Контакты
Подписка 2024

"Единая контрольная среда" как инструмент управления соответствием требованиям регуляторов

Сбербанк, 08/10/21

По количеству транзакций и объему операций Сбербанк является третьим эквайером в мире и первым – в Европе, он представлен в 18 странах в макрорегионах Europe & APAC. Сбербанк – первый эмитент в России и Восточной Европе, а также самый крупный банк в Российской Федерации. У нас более 100 млн активных частных клиентов, а мобильное приложение Сбербанка ежемесячно используют 67 млн пользователей. В банке ежедневно проходят миллионы транзакций и традиционно его инфраструктура, клиенты и сотрудники становятся объектами множества атак злоумышленников. Для того чтобы защитить банк и его клиентов, мы постоянно повышаем уровень кибербезопасности и работаем над повышением уровня осведомленности клиентов в области безопасности и защиты от мошенников.

Авторы:
Светлана Прусская, руководитель направления отдела киберкомплаенс, Сбербанк
Екатерина Ефремова, менеджер отдела киберкомплаенс, Сбербанк

Тонкости управления соответствием в крупном банке

Банковская отрасль традиционно является самой зарегулированной с точки зрения кибербезопасности, так как любая атака на инфраструктуру организации несет финансовые риски как для самой организации, так и для ее клиентов.

Существует более 80 международных и российских нормативно-правовых актов регуляторов, которым Сбербанк, как и другие организации финансово-кредитной сферы, должен соответствовать с точки зрения кибербезопасности, в том числе:

  • документам международных платежных систем, таким как PCI DSS, PA DSS;
  • требованиям по защите персональных данных;
  • стандартам Центрального Банка России и т.д.

Эти требования написаны на разных языках мира сложным техническим стилем, зачастую они противоречат друг другу, а порой пересекаются. Управлять таким многообразием требований тяжело, и далеко не всегда понятно, каковы критерии соответствия или даже какой объект должен быть защищен, к примеру: сама система или процесс работы с ней; документ, файл или способ его передачи.

Соблюдать требования регуляторов необходимо ради безопасности процессов компании, защищенности ее клиентов и сохранения их доверия. В этом векторе главная задача функции комплаенса кибербезопасности – обеспечение соответствия всего банка всем тем требованиям, которые принял на себя банк, в том числе и в части добровольного соответствия требованиям лучших практик.

Способ унификации требований регуляторов

В Сбербанке данная задача решается с помощью системы "Единая контрольная среда", в которой собраны все требования регуляторов в части кибербезопасности. Требования нормализованы: объединены дублирующие элементы, а в каждом нормативно-правовом акте определен точный список требований, которым банк должен соответствовать, и список неприменимых сейчас.

"Единая контрольная среда" – это ядро системы управления соответствием, инструмент развития системы защиты. В ней описаны:

  • контроли (требования регуляторов);
  • объекты контроля (то, к чему применяется данное требование, а именно техническое средство, ПО, процесс, документ, сотрудник и т.д.);
  • описание того, как эти требования должны исполняться в Сбербанке (набор конкретных технических и/или организационных характеристик, артефакты, подтверждающие соответствие);
  • процессы, в которых реализовано исполнение каждого требования;
  • внутренние нормативные документы, где описано исполнение каждого требования. Они обязывают всех сотрудников банка следовать установленным процессам;
  • подразделения, которые осуществляют исполнение требования;
  • технические средства, обеспечивающие исполнение требования и контролирующие это исполнение;
  • метрики соответствия для Сбербанка (это точные цифровые характеристики – при каких показателях можно считать, что соответствие требованию обеспечено).


Рис. 1. "Единая контрольная среда"

Задача подразделения комплаенса информационной безопасности в том, чтобы совместно с профильными специалистами зафиксировать тот конкретный способ соблюдения требования, который является наиболее эффективным, бизнес-ориентированным и быстрым для данной компании, но при этом обеспечивает полное соответствие требованию.

Создание единого списка контролей позволяет оптимизировать временные, трудовые и финансовые затраты.

  • Объединение дублирующих требований сокращает число внутренних проверок на 30%.
  • Выявление требований, не описанных в процессах и внутренних документах, позволяет найти и объединить существующие разовые решения, установить и зафиксировать в процессах лучшие практики. Сокращает время принятия и согласования решений.
  • Определение объекта контроля помогает защитить именно то, что требуется. Необходимо понимать, какой именно объект должен соответствовать тому или иному требованию (это может быть сервер, сотрудник, документ и т.д.)
  • Точное описание способа реализации требования помогает в проведении внешних и внутренних аудитов и, главное, сокращает трудозатраты подразделений при обеспечении безопасности.
  • Список конкретных метрик соответствия не только позволяет исполнителям понимать цели и настраивать свою работу, но и сокращает время проверок, а с помощью автоматизации трудозатраты по некоторым проверкам можно сократить на 90% (оставшиеся 10% – это разработка и актуализация самого алгоритма проверки и валидация результатов).
  • Определение подразделений, которые участвуют в обеспечении соответствия, помогает избежать ситуации, когда "знаем что, знаем как, есть ресурсы, но делать некому, или это делают все подряд". Даже самый прекрасно описанный процесс не работает без исполнителей, поэтому назначение ответственного подразделения является ключом к получению результата.
  • Определение способов контроля соответствия позволяет в режиме онлайн видеть не только разрозненные показатели, но и картину комплаенса в целом, а также возникающие риски, потребность в ресурсах.

На текущий момент в "Единой контрольной среде" Сбербанка более 1500 требований. Но "Единая контрольная среда" постоянно развивается, потому что меняются как требования регуляторов, так и технологии Сбербанка. Поэтому 1500 требований – не конечное число.

Использование "Единой контрольной среды" при автоматизации процесса управления соответствием

Вследствие перехода многих сфер бизнеса в цифру компании стали понимать, что соответствовать требованиям кибербезопасности нужно не ретроспективно, а проактивно. Уже недостаточно раз в год проводить аудиты, просто делая срез, – это заведомо тупиковый и опасный путь. Система контроля соответствия призвана отслеживать состояние на данный момент и предугадывать риски будущих несоответствий.

В рамках международной практики выделено пять уровней зрелости процессов комплаенс (Рис. 2).


Рис. 2. Уровни зрелости процессов комплаенс

В Сбербанке "Единая контрольная среда" проводит автопроверку соответствия различным требованиям, создает задачи по устранению нарушений и назначает за них ответственных сотрудников, попутно контролируя процесс. Это позволяет существенно сократить трудозатраты на проведение проверок и устранение нарушений.

Примеры автоматических проверок соответствия:

  • проверка полноты данных о конфигурационных элементах ИТ-инфраструктуры, а также соответствия настроек элементов инфраструктуры установленному шаблону (система сама ежедневно загружает данные и проверяет их по настроенным алгоритмам);
  • настройка единого автоматического контроля для кластера похожих требований из разных нормативно-правовых актов (позволяет оптимизировать трудозатраты сотрудников и затраты времени работы контролирующего ПО);
  • автоматический сбор информации обо всех несоответствиях любого типа, как полностью по компании, так и в разрезе каждого нормативного акта (позволяет оптимизировать трудозатраты при подготовке к аудитам, при планировании мероприятий по устранению несоответствий и создать решения, которые закрывают несколько проблем сразу);
  • анкетирование представителей подразделений (система не только сама создает опрос в соответствии с однажды заданным графиком, но подгружает необходимый пул вопросов, рассылает их по списку участников процесса и обрабатывает результаты, выдавая готовый итог аудитору);
  • актуализация процессов и документов – при любом изменении извне (требования НПА) или внутри компании (изменение скоупа автоматизированных систем, организационной структуры, ИТ-инфраструктуры) система предлагает внести изменения в связанные процессы или внутренние документы, чтобы обеспечить непрерывную плановую работу по комплаенс;
  • контроль и учет мероприятий по устранению несоответствий в связи с тем, что многие из них являются длительными разработками, занимающими годы, многие привязаны к сроку следующего аудита. Проводятся эти мероприятия в разных подразделениях, а отдельные задачи могут быть в работе у абсолютно не связанных с типовым процессом комплаенс сотрудников (значительно снижает трудозатраты и риск упустить из виду какой-либо важный пункт работ).

Рис. 3. Управление соответствием требованиям

Будущее "Единой контрольной среды"

Есть множество возможностей для дальнейшего развития "Единой контрольной среды".

Во-первых, использование искусственного интеллекта. С помощью технологий искусственного интеллекта можно проводить автоматический анализ новых требований регуляторов и их связи с существующими процессами компании, что позволит частично уйти от ручного анализа. Искусственный интеллект будет полезен в парсинге регуляторных стандартов и разбиении их на атомарные требования, в классификации требований, в определении объекта соответствия и других свойств требования.

Во-вторых, "Единая контрольная среда" является инструментом контроля выполнения в том числе внутренних требований кибербезопасности компании. Всем известно, что в этой сфере законодательство не успевает за изменениями и содержит только базовые требования, далеко не всегда обеспечивающие приемлемый уровень безопасности для отдельных компаний. Если организация хочет быть защищенной, она всегда имеет свои собственные разработки и процессы, обеспечивающие безопасность ее деятельности, которые также нужно описывать, организовывать и контролировать, и "Единая контрольная среда" идеально подходит для этой задачи.

В-третьих, не лишним будет добавить в "Единую контрольную среду" требования регуляторов в других сферах. Она содержит универсальные вопросы для любой области бизнеса. Можно взять соответствие процесса лечения официальным клиническим рекомендациям или соответствие проведения закупочных процедур законодательству – в любом случае "Единая контрольная среда" поможет оптимизировать процесс и снизить трудозатраты.

Темы:СбербанкУправлениеЖурнал "Информационная безопасность" №3, 2021

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Как оценить эффективность системы управления операционным риском? (чек-лист)
    Валерия Окорокова, младший консультант по ИБ RTM Group
    Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками и минимизации соответствующих расходов
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать