстановки и воспитания кадров. И эту работу следует начинать со дня приема человека на работу.
Второй по важности мерой является ограничение доступа к секретной информации. Работу необходимо организовать таким образом, чтобы каждый сотрудник имел доступ только к той информации, которая необходима ему в процессе выполнения прямых служебных обязанностей. Эта мера не сможет полностью защитить от возможной утечки информации, но даст возможность свести возможный ущерб к минимуму.
Третьим направлением в работе с кадрами является проведение воспитательной работы и мотивации сотрудников банка. Московскому банку ОАО «Сбербанк России» в этой связи целесообразно дать следующие рекомендации:
использовать любую возможность для пропаганды программ обеспечения режима секретности;
разносторонне стимулировать заинтересованность сотрудников в выполнении режима секретности;
периодически вознаграждать сотрудников за успехи в защите секретной информации.
Отметим, что сами призывы не дают положительных результатов, поэтому значительное место в воспитательной работе отводят обучению, целями которого являются:
знание сотрудником объемов информации, за безопасность которой он несет личную ответственность;
понимание исполнителем сути конфиденциальных сведений, характера и ценности данных, с которыми он работает;
обучение правилам хранения и защиты секретных данных.
Как показал анализ практики, проведённый в рамках данной бакалаврской работы, значительная утечка коммерческой информации происходит в ходе ведения переговоров. Это объясняется разными причинами: неверно понят престиж, неумение правильно рекламировать банковские услуги.
Значительную роль играет умение ведения переговоров. Сотрудник должен четко знать, какую информацию он имеет право сообщить партнеру по переговорам, а какую — нет. Следует учить сотрудников проведению рекламы услуг банка по методу «черного ящика», то есть можно сообщить параметры выбора, полученный результат, а как он получен –конфиденциальная информация банка. Сотрудник должен понимать, что от успешно проведенных переговоров зависит не только успешность деятельности банка, но и его личное благополучие.
Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения заложенных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами. В частности, в процессе защиты передачи устной информации посредством линий телекоммуникаций ОАО «Сбербанк России» целесообразно применять методы аналогового скремблирования и дискретизации речи с последующим шифрованием.
На уровне работы с персоналом Московского банка ОАО «Сбербанк России» разработаны следующие рекомендации:
принятие внутренних актов, которые устанавливают перечень сведений, составляющих коммерческую тайну, порядок доступа к ней, правила использования данных и предотвращения незаконного разглашения; дополнение существующей политики информационной безопасности соответствующими пунктами, регулирующими вопрос использования в работе как корпоративных, так и частных мобильных телефонов, компьютеров, электронной почты и других средств коммуникации.
проведение профилактической работы, включающей мотивацию и воспитание у каждого работника бережного и ответственного отношения к информации, используемой в работе; разработка и реализация организационных мероприятий, которые заключаются в проведении регулярных тренингов персонала по соблюдению политики безопасности обращения с различными документами в соответствии с категорией конфиденциальности;
дополнение трудовых договоров банка с работниками соответствующими пунктами, представляющими собой так называемые соглашения о «неконкуренции» (non-competition), которые устанавливают для работников определенные ограничения по работе на конкурентов в случае увольнения, тем самым ограничивая возможности утечки информации;
введение определенных штрафных санкций за несообщение об определенном инциденте: нетипичном интересе к конфиденциальной информации, разглашении банковской тайны, саботаже, несанкционированном доступе к документам и базам данных и т.д.
На сегодня, по моему мнению, вопрос безопасности информации нужно рассматривать не просто как разработку частных механизмов защиты, а как реализацию системного подхода, включающего комплекс взаимосвязанных мер, которые должны расширяться и совершенствоваться. Поэтому внедрение регламентов информационной безопасности при использовании телекоммуникаций, соблюдение персоналом внутренних нормативных актов, а также достижение конфиденциальности, целостности и доступности устной информации позволят не только повысить эффективность системы информационной безопасности, но и будут способствовать укреплению внешних позиций Московского банка ОАО «Сбербанк России», в частности, и группы «Сбербанк», в целом.
КРАТКИЕ ВЫВОДЫ ПО ГЛАВЕ
В ходе выполнения исследования, разработаны следующие авторские рекомендации по повышению степени защищенности Московского банка ОАО «Сбербанк России» от рассматриваемых угроз
1. Проблему обеспечения и повышения безопасности конфиденциальной информации ОАО «Сбербанк России» необходимо рассматривать не просто как разработку отдельных механизмов защиты, а как реализацию комплексного подхода, включающего систему взаимосвязанных мер экономического, технического, кадрового и организационного характера.
2. С технической точки зрения\, целесообразно применять системы DLP (DataLeakagePrevention), которые находят и блокируют несанкционированную передачу конфиденциальной информации по любому каналу с использованием информационной структуры банка. Данная система открывает для банка следующие возможности в сфере повышения степени защиты конфиденциальной информации:
предупреждение утечек: задача системы заключается не только и не столько, в том, чтобы зафиксировать сам факт утечки, но в предотвращении инцидента на стадии созревания негативного намерения у потенциального инсайдера (инсайдеров).
профилактическая работа с коллективом: DLP-система отслеживает настроения в коллективе путем мониторинга сообщений сотрудников в интернет-мессенджерах (Skype, ISQ) и соцсетях в рабочее время.
оптимизация работы: с помощью DLP-системы можно контролировать реакцию коллектива на нововведения и в соответствии с ней эффективно корректировать внутреннюю политику банка.
3. На уровне работы с персоналом Московского банка ОАО «Сбербанк России» разработаны следующие рекомендации:
принятие внутренних актов, которые устанавливают перечень сведений, составляющих коммерческую тайну, порядок доступа к ней, правила использования данных и предотвращения незаконного разглашения; дополнение существующей политики информационной безопасности соответствующими пунктами, регулирующими вопрос использования в работе как корпоративных, так и частных мобильных телефонов, компьютеров, электронной почты и других средств коммуникации.
проведение профилактической работы, включающей мотивацию и воспитание у каждого работника бережного и ответственного отношения к информации, используемой в работе; разработка и реализация организационных мероприятий, которые заключаются в проведении регулярных тренингов персонала по соблюдению политики безопасности обращения с различными документами в соответствии с категорией конфиденциальности;
дополнение трудовых договоров банка с работниками соответствующими пунктами, представляющими собой так называемые соглашения о «неконкуренции» (non-competition), которые устанавливают для работников определенные ограничения по работе на конкурентов в случае увольнения, тем самым ограничивая возможности утечки информации;
введение определенных штрафных санкций за несообщение об определенном инциденте: нетипичном интересе к конфиденциальной информации, разглашении банковской тайны, саботаже, несанкционированном доступе к документам и базам данных и т.д.
ЗАКЛЮЧЕНИЕ
В процессе исследования теоретических и практических аспектов противодействия угрозам информационной безопасности организации со стороны собственного персонала посредством совершенствования практики защиты конфиденциальной информации, проведенного в рамках данной бакалаврской работы на примере Московского банка ОАО «Сбербанк России», были выявлены следующие основные проблемы:
1. Наиболее существенные внутренние угрозы информационной безопасности организации включают в себя действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, результатом которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д. Игнорирование угроз, связанных с конфиденциальностью информации, может привести к появлению серьезных убытков и потерь организации. Речь идет не только о финансовом, но и о репутационном ущербе.
2. В розничном сегменте банковского обслуживания Московского банка ОАО «Сбербанк России» наблюдается отрицательная рентабельность использования персонала, в то время как подразделения, обслуживающие корпоративный бизнес и финансовые рынки, являются высокорентабельными. При этом наибольший удельный вес в общей структуре расходов на персонал приходится на розничный бизнес. Это представляет определенную угрозу безопасности банка, поскольку сотрудники, обслуживающие розничный бизнес, демонстрируют недостаточный уровень деловой активности и вовлеченности, а сотрудники, обслуживающие два других сегмента, могут чувствовать себя недооцененными.
3. Отмечена недостаточная надежность и масштабируемость процессов и систем. Сложная, неоднородная, в недостаточной степени масштабируемая и надежная ИТ-архитектура может стать причиной повторяющихся сбоев в защите конфиденциальной информации банка и клиентов. Это влечет за собой репутационные риски, снижает уровень доверия клиентов к банку.
4. Управленческие системы и процессы банка отстают в своем развитии от тенденций изменения его внутренней и внешней среды. Управление Московским банком ОАО «Сбербанк России» требует зрелой системы управления и управленческих процессов, а также механизмов максимально эффективного менеджмента персонала банка, направленных на повышение вовлеченности и лояльности сотрудников, а также минимизацию угроз со стороны безответственных и нелояльных кадров. Необходимо дальнейшее развитие системы управленческой отчетности, документооборота, управления процессами, ресурсного планирования. Также необходимы дальнейшая модернизация системы управления и развитие корпоративной культуры.
Для решения указанных проблем автором сформулированы следующие рекомендации по актуализации (совершенствованию) противодействия информационной безопасности организации со стороны собственного персонала:
1. Проблему обеспечения и повышения безопасности конфиденциальной информации ОАО «Сбербанк России» необходимо рассматривать не просто как разработку отдельных механизмов защиты, а как реализацию комплексного подхода, включающего систему взаимосвязанных мер экономического, технического, кадрового и организационного характера.
2. С технической точки зрения, целесообразно применять системы DLP (DataLeakagePrevention), которые находят и блокируют несанкционированную передачу конфиденциальной информации по любому каналу с использованием информационной структуры банка.
3. На уровне работы с персоналом Московского банка ОАО «Сбербанк России» необходимо:
принятие внутренних актов, которые устанавливают перечень сведений, составляющих коммерческую тайну, порядок доступа к ней, правила использования данных и предотвращения незаконного разглашения; дополнение существующей политики информационной безопасности соответствующими пунктами, регулирующими вопрос использования в работе как корпоративных, так и частных мобильных телефонов, компьютеров, электронной почты и других средств коммуникации.
проведение профилактической работы, включающей мотивацию и воспитание у каждого работника бережного и ответственного отношения к информации, используемой в работе; разработка и реализация организационных мероприятий, которые заключаются в проведении регулярных тренингов персонала по соблюдению политики безопасности обращения с различными документами в соответствии с категорией конфиденциальности;
дополнение трудовых договоров банка с работниками соответствующими пунктами, представляющими собой так называемые соглашения о «неконкуренции» (non-competition), которые устанавливают для работников определенные ограничения по работе на конкурентов в случае увольнения, тем самым ограничивая возможности утечки информации;
введение определенных штрафных санкций за несообщение об определенном инциденте: нетипичном интересе к конфиденциальной информации, разглашении банковской тайны, саботаже, несанкционированном доступе к документам и базам данных и т.д.
Планируемый эффект от внедрения авторских рекомендаций заключается в том, что реализация указанных выше мероприятий позволит Московскому банку ОАО «Сбербанк» расширить свои возможности в сфере повышения степени защиты конфиденциальной информации от угроз со стороны собственного персонала:
1. Предупреждение утечек: задача рекомендованной автором к использованию системы заключается не только и не столько, в том, чтобы зафиксировать сам факт утечки, но в предотвращении инцидента на стадии созревания негативного намерения у потенциального инсайдера (инсайдеров);
2. Профилактическая работа с коллективом: рекомендованная DLP-система отслеживает настроения в коллективе путем мониторинга сообщений сотрудников в интернет-мессенджерах (Skype, ISQ) и соцсетях в рабочее время.
3. Оптимизация кадровой политики: с помощью указанной системы можно контролировать реакцию коллектива на нововведения и в соответствии с ней эффективно корректировать внутреннюю политику банка.
Разработанные в рамках данной бакалаврской работы авторские рекомендации могут быть также использованы в практике деятельности других подразделений ОАО «Сбербанк», а также в других отечественных коммерческих банках.
ЛИТЕРАТУРА
Нормативно-правовые акты:
1. Конституция Российской Федерации России. – М.: Юрид. лит., 1993. – 64 с.
2. Гражданский кодекс Российской Федерации. Часть 1 от 30.11.1994 г. № 51-ФЗ; Часть 2 от 26.12.1996 г. № 14-ФЗ; Часть 3 от 26.11.2001 г. № 146-ФЗ (с изменениями от 20.02.1996 г., 12.08.1996 г., 24.10.1997 г., 08.07.1999 г., 17.12.1999 г., 16.04.2001 г., 15.05.2001 г.)
3. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (ред. от 18.07.2011) (с изм. и доп., вступающими в силу с 02.08.2011)
4. Закон РФ «О безопасности» от 05.03.1992 №2446-1 (в редакции на 25.07.2002 № 116-ФЗ)
5. Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1 (в редакции на 24.07.2007 № 214-ФЗ)
6. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ
7. Закон РФ «О государственной тайне» от 21 июля 1993 года № 5485-1 (в редакции Федерального закона от 06.10.97 № 131-ФЗ)
8. Закон РФ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ
Научная и учебная литература:
9. Алавердов А. Р. Кадровая безопасность современного банка: стратегия и тактика управления // Управление в кредитной организации. — N 2, март-апрель 2008 (Сборник статей).
10. Алавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. Московский государственный университет экономики, статистики и информатики. – М., 2004. – 82 с.
11. Алавердов А.Р. Управление кадровой безопасностью организации: учебник. — М.: Маркет ДС, 2010 (Университетская серия). – 176 с.
12. Доля А. Саботаж в корпоративной среде [Электронный ресурс] – Режим доступа: http://citforum.ru/security/articles/sabotage/
13. Доминяк В. Организационная лояльность: основные подходы//Менеджер по персоналу. – 2006.– №4.– С. 34 – 40.
14. Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности. – 2014. — №1(2). – С. 67-73.
15. Жигулин Г.П. Организационное и правовое обеспечение информационной безопасности, – СПб: СПбНИУИТМО, 2014. – 173с.
16. Интеллектуальные права: Понятие; Система; Задачи кодификации: Сборник статей / В. А. Дозорцев; Исследовательский центр частного права. — М.: Статут, 2005. — 416 с.
17. Ищейнов В.Я., Мецатунян М.В. Защита конфиденциальной информации: Учеб. пособие. — М.: ФОРУМ, 2009. – 256 с.
18. Коноплева И.А., Богданов И.А. Управление безопасностью и безопасность бизнеса: Учебное пособие для вузов / Под ред. И.А. Коноплевой – М.: ИНФРА-М, 2012. — 448 с.
19. Крылов В. В. Расследование преступлений в сфере информации. – М.: Городец, 1998. – 264 с.
20. Мельникова, Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности [Текст] /Е. И. Мельникова. //Юридический мир. -2009. — № 12. — С. 40 — 43.
21. Методы организации защиты информации: учебное пособие для студентов 3–4 курсов всех форм обучения направлений подготовки 230400.55, 230701.51, 090300.65, 220100.55 / Ю. Ю. Громов и др. – Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», 2013. – 80 с.
22. Сергеев А.П. Право интеллектуальной собственности воссийской Федерации: учеб. 2-е изд., перераб. и доп. – М.: ТК Велби, Изд-во Проспект, 2004. – 752 с.
23. Скиба В., Курбатов В. Руководство по защите от внутренних угроз информационной безопасности. – М.,Спб.: Издательство Питер, 2008. – 320 с.
24. Скляренко А. Угрозы конфиденциальности информации, связанные с персоналом // Бизнес и безопасность. – 2010. — №1. – С.92.
Интернет-ресурсы:
25. Отчет менеджмента ОАО “Сбербанк России» за 2013 год. – Режим доступа:
26. Отчет о корпоративной социальной ответственности ОАО “Сбербанк России» за 2013 год. – Режим доступа: pdf
27. Официальный веб-сайт ОАО «Сбербанк России». – Режим доступа:
28. Презентация для инвесторов ОАО «Сбербанк России» 2014 г. – Режим доступа:
Другие источники:
29. Положение о Службе внутреннего контроля Сбербанка России (Редакция 2) N1277-2-р от 21.12.2005 (с учетом последующих редакций)
30. Политика информационной безопасности Сбербанка России от 23.11.2006 N 1370-2-р.
31. Порядок обеспечения безопасности информационных технологий в Сбербанке России от 28.12.2001 N 875-р.
32. Требования по обеспечению информационной безопасности в автоматизированных банковских системах Сбербанка России. Утверждены 22.07.2008 г.