- планирование персонала (более тщательный отбор, анкетирование и проверка потенциальных сотрудников);

- организация персонала (внутрифирменное обучение, направленное на закрепление общих правил безопасности и воспитание навыков противодействия попыткам вербовки и шантажа);

- мотивация (применение соответствующих поощрительных мер и санкций);

- контроль (постоянный мониторинг соблюдения работниками правил информационной безопасности и оценка уровня лояльности).



Глава 2. Практика противодействия угрозам информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала (на примере Московского банка ОАО «Сбербанк России)

2.1 Краткая характеристика Московского банка ОАО «Сбербанк России» и анализ динамики его кадрового потенциала за период 2011-2013гг.

ОАО «Сбербанк России» представляет собой современный универсальный коммерческий банк, отвечающий интересам различных сегментов потребителей в широком диапазоне финансовых услуг. Сбербанк России обслуживает частных и корпоративных потребителей, в том числе крупные компании, объекты малого и среднего бизнеса, коммунальные и государственные предприятия, органы местного самоуправления. Сервисамибанка пользуются более 100 миллионов человек (более 70% населения России) и около 1 миллиона СПД (из 4,5 млн. зарегистрированных юридических лиц в Российской Федерации). Ключевые критерии организационно-экономической деятельности ОАО «Сбербанк России» в 2013 г. представлены в табл. 3.

Таблица 3.

Организационно-экономическая характеристика СбербанкаСоставлено автором по материалам официального веб-сайта ОАО «Сбербанк России». - Режим доступа: www.sberbank.ru

Показатель	Характеристика
1	2
Характеристика структуры собственников банка	Доля Центрального банковской организации Российской Федерации в уставном капитале ОАО «Сбербанк России» составляет 50 % плюс одна голосующая акция, в голосующих акциях -- 52,32 %
Сумма активов на 30.06.2013, млн руб.	16 142 500
Сумма капитала на 30.06.2013, млн руб.	1 706 500
Чистая прибыль на 30.06.2013, млн руб.	86 500
Количество офисов и подразделений, ед.	18 513
Количество сотрудников, человек	289 027
Клиентская база (физические лица), чел.	Около 70 миллионов
Географический охват	Все регионы РФ, Беларусь, Украина, Казахстан, Австрия, Венгрия, Чехия, Словакия, Хорватия, Словения, Сербия, Босния и Герцеговина, Швейцария, США, Великобритания, Кипр, Турция, Индия, Китай
Индекс доверия населения по методике GRI	87,7
Операционная маржа	39,96
Чистая процентная маржа (спред), %	5,80
Рентабельность активов, %	2,3

Организационная структура управления ОАО «Сбербанк России» представлена в Приложении 1.В настоящее время общая численность персонала группы Сбербанка составляет около 300 тыс. человек в 22 странах присутствияПрезентация для инвесторов ОАО «СбербанкРоссии» 2014 г. - Режим доступа: http://www.sberbank.ru/common/img/uploaded/ir/docs/ Sberbank_IR_presentation_sept_2014_RU.pdf.

Московский банк ОАО «Сбербанк России» создан 2 ноября 2009 года путем объединения отделений, расположенных в Москве, с целью более эффективной реализации стратегических приоритетов Сбербанка в г. Москве, повышения эффективности обслуживания клиентов и качества сервиса, снижения кредитных рисков, сокращения административных расходов, оптимизации ряда управленческих функций и исключения их дублирования, а также повышения общего уровня координации всех бизнес-процессов.

По состоянию на 1 января 2014 года в Московском банке ОАО «Сбербанк России» работали 2 402 человека. За 2013 год численность персонала увеличилась на 2,43% по сравнению с показателем по итогам 2012 года. В свою очередь, на начало 2013 года численность персонала увеличилась на 10,22% по сравнению с показателем на начало 2012 года. Общий прирост численности персонала за 2 ода составил 12,66%. Отметим, что удельный вес персонала Московского банка ОАО «Сбербанк России» является достаточно стабильным и составляет порядка 0,81-0,82%(см. табл. 4, рис. 4).

Таблица 4.

Анализ численности персонала Московского банка ОАО «Сбербанк России» в 2012-2014 гг.

Показатель	01.01. 2012	01.01. 2013	01.01. 2014	Изменение, абс.	Темп прироста, %
				2014 к 2013	2014 к 2012	2014 к 2013	2014 к 2012
Численность персонала, чел.	2132	2345	2402	57	270	2,43%	12,66%
Удельный вес персонала Московского банка в общей структуре ОАО «Сбербанк России», %	0,81%	0,82%	0,81%	-0,01%	0,00%	-	-

Рисунок 4. Динамика численности персонала Московского банка ОАО «Сбербанк России» в 2012-2014 гг., чел.

Активное развитие бизнеса Московского банка ОАО «Сбербанк России»в 2012-2014 годах и расширение спектра предлагаемых клиентам продуктов и услуг сопровождались увеличением численности персонала и развитием профессиональных навыков сотрудников. В команду Московского банка ОАО «Сбербанк России» привлекались как состоявшиеся профессионалы, так и молодые специалисты, прошедшие стажировку в учебном центре Банка. При подборе персонала особое внимание уделялось теоретическим знаниям по необходимым аспектам банковского дела, при принятии на работу сотрудников с опытом в банковской сфере - их практическому опыту и достижениям.

На начало 2014 г. доля работников Московского банка ОАО «Сбербанк России», имеющих высшее образование, составила 78% (оставшиеся 22% составляли в основном операционно-кассовые работники). Для сравнения: на начало 2013 г. доля работников Московского банка ОАО «Сбербанк России», имеющих высшее образование, составила 70% (оставшиеся 30% составляли в основном операционно-кассовые работники) (см. табл. 5).

Таблица 5.

Анализобразовательной структуры персонала Московского банка ОАО «Сбербанк России» в 2012-2014 гг.

Показатель	01.01. 2012	01.01. 2013	01.01. 2014	Изменение, абс.	Темп прироста, %
				2014 к 2013	2014 к 2012	2014 к 2013	2014 к 2012
Численность персонала, чел.	2132	2345	2402	57	270	2,43%	12,66%
В т.ч. сотрудники с высшим образованием	1450	1642	1874	232	424	14,14%	29,23%
Сотрудники со средним специальным образованием	682	704	528	-175	-154	-24,88%	-22,54%
Удельный вес сотрудников с высшим образованием в общей структуре, %	68,0%	70,0%	78,0%	8,0%	10,0%	-	-
Удельный вес сотрудников со средним специальным образованием в общей структуре, %	32,0%	30,0%	22,0%	-8,0%	-10,0%	-	-

Как видно из данных, представленных в табл. 5, на протяжении анализируемого периода структура персонала Московского банка ОАО «Сбербанк России» по уровню образования улучшилась: так удельный вес работников, имеющих высшее образование, увеличился на 10% за два года. Это связано с тем, что развитие дистанционного банковского обслуживания ОАО «Сбербанк России» в 2013 г. требовало соответствующего развития персонала. Являясь привлекательным работодателем, Московский банк ОАО «Сбербанк России» принимал на работу и квалифицированных сотрудников, имеющих опыт работы в банковской сфере, и молодых специалистов, предоставляя им все возможности для обучения и развития.

Рисунок 5. Структура персонала Московского банка ОАО «Сбербанк России» по уровню образования на 01.01.2014 г., %

Обучение персонала Московского банка ОАО «Сбербанк России» направлено на поддержание баланса между сохранением уровня квалификации персонала, необходимого для выполнения текущих задач, и повышением уровня компетентности сотрудников для реализации долгосрочных проектов. Руководство данного структурного подразделения ОАО «Сбербанк России», как и топ-менеджмент всей группы Сбербанк, в полной мере осознают важность профессионального развития персонала и исходят из того, что высокий уровень профессиональной подготовки сотрудников является одним из ключевых факторов надёжности Банка. Сотрудники Московского банка ОАО «Сбербанк России» регулярно посещают за счёт средств банка семинары, конференции, круглые столы, мастер-классы и другие мероприятия. Соответствующие программы, действующие в банке, позволяют сотрудникам повышать свой профессиональный уровень, принимать участие в различных мероприятиях, нацеленных на повышение квалификации, реализовывать себя в различных сферах.

Большинство персонала составляют работники, находящиеся в наиболее экономически и социально активном возрасте - до 40 лет. Сочетание молодых, инициативных и опытных, высокопрофессиональных сотрудников, передающих свои знания и умения, является оптимальной для СМП Банка возрастной структурой персонала (см. табл. 6).

Таблица 6.

Анализ возрастной структуры персонала ОАО СМП-банк

Возрастные категории сотрудников	На 01.01.2013	На 01.01.2013	На 01.01.2014	Изменение
				2014 к 2013	2014 к 2012
от 18 до 25 лет	18%	17%	15%	-2%	-3%
от 26 до 35 лет	38%	40%	43%	3%	5%
от 36 до 50 лет	33%	32%	32%	0%	-1%
от 50 лет	11%	11%	10%	-1%	-1%
Средний возраст сотрудников, лет	38	36	35	-1	-3

В Московском банке ОАО «Сбербанк России» успешно действует система материальных и нематериальных поощрений персонала. По итогам работы в отчётные периоды награждаются лучшие подразделения и сотрудники. В банке существуют системы премирования и бонусирования по результатам работы в течение года. Компенсационный пакет, предоставляемый сотрудникам Банка, успешно конкурирует на рынке труда, учитывает региональные и отраслевые особенности рынка.

Система оплаты и мотивации труда в Московском банке ОАО «Сбербанк России» разработана с учётом различных показателей, таких как категории должностей, результативность деятельности филиалов и структурных подразделений, а также особенности региональных рынков труда. Размер заработной платы сотрудников зависит от уровня сложности и ответственности выполняемой ими работы, квалификации и влияния их труда на основные результаты деятельности банка.

В Московском банке ОАО «Сбербанк России» для сотрудников также предусмотрены льготные условия потребительского и ипотечного кредитования и льготные условия по кредитным картам. Показатели эффективности использования персонала Московского банка ОАО «Сбербанк России» в 2012-2013 гг. проанализированы в табл. 7.

Таблица 7.

Эффективность использования персонала Московского банка ОАО «Сбербанк России» в 2012-2013 гг.

Показатель	01.01.2013	01.01.2014	Изменение
			Абс.	%
1	2	3	4	5
Операционный доход, тыс. руб.	5741556	6376627	635071	11,06%
Операционные расходы, тыс. руб.	4389841	5282913	893072	20,34%
Административные расходы, тыс. руб.	1966312	2162849	196537	10,00%
Расходы на персонал, тыс. руб.	2271001	2542837	271836	11,97%
Прибыль до вычета налога на прибыль, тыс. руб.	1351715	1093714	-258001	-19,09%
Среднесписочная численность персонала, чел.	2345	2402	57	2,43%
Среднесписочная численность управленческого персонала, чел.	235	240	5	2,13%
Экономическая результативность управленческой деятельности, %	130,79%	120,70%	-10,09%	-
Доля расходов на управление, %	44,79%	40,94%	-3,85%	-
Производительность труда, тыс.руб./чел.	2448,42	2654,72	206,291	8,43%
Средние расходы на персонал, тыс.руб./чел. в год	968,444	1058,63	90,1893	9,31%
Трудоемкость банковской деятельности, %	0,04%	0,04%	0,00%	-
Результативность управления, тыс.руб./чел.	24432,2	26569,3	2137,13	8,75%
Рентабельность банковской деятельности, %	23,54%	17,15%	-6,39%	-
Рентабельность затрат, %	30,79%	20,70%	-10,09%	-
Рентабельность использования персонала, %	59,52%	43,01%	-16,51%	-

Как видно из табл. 7, в 2013 г. производительность труда работников Московского банка ОАО «Сбербанк России» увеличилась по сравнению с 2012 г. на 8,43% или на 206,3 тыс. руб. на одного сотрудника в год. Также возросла и результативность управления: на 8,75% или на 2 137,1 тыс. руб. в год из расчета на одну единицу управленческого персонала. Трудоемкость деятельности при этом практически не изменилась.

В то же время, нужно отметить отрицательную динамику экономической результативности управленческой деятельности (-10,09%), рентабельности банковской деятельности (-6,39%) и рентабельности затрат (-10,09%). Рентабельность использования персонала также демонстрирует негативную тенденцию: снижение на 16,51%. Это вызвано тем, что расходы на содержание персонала увеличились более быстрыми темпами в сравнении с производительностью труда (11,97% против 8,43%), как показано на рис. 6.



Рисунок 6. Изменение рентабельности использования персонала Московского банка ОАО «Сбербанк России», %

Банк имеет три отчетных сегмента, включающих в себя бизнес-подразделения.

1. Корпоративный бизнес - включает в себя корпоративное кредитование, привлечение депозитов и размещение векселей, выдачу гарантий, операции с иностранной валютой и другие операции с корпоративными клиентами, индивидуальными предпринимателями и субъектами малого и среднего бизнеса.

2. Розничный бизнес - включает в себя услуги открытия и ведения расчетных счетов, привлечение финансирования в форме векселей и депозитов физических лиц, обслуживание дебетовых и кредитных карт, денежные переводы, частное банковское обслуживание, кредитование и операции с иностранной валютой с физическими лицами.

3. Финансовые рынки - включает в себя операции с ценными бумагами, межбанковское кредитование, привлечение финансирования на рынке капиталов, обмен валюты и т.п.

Результаты банка на 01.01.2014 г. год в разрезе различных бизнес-подразделений приведены в табл. 8.

Таблица 8.

Результаты Московского банка ОАО «Сбербанк» по основным отчетным сегментам за 2013 год

Показатель	Розничный бизнес	Корпоративный бизнес	Финансовые рынки
	Тыс. руб.	%	Тыс. руб.	%	Тыс. руб.	%
Чистый процентный доход (расход)	-4 007 824	-115,33%	6 771 091	194,85%	711 801	20,48%
Доход (расход) от операций с другими сегментами	4 867 836	-	-4 284 073	-	-583 763	-
Чистый комиссионный доход (расход)	408 162	45,43%	518 696	57,74%	-28 454	-3,17%
Операционные доходы (расходы), в т.ч.:	-2 926 723	-46,08%	7 880 265	124,06%	1 398 209	22,01%
расходы на персонал	1 305 452	51,34%	1 156 932	45,50%	80 453	3,16%
Прибыль (убыток) до вычета налога на прибыль	-697 117	-62,54%	1 070 074	95,99%	741 793	66,54%
Рентабельность использования персонала, %	-53,40%		92,49%		922,02%

Из данных табл. 8 видно, что в розничном сегменте банковского обслуживания Московского банка ОАО «Сбербанк России» отмечена отрицательная рентабельность использования персонала, в то время как подразделения, обслуживающие корпоративный бизнес и финансовые рынки, являются высокорентабельными. При этом наибольший удельный вес в общей структуре расходов на персонал приходится на розничный бизнес. Это представляет определенную угрозу безопасности банка, поскольку сотрудники, обслуживающие розничный бизнес, демонстрируют недостаточный уровень деловой активности и вовлеченности, а сотрудники, обслуживающие два других сегмента, могут чувствовать себя недооцененными.

В 2013 году было проведено ежегодное исследование вовлеченности и удовлетворенности сотрудников ОАО «Сбербанк России», в котором приняли участие более124 тыс. человек, в том числе 100 сотрудников Московского банка. Индекс вовлеченности сотрудников в 2013 г. продемонстрировал значительный рост-- на 1,1 пункта (см. рис. 7).

Рисунок 7. Динамика изменения индекса вовлеченности персоналаМосковского банка ОАО «Сбербанк России» в 2011-2013 г.Отчет о корпоративной социальной ответственности ОАО “Сбербанк России» за 2013 год. - Режим доступа: http://report-sberbank.ru/upload/Social_Report_rus_2013.pdf

Важнейшими факторами, оказавшими положительное влияние на вовлеченность сотрудников, являются: удовлетворенность высшим руководством банка, организация рабочих процессов и система поощрения и вознаграждения. Проведенный опрос также позволил выявить ключевые проблемы, оказывающие негативное влияние на уровень удовлетворенности и лояльности персонала (см. табл. 9).



Таблица 9.

Ключевые проблемы, влияющие на уровень удовлетворенности и лояльности персонала Московского банка ОАО «Сбербанк России» в 2013 г.Отчет о корпоративной социальной ответственности ОАО “Сбербанк России» за 2013 год. - Режим доступа: http://report-sberbank.ru/upload/Social_Report_rus_2013.pdf

Проблемная область в порядке приоритетности	Содержание проблемы
1	2
Политика в области оплаты труда	Соответствие уровня оплаты труда рыночному уровню, учет инфляции
Добровольное медицинское страхование (ДМС) сотрудников	Изменение подходов банка к системе ДМС сотрудников (ДМС бесплатно для сотрудников со стажем работы более 1 года)
Политика в области выплаты вознаграждения за выслугу лет	Отмена ежегодной выплаты за выслугу лет. Надбавка за выслугу вносит серьезную социальную несправедливость в отношении сотрудников, пришедших недавно и показывающих высокие результаты
Система оценки личной результативности «5+"	Влияние субъективного мнения руководителя на конечную оценку результативности сотрудника

В целом, анализ динамики развития кадрового потенциала ОАО «Сбербанк России» позволяет сформулировать следующие выводы. За последние 5 лет в ОАО «Сбербанк России» была создана современная система управления персоналом, в то время как коллектив банка существенно изменился как по своему составу, так и по основным характеристикам:

- отмечена положительная тенденция к повышению образовательного уровня персонала: увеличилось количество и удельный вес сотрудников, имеющих высшее образование;

- на протяжении анализируемого периода снизился средний возраст сотрудников с 38 до 35 лет, что свидетельствует о существенном омоложении кадров;

- снизился удельный вес управленческого персонала в общей структуре, при этом повысилась эффективность и результативность управленческой деятельности.

В то же время в сфере работы с персоналом Московского банка ОАО «Сбербанк России» сталкивается с рядом вызовов и проблемных областей:

- уровень компетенций и знаний как рядовых сотрудников, так и руководителей Московского банка ОАО «Сбербанк России» находится на недостаточно высоком уровне. Это касается общих управленческих навыков, профессиональных знаний, особенно в области управления рисками и информационных технологий, а также навыков продаж, консультированияи взаимодействия с клиентами;

- в целом по Московскому банкуОАО «Сбербанк России» наблюдается рост текучести: в отдельных сегментах текучесть персонала выросла за последние несколько летс 10 до 25% в год;

- в ближайшее время конъюнктура рынков труда будет складываться достаточно неблагоприятным образом. На всех рынках присутствия ОАО «Сбербанк России», в том числе в Москве, наблюдается дефицит квалифицированной рабочей силы и ожидается обострение конкуренции за таланты;

- тенденции к изменениям в обществе, которые приводят к смене предпочтений и поведения клиентов, отражаются и на людях, которые потенциально являются сотрудниками банка. К 2018 году их профиль существенно изменится, более половины сотрудников Московского банка ОАО «Сбербанк России» будет принадлежать к так называемому поколению Y. Изменятся ожидания сотрудников относительно карьеры и достижений. Для представителей новых поколений будет недостаточно материальной мотивации, особую важность приобретут возможность самореализации, баланс между работой и личной жизнью, автономия в принятии решений, возможность получать на работе положительные эмоции. Существующие в Московском банке ОАО «Сбербанк России» и в экономике в целом технологии управления персоналом не соответствуют потребностям и предпочтениям этого поколения и должны быть в существенной мере переосмыслены.

Указанные недостатки и проблемные области в сфере управления кадровым потенциалом ОАО «Сбербанк России», в целом, и Московского банка, в частности, создают определенные риски конфиденциальной информации банка, связанные с возможными проявлениями безответственности и нелояльности со стороны его сотрудников.

2.2 Анализ практики обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников и выявленные в ней недостатки

ОАО «Сбербанк России» тесно сотрудничает с правоохранительными органами, благодаря чему выстроена надежная система противодействия преступности. Банк оказывает всю необходимую помощь правоохранительным органам в рамках проводимой политики противостояния новым видам банковских преступлений, направленной на повышение прозрачности, эффективности и клиентоориентированности кредитной организации. Заслуги банка в этой области неоднократно отмечались и зарубежными партнерами. В частности, в июле 2013 года Сбербанк удостоен награды Visa LEADER Award в категории "Лучший эмитент" за активное взаимодействие с правоохранительными органами в рамках борьбы со скиммингом.

Внутренний контроль за информационными системами и техническими средствами проводится в Московском банке ОАО «Сбербанк России» в соответствии с Политикой информационной безопасностиПолитикаинформационнойбезопасностиСбербанкаРоссии от 23.11.2006 N1370-2-р.,другими нормативными документами ОАО «Сбербанк России» и охватывает все направления деятельности, включая правила приобретения, разработки и сопровождения программного обеспечения, а также порядок осуществления контроля за безопасностью физического и логического доступаПорядок обеспечениябезопасностиинформационныхтехнологий в СбербанкеРоссии от 28.12.2001 N 875-р..

Способы контроля за автоматизированными информационными системами, обеспечивающие их надежность и снижение риска искажения информации, включают общий и программный контроль. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.

Программный контроль реализуется в виде принципа "двух персон", заключающегося в подтверждении критичных банковских операций вторым лицом, контроля целостности передаваемой (в ряде случаев - хранимой) информации, защищаемой криптографическими методами. Программный контроль используется при разграничении доступа, авторизации и аудите пользователей АС в рамках выполнения требований по обеспечению информационной безопасности в автоматизированных банковских системах Сбербанка РоссииТребования по обеспечениюинформационнойбезопасности вавтоматизированныхбанковских системах СбербанкаРоссии. Утверждены 22.07.2008.

Масштабы и разветвленная филиальная сеть ОАО «Сбербанк России» предопределяют критическую важность эффективной системы передачи информации и гарантий в том, что она доходит до каждого работника, которому она необходима. При этом должны быть соблюдены критерии качества этой информации (надежность, своевременность, доступность и правильность оформления).

Полное понимание сотрудниками стратегии и планов работы ОАО «Сбербанк России», политик и внутренних нормативных документов, указаний, распоряжений, определяющих их работу и обязанности, обеспечивается следующими мероприятиями:

- системой сквозных совещаний руководства банка и филиалов, на которых рассматриваются отчеты руководителей функциональных блоков о ходе выполнения приоритетных проектов и уточняются приоритетные задачи на очередной период. Такие совещания проводятся регулярно, как правило, раз в две недели, в режиме телеконференции (или селекторной связи). Это позволяет последовательно распространять управленческую информацию сверху вниз, с высшего уровня ОАО «Сбербанк России» до руководства филиалов и далее - до низового звена и получать обратную связи о взаимном понимании и использовании этой информации в работе (снизу-вверх). Тем самым руководство получает сведения о принятых в ходе деятельности рисках и о текущем состоянии банка;

- практикой ежедневных совещаний в подразделениях банка, филиалах и внутренних структурных подразделениях (сменах) по задачам на текущий день;

- проведением владельцами и менеджерами бизнес-процессов периодических телеконференций с работниками подчиненных подразделений по актуальным и приоритетным вопросам, отдельным проблемам, продуктам и проектам;

- развитием горизонтальной передачи информации с помощью внутрикорпоративного портала;

- проведением интерактивных опросов и обучающе-информационных курсов с системой контроля знаний.

В соответствии с Уставом ОАО «Сбербанк России» внутренний контроль в банке осуществляют согласно полномочий, определенных Уставом и внутренними документами банка:

- органы управления ОАО «Сбербанк России», предусмотренные Уставом (Общее собрание акционеров, Наблюдательный совет, коллегиальный исполнительный орган - Правление Банка, единоличный исполнительный орган - Президент, Председатель Правления Банка);

- Ревизионная комиссия; Главный бухгалтер (его заместители);

- руководители (их заместители) и главные бухгалтеры (их заместители) филиалов ОАО «Сбербанк России»;

- Служба внутреннего контроля Банка (СВК);

- Контролер по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- иные подразделения и сотрудники ОАО «Сбербанк России», осуществляющие внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами банка.

Основные принципы организации системы внутреннего контроля включают:

- ответственность органов управления за поддержание культуры внутреннего контроля;

- повышенное внимание к эффективности способов хранения и распространения информации;

- меры по обеспечению надежности информации в автоматизированных системах и данных бухгалтерского учета;

- регламентация процедур внутреннего контроля по всем направлениям и процессам;

- организация контроля как повседневной деятельности на всех уровнях управленияПоложение о Службевнутреннего контроля СбербанкаРоссии (Редакция 2) N1277-2-р от 21.12.2005 (с учетомпоследующихредакций).

Все сотрудники генерируют информацию, которая используется в системе внутреннего контроля, или совершают действия, необходимые для осуществления контроля. Существенным элементом системы внутреннего контроля является признание всеми сотрудниками необходимости эффективного выполнения своих обязанностей и доведения до сведения руководства надлежащего уровня любых операционных проблем, случаев несоблюдения кодекса профессиональной этики или других нарушений правил или злоупотреблений.

Учет и хранение конфиденциальных документов осуществляют секретари самостоятельных структурных подразделений. В тех подразделениях, где штатным расписанием не предусмотрена должность секретаря, конфиденциальные документы учитываются и хранятся лично начальником этого подразделения или назначенным его распоряжению работником. Учет документов ведется в журналах учета. Основным принципом учета является однократность присвоении регистрационного номера входящим, исходящим и внутренним документам. При передаче документа из одного самостоятельного структурного подразделения в другое его регистрационный номер не меняется.

Конфиденциальные документы выполняются на автоматизированных рабочих местах, отвечающих требованиям информационной безопасности. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для регистрации работнику, осуществляющему их учет. Черновики и варианты уничтожаются этим работником с отражением факта уничтожения в журналах учета.

Тиражирование (копирование) конфиденциальных документов и производство выписок из таких документов осуществляется по письменному указанию (на обороте последнего листа копируемого документа) руководителя соответствующего самостоятельного структурного подразделения. На копии документа в правом верхнем углу первой страницы пишется слово «Копия», а на выписке - «Выписка». Скопированные экземпляры документа (копии) учитываются под новым номером, в журналах учета указывается, когда и сколько экземпляров изготовлено и где они находятся. Выписки из конфиденциальных документов учитываются по новым учетным номерам. При этом на обороте последнего листа документа, с которого производилась выписка, делается отметка, с каких номеров листов или пунктов документа, в каком количестве экземпляров сделана выписка, а также по каким номерам учтены выписки.

Исходящая конфиденциальная корреспонденция отправляется за подписью лиц, правомочных подписывать документы, и только через работников, ответственных за ведение конфиденциального делопроизводства. Пересылка документов с грифом «Коммерческая тайна» или «Банковская тайна», «Для служебного пользования» осуществляется средствами специальной связи (собственная курьерская служба банка, заказные и ценные почтовые отправления). Конфиденциальные документы не подлежат пересылке по незащищенным каналам электрической связи (факсимильная связь, электронная почта).

Поступающая в ОАО «Сбербанк России» конфиденциальная корреспонденция принимается уполномоченными сотрудниками, ответственными за учет конфиденциальных документов (в филиалах и дополнительных офисах банка - сотрудниками, ответственными за конфиденциальное делопроизводство) и регистрируется в журнале учета конфиденциальных документов.

Документы с грифом «Коммерческая тайна» («Банковская тайна») после выполнения группируются в дела. При небольшом объеме конфиденциальных документов (до 150 документов в год), номенклатурой дел предполагается заведение одного дела - «Коммерческая тайна» («Банковская тайна»). При большем объеме документов конфиденциальные документы группируются в дела отдельно или вместе с другими документами связанными единой темой. При этом гриф дела отвечает грифу ограничения доступа входящих в дело документов. Документы, содержащие служебную информацию, допускается группировать в дела вместе с другими документами с пометкой «Для служебного пользования». Срок хранения дела определяется максимальным сроком хранения документов, входящих в дело. Дела постоянного и долговременного хранения (десять лет и более) имеют внутренние описания.

Конфиденциальные документы, дела, утратившие практическое значение, а также с вышедшими сроками хранения, по заключению экспертной комиссии должны уничтожаться по акту. Отбор документов и дел на уничтожение осуществляется экспертными комиссиями, назначаемыми для этих целей приказом Председателя Правления Банка. В состав экспертных комиссий включается не менее трех квалифицированных сотрудников в области информации, содержащейся в деле, в том числе работник Службы внутреннего контроля ОАО «Сбербанк России». Документы уничтожаются по акту уничтожения документов на основании решения Председателя Правления Банка, утвердившего акт экспертной комиссии, путем механической переработки на бумагоперерабатывающих машинах, а магнитные носители информации -путем форматирования или размагничивания (если это позволяет полностью и безвозвратно уничтожить информацию) либо путем механических повреждений рабочей области магнитных носителей информации.

Помимо традиционных способов распространения служебной информации в рамках системы делопроизводства и документооборота ОАО «Сбербанк России» развивает современные технологии внутренних коммуникаций и внутренних социальных сетей. Для автоматизации различных бизнес-процессов используются десятки разнородных Автоматизированных систем (АС) банка. Изначально ИТ-инфраструктура Сбербанка являлась распределенной с децентрализацией управления, что порождало значительные технические и организационные трудности. В частности, децентрализация функций управления доступом к ИТ-ресурсам обуславливала присутствие следующих проблем:

- Отсутствие механизмов контроля соблюдения политик информационной безопасности в части управления доступом к ресурсам АС банка.

- Высокие издержки на управление учетными записями и паролями пользователей в разнородных АС банка.

- Неоперативное предоставление полномочий доступа к ресурсам АС банка для новых сотрудников.

- Издержки, связанные с необходимостью при внедрении каждой очередной АС банка реализовывать функции аутентификации, авторизации, хранения учетных записей.

- Cложности в работе сотрудников банка, вынужденных применять различные комбинации логина и пароля для доступа к различным приложениям.

Для устранения перечисленных проблем в рамках единой стратегии Сбербанка по централизации ИТ-ресурсов и функций управления было принято решение о создании централизованной Системы Управления Доступом к Информационным Ресурсам (СУД-ИР).Ключевые этапы обеспечения защиты конфиденциальной информации банка с использованием автоматизированных систем представлены в таблице 10.

Таблица 10.

Ключевые этапы обеспечения защиты конфиденциальной информации ОАО «Сбербанк России»

Период	Содержание мероприятий по обеспечению защиты конфиденциальной информации
2007 - 2008 гг.	проектирование СУД-ИР, развертывание системы в Центральном аппарате Сбербанка, опытная эксплуатация
2009 - 2010 гг.	промышленная эксплуатация СУД-ИР для автоматизации процесса управления доступом в Центральном аппарате Сбербанка. Область охвата - управление доступом 30 тыс. сотрудников к ресурсам пяти АС банка
2011 г.	интеграция СУД-ИР с источником кадровых данных (АС «Кадры и зарплата»), автоматизация ведения информации о сотрудниках как субъектах доступа
2011 - 2012 гг.	интенсивное развитие СУД-ИР в части интеграции с АС банка. Выполнена интеграция для 17 АС. Масштабирование управления доступом на территориальные филиалы Сбербанка
2013- 2014 гг.	разработка ролевой модели управления доступом, интеграция с SAP HR в качестве источника кадровых данных. Интеграция СУД-ИР с новыми АС банка

Структура системы представлена на рисунке 8.В состав СУД-ИР входят единый каталог и три основные функциональные подсистемы.

Рисунок 8. Структура централизованной Системы Управления Доступом к ИТ-ресурсам ОАО «Сбербанк России»

Единый каталог, являясь ключевым элементом СУД-ИР, реализует централизованные сервисы ведения, хранения и поиска данных, необходимых для обеспечения процесса управления доступом. В частности, единый каталог СУД-ИР содержит:

- справочник субъектов доступа - учетные карточки сотрудников банка, загружаемые в СУД-ИР из системы кадрового учета;

- справочник объектов доступа - сервисов АС банка;

- информацию о ролях доступа;

- политики предоставления (ProvisioningPolicy) - формализованные правила, на основе которых СУД-ИР определяет требуемое соответствие между субъектами, ролями и объектами доступа;

- вспомогательные справочники, используемые СУД-ИР в ходе управления доступом, такие как справочник организационной структуры.

Единый каталог СУД-ИР реализован на базе ПО IBM TivoliDirectoryServer. Подсистема управления полномочиями доступа предназначена для автоматизации централизованного управления учетными записями пользователей и их атрибутами в различных АС банка. Благодаря интеграции с кадровой системой Подсистема управления полномочиями доступа позволяет автоматизировать основные этапы жизненного цикла учетных записей пользователей АС банка, включая:

- автоматическое создание/изменение учетных записей и их наделение необходимыми полномочиями в АС банка;

- изменение полномочий доступа при переводе сотрудника в другое подразделение, либо назначении на новую должность;

- оперативную блокировку доступа к АС банка при увольнении сотрудника.

Подсистема обеспечивает два режима управления:

1) Автоматический режим - предоставление (изменение) полномочий доступа к ресурсам АС банка на основе информации о сотрудниках из системы кадрового учета (должность, подразделение, служебные функции).

2) Автоматизированный режим - предоставление (изменение) полномочий доступа к ресурсам АС банка функциональным администратором АС по заявке на доступ с применением веб-интерфейса управления СУД-ИР.

Подсистема управления полномочиями доступа построена на базе ПО IBM TivoliIdentityManager. Подсистема управления предоставлением доступа управляет процессом взаимодействия пользователей с АС банка, обеспечивая дополнительную защиту ресурсов АС банка от несанкционированного доступа. В ходе предоставления пользователям доступа к ресурсам АС подсистема реализует следующие функции:

- Аутентификация пользователей (используется несколько методов ее проведения).

- Авторизация прав доступа пользователей к веб-ресурсам корпоративных АС банка.

- Обеспечение единой регистрации пользователей (SSO) при доступе к веб-ресурсам АС банка.

- Балансировка HTTP-запросов пользователей между серверами приложений АС банка.

Подсистема управления предоставлением доступа построена на базе ПО IBM TivoliAccessManagerfor e-business.

Подсистема аудита событий информационной безопасности предназначена для регистрации, обработки, хранения и анализа информации о событиях, связанных с управлением доступом к ресурсам АС банка. В архитектуру СУД-ИР заложены принципы отказоустойчивости и катастрофоустойчивости, в частности: резервирование критичных компонентов; размещение модулей на территориально удаленных площадках, объединенных высокоскоростными каналами связи. Оптимизация производительности СУД-ИР обеспечивается за счет распределения (балансировки) нагрузки между несколькими экземплярами компонентов системы каждого типа. Архитектура СУД-ИР предусматривает возможность горизонтального масштабирования на уровне основных типов компонентов путем развертывания дополнительных экземпляров с их последующим включением в схему балансировки нагрузки.

В 2013 году в ОАО «Сбербанк России» было зафиксировано четыре случая разглашения личных данных клиентов. Все случаи при этом носили локальный характер и затронули очень небольшое количество клиентов. Тем не менее, наличие подобной практики ставит перед банком задачу усовершенствовать политику в отношении обработки персональных данных, задействовав в ее разработке сотрудников из разных департаментов и включив в нее ряд дополнительных процедур по защите.

Краткие выводы по главе

Итак, практика противодействия угрозам информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала (на примере Московского банка ОАО «Сбербанк России) показала, что:

1. За последние 5 лет в ОАО "Сбербанк России" была создана современная система управления персоналом, в то время как коллектив банка существенно изменился как по своему составу, так и по основным характеристикам:

- отмечена положительная тенденция к повышению образовательного уровня персонала: увеличилось количество и удельный вес сотрудников, имеющих высшее образование;

- а протяжении анализируемого периода снизился средний возраст сотрудников с 38 до 35 лет, что свидетельствует о существенном омоложении кадров;

- снизился удельный вес управленческого персонала в общей структуре, при этом повысилась эффективность и результативность управленческой деятельности.

2. Для обеспечения физической сохранности конфиденциальных документов, составляющей коммерческую и/или банковскую тайну, служебную информацию ограниченного распространения, и предотвращения разглашения содержащихся в них сведений, в ОАО «Сбербанк России» действует порядок обязательного их учета, хранения, уничтожения и ответственности работников, допущенных к работе с ними. Средствами СУД-ИР автоматизировано исполнение политик информационной безопасности Сбербанка в части аутентификации и авторизации пользователей, администрирования доступа к информационным ресурсам. Реализованные механизмы аудита позволяют определять, кто, когда и к каким ресурсам получал доступ, обнаруживать попытки нарушения политики безопасности, а при необходимости - принимать меры для блокирования доступа нарушителей к АС банка.

3. В то же время, как показал анализ динамики кадрового потенциала Московского банка ОАО «Сбербанк России» и практики обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников, в работе банка на сегодняшний день присутствует ряд проблемных областей, без преодоления которых нельзя говорить о полной безопасности конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников. К ним относятся:

- в розничном сегменте банковского обслуживания Московского банка ОАО «Сбербанк России» отмечена отрицательная рентабельность использования персонала, в то время как подразделения, обслуживающие корпоративный бизнес и финансовые рынки, являются высокорентабельными. При этом наибольший удельный вес в общей структуре расходов на персонал приходится на розничный бизнес. Это представляет определенную угрозу безопасности банка, поскольку сотрудники, обслуживающие розничный бизнес, демонстрируют недостаточный уровень деловой активности и вовлеченности, а сотрудники, обслуживающие два других сегмента, могут чувствовать себя недооцененными;

- недостаточная надежность и масштабируемость процессов и систем. Сложная, неоднородная, в недостаточной степени масштабируемая и надежная ИТ-архитектура может стать причиной повторяющихся сбоев в защите конфиденциальной информации банка и клиентов. Это влечет за собой репутационные риски, снижает уровень доверия клиентов к банку;

- недостаточная зрелость управленческих систем и процессов. Управление Московским банком ОАО «Сбербанк России» требует зрелой системы управления и управленческих процессов, а также механизмов максимально эффективного менеджмента персонала банка, направленных на повышение вовлеченности и лояльности сотрудников, а также минимизацию угроз со стороны безответственных и нелояльных кадров. Необходимо дальнейшее развитие системы управленческой отчетности, документооборота, управления процессами, ресурсного планирования. Также необходимы дальнейшая модернизация системы управления и развитие корпоративной культуры.

Глава 3. Рекомендации по повышению степени защищенности Московского банка ОАО «Сбербанк России» от рассматриваемых угроз

3.1 Совершенствование практики защиты конфиденциальной информации в электронной форме

Московский банк ОАО «Сбербанк России», являясь финансовым учреждением, обрабатывающим персональные данные населения, является организацией, для которой нарушение конфиденциальности информации и ее утечка считается значительной угрозой. Следует отметить еще одну важную тенденцию. Чем крупнее финансовое учреждение и чем глубже внедрены компьютерные технологии в бизнес-процессы, тем сильнее его информационная безопасность зависит от инсайдеров.

Изучение типов инсайдеров банка имеет прямой практический смысл, так как это определяет методы борьбы с инсайдерским угрозами, блокировку конкретных коммуникационных каналов, проведение организационной работы с сотрудниками. Фактически это определяет объем работ и их стоимость, которую потратить для обеспечения безопасности. Как показал проведенный анализ, условно инсайдеров можно разделить на преднамеренных и непреднамеренных, при этом в своей деятельности они характеризуются различными каналами утечки информации (см. табл. 11).

Таблица 11.

Каналы утечки в использовании преднамеренными и непреднамеренными инсайдерами

Канал утечки	Преднамеренные инсайдеры, %	Непреднамеренные инсайдеры, %
Бумажные носители	17	23
ПК, сервера	15	11
Web, интернет	8	22
Носители резервных копий	8	6
Ноутбуки, смартфоны	6	12
Съемные носители	5	8
Электронная почта	3	10
Не определено / Прочие	38	8

Как видно из данных табл. 11, ключевые угрозы безопасности конфиденциальной информации банка, связанные с его инсайдерами, исходят от носителей в электронной форме. Соответственно, обойтись только административными мерами для предотвращения ИТ-инцидентов, связанных с утечкой информации, на сегодняшний день уже не удается. Дело здесь не только в увеличении объемов и разнообразия ценной информации, а в принципиальной открытости информационных систем Московского банка ОАО «Сбербанк России».

Поэтому рекомендую применять системы DLP (DataLeakagePrevention), которые находят и блокируют несанкционированную передачу конфиденциальной информации по любому каналу с использованием информационной структуры банка. Основная задача этих систем - это минимизация риска утечки или уничтожения данных, промышленного шпионажа, халатности и других неправомерных действий сотрудников в отношении корпоративной информации. Системы DLP или Контур информационной безопасности (КИБ), - это мощные интеллектуальные системы, в первую очередь благодаря использованию технологии детектирования, а также управлению системой мониторинга и обработки инцидентов (см. рис. 9).



Рисунок 9. Принципы работы систем DLP (Data Leakage Prevention) для защиты конфиденциальной информации банка

В методологии КИБ реализован принцип защиты каналов утечки. каждый канал контролируется специфическим поисковым механизмом - снифером, настроенным только на данный канал. Вся информация перехватывается, обрабатывается и хранится в базе данных SQL-типа, войти в которую может только офицер безопасности. Управляет КИБ также только офицер безопасности. Он знает пароли входа (системный администратор их не знает), настраивает поисковые механизмы, получает информацию об инцидентах. Таким образом, по моей оценке, при использовании «Контура» один офицер безопасности сможет контролировать до 1000-1500 сотрудников.

При обсуждении тенденций развития систем внутренней информационной безопасности Московского банка ОАО «Сбербанк России», будем в основном опираться на необходимость таких систем для борьбы с умышленными инсайдерами. Для этого, на основе изучения случаев утечки информации, имевших место в Московском банке ОАО «Сбербанк России» и других финансово-кредитных организаций, составлен типичный портрет умышленного инсайдера. В 98% случаев это мужчина независимо от возраста, социального статуса и расы, как правило, без криминального прошлого. Основная мотивация - обида на кого-то, кто ассоциируется с учреждением. В половине случаев такой инсайдер является уже уволенным, но до сих пор имеет доступ к информационным ресурсам (47%). Практически все инсайдеры являются специалистами, связанными с IT-технологиями, в том числе 38% - системных администраторов, 21% - программистов, 14% - инженеров, 14% - специалистов по ИТДоля А. Саботаж в корпоративной среде [Электронный ресурс] - Режим доступа: http://citforum.ru/security/articles/sabotage/.

Данная статистика позволяет сделать вывод о высоком уровне технической подготовки умышленных инсайдеров; соответственно, по моему мнению, эффективными будут меры, связанные с криптографической защитой информации, причем парольную информацию следует распределять между несколькими лицами, большинство из которых не входит в группу риска.

Целесообразно использовать следующий набор сниферов (агентов), каждый из них контролирует свой канал передачи информации (см. рис. 10):

Рисунок 10. Алгоритм работы систем DLP (Data Leakage Prevention) для защиты конфиденциальной информации банка

- PrintSnifer позволяет перехватывать содержание документов, отправленных пользователем на печать;

- DeviceSnifer перехватывает информацию, которая записывается на различные внешние устройства (например, USB-флешки, CD / DVD диски);

- MailSnifer перехватывает всю входящую и исходящую электронную почту;

- SkypeSnifer перехватывает голосовые и текстовые сообщения Skype;

- IMSnifer перехватывает сообщения интернет-пейджеров (ICQ, QIP и другие);

- HTTPSnifer позволяет перехватывать информацию, которая отправляется в интернет форумы, блоги и другие web-сервисы;

- AlertCenter - это «мозговой центр» всей системы безопасности. AlertCenter - самостоятельное приложение, которое опрашивает все перечисленные агенты и при наличии в перехваченной информации определенных ключевых слов, фраз или фрагментов текста немедленно извещает офицера безопасности.

Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала. Так, Московскому банку ОАО «Сбербанк России» целесообразно также применить DLP-системы для решения следующих задач:

- контроль использования рабочего времени и рабочих ресурсов сотрудниками;

- мониторинг общения сотрудников;

- контроль правомерности действий сотрудников (предотвращение печати поддельных документов и др.);

- выявление сотрудников, которые рассылают резюме, для оперативного поиска специалистов на освободившуюся должность.

Обсуждение внутренней жизни банка сегодня происходит не только в «курилке», но и в социальных сетях, скайпе, микроблогах. Появление в открытом доступе негативных отзывов или внутренней информации ОАО «Сбербанк России» может существенно повлиять на его имидж и сказаться на лояльности клиентов. Соответственно, необходимо интегрировать DLP-систему с доменной системой Windows, что позволит достоверно идентифицировать пользователя, отправившего сообщение по электронной почте, Skype, ICQ, MSN, JABBER или оставившего его на форуме либо блоге, даже если сотрудник воспользовался для этого почтовым ящиком на бесплатном сервере, подписался чужим именем (никнеймом) или вошел в сеть с чужого компьютера.

Мобильность сотрудника сегодня играет важную роль в логике ведения банковского бизнеса. Использование корпоративных смартфонов и планшетов повышает эффективность работы сотрудников на десятки процентов. Ведь теперь они могут подключаться к корпоративным сетям наравне с корпоративными ПК и мобильными устройствами из любого места и в любое время. Однако, вместе с удобством приходит целый ряд проблем для сотрудников службы информационной безопасности. Поэтому эффективная DLP-система на сегодня должна поддерживать перехват почты, IM, Skype и HTTP-трафика с iPhone и iPad.

В качестве средства повышения безопасности конфиденциальной информации в электронной форме можно рекомендовать Московскому банку ОАО «Сбербанк России» применение систем сильной аутентификации. Известно, что самым слабым аутентификации является предъявление системе пароля или пин-кода. Если учесть, что сегодня каждый средний пользователь должен помнить примерно 15 паролей, становится понятным, что такая защита не является сильной - пароли оказываются слишком слабыми. Следующий уровень аутентификации - это предъявление системе электронного ключа или смарт-карты. Третий уровень - предъявление биометрики. Использование многофакторной аутентификации позволяет снизить финансовые потери и минимизирует риск ИТ-безопасности. На сегодняшний день распространены USB-токены, которые позволяют внедрять юридически значимый электронный документооборот. Еще одним средством из этой серии является электронная подпись, которая уже внедрена в ОАО «Сбербанк России» для проведения безопасных транзакций.

Следующей важной рекомендацией является отслеживание коммуникативных связей между работниками, выявление неформальных лидеров в коллективе, а также контроль общения сотрудников Московского банку ОАО «Сбербанк России» с бывшими коллегами. Для работников службы безопасности в выявлении конкретных работников, осуществляющих разглашение конфиденциальной информации, отметим следующие индикаторы:

- внезапный активный интерес к конфиденциальной информации, деятельности других подразделений;

- изменение поведения работника в общении с коллегами, в разговорах, появление неуверенности, страха;

- резкое увеличение расходов работника, приобретение дорогих товаров, недвижимости и т.д.

На основании анализа практики ситуаций, связанных с угрозой конфиденциальной информации банка со стороны его служащих, выделена определенна «группа риска», к которой следует отнести следующие категории сотрудников Московского банка ОАО «Сбербанк России»: