1. Сотрудники, ранее замеченные в нарушении Политики информационной безопасности ОАО «Сбербанк России».

2. Сотрудники, которые используют в работе различные «трюки» (переименованные конфиденциальные файлы, пароли для архивов и др.).

3. Нелояльные сотрудники (негативные отзывы о руководстве, о банке).

4. Сотрудники, которые по каким-то причинам начали саботировать работу.

5. Сотрудники, имеющие отношение к конфиденциальной информации банка и клиентов, а также часть менеджеров среднего звена (руководители департаментов).

В качестве эффективного метода профилактики возникновения угроз конфиденциальной информации банка со стороны таких сотрудников, отметим проведение регулярных тренингов или семинаров, на которых до персонала доводится информация об угрозах информационной безопасности и методах защиты конфиденциальной информации в электронном виде. При таком подходе целесообразно порекомендовать руководству сделать ставку на тех сотрудников, которые взаимодействуют с потенциальными «инсайдерами» в офисе, видят их поведение, замечают определенные сигналы и т.п. Все эти служащие должны знать, что о подобных инцидентах нельзя умалчивать, напротив, о них следует тут же извещать своего непосредственного руководителя или сотрудников службы безопасности ОАО «Сбербанк».

3.2 Совершенствование практики защиты конфиденциальной информации на печатных носителях

Что касается практики защиты конфиденциальной информации на печатных носителях, то проконтролировать подобные носители технически сложнее, нежели электронные. После выхода бумажного документаиз принтера следить за ним можно лишь «вручную», с помощью специально обученных сотрудников и организационных процедур. Программно-технические методы защиты, которые дешевле и привычнее, перестают работать. В условиях относительной дешевизны технических решений и относительной дороговизны рабочей силы неудивительно, что в ОАО «Сбербанк России» контроль за печатными носителями технически слабее контроля за компьютерной информацией.

К тому же, действующие средства защиты от утечек информации не контролируют такой канал, как отправка на печать. В этом случае конфиденциальная информация легко выходит из-под контроля. Типичная «бумажная» утечка - это сбой или намеренная ошибка сотрудника при автоматической распечатке писем, адресованных большому числу клиентов. Как известно, адрес на письме или на конверте печатается тоже автоматически, часто и конверты заклеивает автомат. Небольшое смещение - и адресаты в письме и на конверте (в адресе) перестают совпадать, письма с чужими персональными данными отправляются по другому адресу.

Для того, чтобы снизить число «бумажных» утечек и повысить уровень защиты конфиденциальной банковской информации на печатных носителях, необходимо реализовать мероприятия по двум ключевым направлениям:

- во-первых, необходима установка DLP-системы, которая блокирует отправку на печать недозволенной информации и проверяет соответствие почтового адреса и адресата;

- во-вторых, необходим комплекс организационных мероприятий по совершенствованию учета движения бумажных документов с конфиденциальной информацией.

В частности, целесообразно применить в ОАО «Сбербанк России» DLP-приложение PrintSniffer. Это программа, которая контролирует содержание документов, отправленных на печать. Все данные перехватываются, содержимое файлов индексируется и хранится в базе заданный промежуток времени. Образы и тексты распечатанных документов помещаются в базу данных, индексируются и становятся доступными для просмотра и анализа. Система позволяет проследить «историю» документов: кто распечатал, когда, какое количество экземпляров.

Преимущества системы:

1) Контроль над содержимым всех распечатанных в банковском учреждении документов позволяет отслеживать возможные утечки документов в случае попытки их хищения в бумажном виде.

2) Оценка целесообразности использования принтера каждым сотрудником. Анализируя содержимое всех напечатанных документов можно легко установить, используется ли принтер по назначению, или же для распечатывания, скажем, многостраничных художественных книг.

3) Создание электронного архива распечатанных документов. Содержимое всех документов, отправленных на печать, индексируется и сохраняется в базе, где становится доступным для полнотекстового поиска. индексируется и сохраняется в базе, где становится доступным для полнотекстового поиска. Таким образом, создается своеобразный архив документов, и восстановить потерянный файл не составляет никакой сложности.

4) Использование агентов на рабочих станциях дает возможность контролировать не только сетевые принтеры, но и печатные устройства, используемые локально.

5) Благодаря встроенной системе оптического распознавания текста на изображениях (OCR), PrintSniffer эффективен также и в случаях, когда пользователь распечатывает отсканированные копии документов или снимки экрана с конфиденциальным содержимым.

В состав принципов организации учета уместно движения бумажных документов с конфиденциальной информацией добавить следующие:

- принцип комплексности, согласно которому при построении системы защиты учетных данных необходимо предусматривать проявление всех видов возможных угроз для банка, включая каналы несанкционированного доступа к конфиденциальной информации на печатных носителях, и все возможные для него средства защиты;

- принцип безопасности и контроля данных, который предусматривает защиту ценной печатной информации, путем установления ограничения пользователей, отнесения ее к информации конфиденциального характера и введения ограничений при работе с ней.

- принцип адекватности: применение вышеуказанных мер защиты нужно сопоставлять с возможными видами угроз, а средства защиты информации на печатных носителях должны функционировать в рамках единого комплекса защиты конфиденциальной информации банка, взаимно дополняя друг друга в функциональном и техническом аспектах.

Ответственность за защиту данных на печатных носителях, составляющих коммерческую тайну, следует возлагают не только на службу безопасности, но и на весь управленческий персонал банка - от руководителя до технического персонала. С целью минимизации риска утечки конфиденциальной информации на бумажных носителях ОАО «Сбербанк России» необходимо принимать соответствующие меры, дифференцируя их в соответствии с определенными угрозами:

- формирование правовых условий защиты информации, непосредственно в банке, путем разработки нормативно-правовых документов по защите всех видов информации (документированной, электронной, а также информации, существует в виде знаний работников банка), которыми должны регулироваться взаимоотношения банка с его работниками, клиентами и т.д.;

- обеспечение контроля за бумажными носителями информации, прежде всего работниками банка, в части соблюдения ими установленного режима защиты информации, своевременное реагирование на все нарушения в защите информации;

- внедрение надежной системы документооборота (служебного и специального делопроизводства), исключающей возможность несанкционированного доступа к банковским документам, их потери, уничтожения или модификации;

- обеспечение надежной охраны банков с целью исключения возможности несанкционированного доступа к информации, выноса документов или их копий;

- повышение квалификации персонала в области экономической и информационной безопасности;

- повышение прозрачности отчетности и ужесточение требований к обеспечению достоверности банковской информации, проведение внешнего и внутреннего аудита банка.

3.3 Совершенствование практики защиты конфиденциальной информации в устной форме

Главное место в организации надежной защиты конфиденциальной информации в устной форме, отводится работе с кадрами. Специалисты считают, что сохранение секретных данных, полученных в устной форме, на 80% зависит от правильного подбора, расстановки и воспитания кадров. И эту работу следует начинать со дня приема человека на работу.

Второй по важности мерой является ограничение доступа к секретной информации. Работу необходимо организовать таким образом, чтобы каждый сотрудник имел доступ только к той информации, которая необходима ему в процессе выполнения прямых служебных обязанностей. Эта мера не сможет полностью защитить от возможной утечки информации, но даст возможность свести возможный ущерб к минимуму.

Третьим направлением в работе с кадрами является проведение воспитательной работы и мотивации сотрудников банка. Московскому банку ОАО «Сбербанк России» в этой связи целесообразно дать следующие рекомендации:

- использовать любую возможность для пропаганды программ обеспечения режима секретности;

- разносторонне стимулировать заинтересованность сотрудников в выполнении режима секретности;

- периодически вознаграждать сотрудников за успехи в защите секретной информации.

Отметим, что сами призывы не дают положительных результатов, поэтому значительное место в воспитательной работе отводят обучению, целями которого являются:

- знание сотрудником объемов информации, за безопасность которой он несет личную ответственность;

- понимание исполнителем сути конфиденциальных сведений, характера и ценности данных, с которыми он работает;

- обучение правилам хранения и защиты секретных данных.

Как показал анализ практики, проведённый в рамках данной бакалаврской работы, значительная утечка коммерческой информации происходит в ходе ведения переговоров. Это объясняется разными причинами: неверно понят престиж, неумение правильно рекламировать банковские услуги.

Значительную роль играет умение ведения переговоров. Сотрудник должен четко знать, какую информацию он имеет право сообщить партнеру по переговорам, а какую - нет. Следует учить сотрудников проведению рекламы услуг банка по методу «черного ящика», то есть можно сообщить параметры выбора, полученный результат, а как он получен -конфиденциальная информация банка. Сотрудник должен понимать, что от успешно проведенных переговоров зависит не только успешность деятельности банка, но и его личное благополучие.

Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения заложенных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами. В частности, в процессе защиты передачи устной информации посредством линий телекоммуникаций ОАО «Сбербанк России» целесообразно применять методы аналогового скремблирования и дискретизации речи с последующим шифрованием.

На уровне работы с персоналом Московского банка ОАО «Сбербанк России» разработаны следующие рекомендации:

- принятие внутренних актов, которые устанавливают перечень сведений, составляющих коммерческую тайну, порядок доступа к ней, правила использования данных и предотвращения незаконного разглашения; дополнение существующей политики информационной безопасности соответствующими пунктами, регулирующими вопрос использования в работе как корпоративных, так и частных мобильных телефонов, компьютеров, электронной почты и других средств коммуникации.

- проведение профилактической работы, включающей мотивацию и воспитание у каждого работника бережного и ответственного отношения к информации, используемой в работе; разработка и реализация организационных мероприятий, которые заключаются в проведении регулярных тренингов персонала по соблюдению политики безопасности обращения с различными документами в соответствии с категорией конфиденциальности;

- дополнение трудовых договоров банка с работниками соответствующими пунктами, представляющими собой так называемые соглашения о «неконкуренции» (non-competition), которые устанавливают для работников определенные ограничения по работе на конкурентов в случае увольнения, тем самым ограничивая возможности утечки информации;

- введение определенных штрафных санкций за несообщение об определенном инциденте: нетипичном интересе к конфиденциальной информации, разглашении банковской тайны, саботаже, несанкционированном доступе к документам и базам данных и т.д.

На сегодня, по моему мнению, вопрос безопасности информации нужно рассматривать не просто как разработку частных механизмов защиты, а как реализацию системного подхода, включающего комплекс взаимосвязанных мер, которые должны расширяться и совершенствоваться. Поэтому внедрение регламентов информационной безопасности при использовании телекоммуникаций, соблюдение персоналом внутренних нормативных актов, а также достижение конфиденциальности, целостности и доступности устной информации позволят не только повысить эффективность системы информационной безопасности, но и будут способствовать укреплению внешних позиций Московского банка ОАО «Сбербанк России», в частности, и группы «Сбербанк», в целом.

Краткие выводы по главе

В ходе выполнения исследования, разработаны следующие авторские рекомендации по повышению степени защищенности Московского банка ОАО «Сбербанк России» от рассматриваемых угроз

1. Проблему обеспечения и повышения безопасности конфиденциальной информации ОАО «Сбербанк России» необходимо рассматривать не просто как разработку отдельных механизмов защиты, а как реализацию комплексного подхода, включающего систему взаимосвязанных мер экономического, технического, кадрового и организационного характера.

2. С технической точки зрения\, целесообразно применять системы DLP (DataLeakagePrevention), которые находят и блокируют несанкционированную передачу конфиденциальной информации по любому каналу с использованием информационной структуры банка. Данная система открывает для банка следующие возможности в сфере повышения степени защиты конфиденциальной информации:

- предупреждение утечек: задача системы заключается не только и не столько, в том, чтобы зафиксировать сам факт утечки, но в предотвращении инцидента на стадии созревания негативного намерения у потенциального инсайдера (инсайдеров).

- профилактическая работа с коллективом: DLP-система отслеживает настроения в коллективе путем мониторинга сообщений сотрудников в интернет-мессенджерах (Skype, ISQ) и соцсетях в рабочее время.

- оптимизация работы: с помощью DLP-системы можно контролировать реакцию коллектива на нововведения и в соответствии с ней эффективно корректировать внутреннюю политику банка.

3. На уровне работы с персоналом Московского банка ОАО «Сбербанк России» разработаны следующие рекомендации:

- принятие внутренних актов, которые устанавливают перечень сведений, составляющих коммерческую тайну, порядок доступа к ней, правила использования данных и предотвращения незаконного разглашения; дополнение существующей политики информационной безопасности соответствующими пунктами, регулирующими вопрос использования в работе как корпоративных, так и частных мобильных телефонов, компьютеров, электронной почты и других средств коммуникации.

- проведение профилактической работы, включающей мотивацию и воспитание у каждого работника бережного и ответственного отношения к информации, используемой в работе; разработка и реализация организационных мероприятий, которые заключаются в проведении регулярных тренингов персонала по соблюдению политики безопасности обращения с различными документами в соответствии с категорией конфиденциальности;

- дополнение трудовых договоров банка с работниками соответствующими пунктами, представляющими собой так называемые соглашения о «неконкуренции» (non-competition), которые устанавливают для работников определенные ограничения по работе на конкурентов в случае увольнения, тем самым ограничивая возможности утечки информации;

- введение определенных штрафных санкций за несообщение об определенном инциденте: нетипичном интересе к конфиденциальной информации, разглашении банковской тайны, саботаже, несанкционированном доступе к документам и базам данных и т.д.

Заключение

В процессе исследования теоретических и практических аспектов противодействия угрозам информационной безопасности организации со стороны собственного персонала посредством совершенствования практики защиты конфиденциальной информации, проведенного в рамках данной бакалаврской работы на примере Московского банка ОАО «Сбербанк России», были выявлены следующие основные проблемы:

1. Наиболее существенные внутренние угрозы информационной безопасности организации включают в себя действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, результатом которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д. Игнорирование угроз, связанных с конфиденциальностью информации, может привести к появлению серьезных убытков и потерь организации. Речь идет не только о финансовом, но и о репутационном ущербе.

2. В розничном сегменте банковского обслуживания Московского банка ОАО «Сбербанк России» наблюдается отрицательная рентабельность использования персонала, в то время как подразделения, обслуживающие корпоративный бизнес и финансовые рынки, являются высокорентабельными. При этом наибольший удельный вес в общей структуре расходов на персонал приходится на розничный бизнес. Это представляет определенную угрозу безопасности банка, поскольку сотрудники, обслуживающие розничный бизнес, демонстрируют недостаточный уровень деловой активности и вовлеченности, а сотрудники, обслуживающие два других сегмента, могут чувствовать себя недооцененными.

3. Отмечена недостаточная надежность и масштабируемость процессов и систем. Сложная, неоднородная, в недостаточной степени масштабируемая и надежная ИТ-архитектура может стать причиной повторяющихся сбоев в защите конфиденциальной информации банка и клиентов. Это влечет за собой репутационные риски, снижает уровень доверия клиентов к банку.

4. Управленческие системы и процессы банка отстают в своем развитии от тенденций изменения его внутренней и внешней среды. Управление Московским банком ОАО «Сбербанк России» требует зрелой системы управления и управленческих процессов, а также механизмов максимально эффективного менеджмента персонала банка, направленных на повышение вовлеченности и лояльности сотрудников, а также минимизацию угроз со стороны безответственных и нелояльных кадров. Необходимо дальнейшее развитие системы управленческой отчетности, документооборота, управления процессами, ресурсного планирования. Также необходимы дальнейшая модернизация системы управления и развитие корпоративной культуры.

Для решения указанных проблем автором сформулированы следующие рекомендации по актуализации (совершенствованию) противодействия информационной безопасности организации со стороны собственного персонала:

1. Проблему обеспечения и повышения безопасности конфиденциальной информации ОАО «Сбербанк России» необходимо рассматривать не просто как разработку отдельных механизмов защиты, а как реализацию комплексного подхода, включающего систему взаимосвязанных мер экономического, технического, кадрового и организационного характера.

2. С технической точки зрения, целесообразно применять системы DLP (DataLeakagePrevention), которые находят и блокируют несанкционированную передачу конфиденциальной информации по любому каналу с использованием информационной структуры банка.

3. На уровне работы с персоналом Московского банка ОАО «Сбербанк России» необходимо:

- принятие внутренних актов, которые устанавливают перечень сведений, составляющих коммерческую тайну, порядок доступа к ней, правила использования данных и предотвращения незаконного разглашения; дополнение существующей политики информационной безопасности соответствующими пунктами, регулирующими вопрос использования в работе как корпоративных, так и частных мобильных телефонов, компьютеров, электронной почты и других средств коммуникации.

- проведение профилактической работы, включающей мотивацию и воспитание у каждого работника бережного и ответственного отношения к информации, используемой в работе; разработка и реализация организационных мероприятий, которые заключаются в проведении регулярных тренингов персонала по соблюдению политики безопасности обращения с различными документами в соответствии с категорией конфиденциальности;

- дополнение трудовых договоров банка с работниками соответствующими пунктами, представляющими собой так называемые соглашения о «неконкуренции» (non-competition), которые устанавливают для работников определенные ограничения по работе на конкурентов в случае увольнения, тем самым ограничивая возможности утечки информации;

- введение определенных штрафных санкций за несообщение об определенном инциденте: нетипичном интересе к конфиденциальной информации, разглашении банковской тайны, саботаже, несанкционированном доступе к документам и базам данных и т.д.

Планируемый эффект от внедрения авторских рекомендаций заключается в том, что реализация указанных выше мероприятий позволит Московскому банку ОАО «Сбербанк» расширить свои возможности в сфере повышения степени защиты конфиденциальной информации от угроз со стороны собственного персонала:

1. Предупреждение утечек: задача рекомендованной автором к использованию системы заключается не только и не столько, в том, чтобы зафиксировать сам факт утечки, но в предотвращении инцидента на стадии созревания негативного намерения у потенциального инсайдера (инсайдеров);

2. Профилактическая работа с коллективом: рекомендованная DLP-система отслеживает настроения в коллективе путем мониторинга сообщений сотрудников в интернет-мессенджерах (Skype, ISQ) и соцсетях в рабочее время.

3. Оптимизация кадровой политики: с помощью указанной системы можно контролировать реакцию коллектива на нововведения и в соответствии с ней эффективно корректировать внутреннюю политику банка.

Разработанные в рамках данной бакалаврской работы авторские рекомендации могут быть также использованы в практике деятельности других подразделений ОАО «Сбербанк», а также в других отечественных коммерческих банках.

Литература

Нормативно-правовые акты:

1. Конституция Российской Федерации России. - М.: Юрид. лит., 1993. - 64 с.

2. Гражданский кодекс Российской Федерации. Часть 1 от 30.11.1994 г. № 51-ФЗ; Часть 2 от 26.12.1996 г. № 14-ФЗ; Часть 3 от 26.11.2001 г. № 146-ФЗ (с изменениями от 20.02.1996 г., 12.08.1996 г., 24.10.1997 г., 08.07.1999 г., 17.12.1999 г., 16.04.2001 г., 15.05.2001 г.)

3. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (ред. от 18.07.2011) (с изм. и доп., вступающими в силу с 02.08.2011)

4. Закон РФ «О безопасности» от 05.03.1992 №2446-1 (в редакции на 25.07.2002 № 116-ФЗ)

5. Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1 (в редакции на 24.07.2007 № 214-ФЗ)

6. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ

7. Закон РФ "О государственной тайне" от 21 июля 1993 года № 5485-1 (в редакции Федерального закона от 06.10.97 № 131-ФЗ)

8. Закон РФ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ

Научная и учебная литература:

9. Алавердов А. Р. Кадровая безопасность современного банка: стратегия и тактика управления // Управление в кредитной организации. - N 2, март-апрель 2008 (Сборник статей).

10. Алавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. Московский государственный университет экономики, статистики и информатики. - М., 2004. - 82 с.

11. Алавердов А.Р. Управление кадровой безопасностью организации: учебник. - М.: Маркет ДС, 2010 (Университетская серия). - 176 с.

12. Доля А. Саботаж в корпоративной среде [Электронный ресурс] - Режим доступа: http://citforum.ru/security/articles/sabotage/

13. Доминяк В. Организационная лояльность: основные подходы//Менеджер по персоналу. - 2006.- №4.- С. 34 - 40.

14. Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности. - 2014. - №1(2). - С. 67-73.

15. Жигулин Г.П. Организационное и правовое обеспечение информационной безопасности, - СПб: СПбНИУИТМО, 2014. - 173с.

16. Интеллектуальные права: Понятие; Система; Задачи кодификации: Сборник статей / В. А. Дозорцев; Исследовательский центр частного права. - М.: Статут, 2005. - 416 с.

17. Ищейнов В.Я., Мецатунян М.В. Защита конфиденциальной информации: Учеб. пособие. - М.: ФОРУМ, 2009. - 256 с.

18. Коноплева И.А., Богданов И.А. Управление безопасностью и безопасность бизнеса: Учебное пособие для вузов / Под ред. И.А. Коноплевой - М.: ИНФРА-М, 2012. - 448 с.

19. Крылов В. В. Расследование преступлений в сфере информации. - М.: Городец, 1998. - 264 с.

20. Мельникова, Е. И. Формы утечки информации, составляющей коммерческую тайну, и управление персоналом предприятия в целях обеспечения информационной безопасности [Текст] /Е. И. Мельникова. //Юридический мир. -2009. - № 12. - С. 40 - 43.

21. Методы организации защиты информации: учебное пособие для студентов 3-4 курсов всех форм обучения направлений подготовки 230400.55, 230701.51, 090300.65, 220100.55 / Ю. Ю. Громов и др. - Тамбов: Изд-во ФГБОУ ВПО «ТГТУ», 2013. - 80 с.

22. Сергеев А.П. Право интеллектуальной собственности воссийской Федерации: учеб. 2-е изд., перераб. и доп. - М.: ТК Велби, Изд-во Проспект, 2004. - 752 с.

23. Скиба В., Курбатов В. Руководство по защите от внутренних угроз информационной безопасности. - М.,Спб.: Издательство Питер, 2008. - 320 с.

24. Скляренко А. Угрозы конфиденциальности информации, связанные с персоналом // Бизнес и безопасность. - 2010. - №1. - С.92.

Интернет-ресурсы:

25. Отчет менеджмента ОАО “Сбербанк России» за 2013 год. - Режим доступа: http://report-sberbank.ru/upload/Annual_Report_rus_2013.pdf

26. Отчет о корпоративной социальной ответственности ОАО “Сбербанк России» за 2013 год. - Режим доступа: http://report-sberbank.ru/upload/Social_Report_rus_2013.pdf

27. Официальный веб-сайт ОАО «Сбербанк России». - Режим доступа: www.sberbank.ru

28. Презентация для инвесторов ОАО «Сбербанк России» 2014 г. - Режим доступа: http://www.sberbank.ru/common/img/uploaded/ir/docs/Sberbank_IR_presentation_sept_2014_RU.pdf

Другие источники:

29. Положение о Службе внутреннего контроля Сбербанка России (Редакция 2) N1277-2-р от 21.12.2005 (с учетом последующих редакций)

30. Политика информационной безопасности Сбербанка России от 23.11.2006 N 1370-2-р.

31. Порядок обеспечения безопасности информационных технологий в Сбербанке России от 28.12.2001 N 875-р.

32. Требования по обеспечению информационной безопасности в автоматизированных банковских системах Сбербанка России. Утверждены 22.07.2008 г.

Размещено на Allbest.ru