По количеству транзакций и объему операций Сбербанк является третьим эквайером в мире и первым – в Европе, он представлен в 18 странах в макрорегионах Europe & APAC. Сбербанк – первый эмитент в России и Восточной Европе, а также самый крупный банк в Российской Федерации. У нас более 100 млн активных частных клиентов, а мобильное приложение Сбербанка ежемесячно используют 67 млн пользователей. В банке ежедневно проходят миллионы транзакций и традиционно его инфраструктура, клиенты и сотрудники становятся объектами множества атак злоумышленников. Для того чтобы защитить банк и его клиентов, мы постоянно повышаем уровень кибербезопасности и работаем над повышением уровня осведомленности клиентов в области безопасности и защиты от мошенников.
Авторы:
Светлана Прусская, руководитель направления отдела киберкомплаенс, Сбербанк
Екатерина Ефремова, менеджер отдела киберкомплаенс, Сбербанк
Банковская отрасль традиционно является самой зарегулированной с точки зрения кибербезопасности, так как любая атака на инфраструктуру организации несет финансовые риски как для самой организации, так и для ее клиентов.
Существует более 80 международных и российских нормативно-правовых актов регуляторов, которым Сбербанк, как и другие организации финансово-кредитной сферы, должен соответствовать с точки зрения кибербезопасности, в том числе:
Эти требования написаны на разных языках мира сложным техническим стилем, зачастую они противоречат друг другу, а порой пересекаются. Управлять таким многообразием требований тяжело, и далеко не всегда понятно, каковы критерии соответствия или даже какой объект должен быть защищен, к примеру: сама система или процесс работы с ней; документ, файл или способ его передачи.
Соблюдать требования регуляторов необходимо ради безопасности процессов компании, защищенности ее клиентов и сохранения их доверия. В этом векторе главная задача функции комплаенса кибербезопасности – обеспечение соответствия всего банка всем тем требованиям, которые принял на себя банк, в том числе и в части добровольного соответствия требованиям лучших практик.
В Сбербанке данная задача решается с помощью системы "Единая контрольная среда", в которой собраны все требования регуляторов в части кибербезопасности. Требования нормализованы: объединены дублирующие элементы, а в каждом нормативно-правовом акте определен точный список требований, которым банк должен соответствовать, и список неприменимых сейчас.
"Единая контрольная среда" – это ядро системы управления соответствием, инструмент развития системы защиты. В ней описаны:
Рис. 1. "Единая контрольная среда"
Задача подразделения комплаенса информационной безопасности в том, чтобы совместно с профильными специалистами зафиксировать тот конкретный способ соблюдения требования, который является наиболее эффективным, бизнес-ориентированным и быстрым для данной компании, но при этом обеспечивает полное соответствие требованию.
Создание единого списка контролей позволяет оптимизировать временные, трудовые и финансовые затраты.
На текущий момент в "Единой контрольной среде" Сбербанка более 1500 требований. Но "Единая контрольная среда" постоянно развивается, потому что меняются как требования регуляторов, так и технологии Сбербанка. Поэтому 1500 требований – не конечное число.
Вследствие перехода многих сфер бизнеса в цифру компании стали понимать, что соответствовать требованиям кибербезопасности нужно не ретроспективно, а проактивно. Уже недостаточно раз в год проводить аудиты, просто делая срез, – это заведомо тупиковый и опасный путь. Система контроля соответствия призвана отслеживать состояние на данный момент и предугадывать риски будущих несоответствий.
В рамках международной практики выделено пять уровней зрелости процессов комплаенс (Рис. 2).
Рис. 2. Уровни зрелости процессов комплаенс
В Сбербанке "Единая контрольная среда" проводит автопроверку соответствия различным требованиям, создает задачи по устранению нарушений и назначает за них ответственных сотрудников, попутно контролируя процесс. Это позволяет существенно сократить трудозатраты на проведение проверок и устранение нарушений.
Примеры автоматических проверок соответствия:
Есть множество возможностей для дальнейшего развития "Единой контрольной среды".
Во-первых, использование искусственного интеллекта. С помощью технологий искусственного интеллекта можно проводить автоматический анализ новых требований регуляторов и их связи с существующими процессами компании, что позволит частично уйти от ручного анализа. Искусственный интеллект будет полезен в парсинге регуляторных стандартов и разбиении их на атомарные требования, в классификации требований, в определении объекта соответствия и других свойств требования.
Во-вторых, "Единая контрольная среда" является инструментом контроля выполнения в том числе внутренних требований кибербезопасности компании. Всем известно, что в этой сфере законодательство не успевает за изменениями и содержит только базовые требования, далеко не всегда обеспечивающие приемлемый уровень безопасности для отдельных компаний. Если организация хочет быть защищенной, она всегда имеет свои собственные разработки и процессы, обеспечивающие безопасность ее деятельности, которые также нужно описывать, организовывать и контролировать, и "Единая контрольная среда" идеально подходит для этой задачи.
В-третьих, не лишним будет добавить в "Единую контрольную среду" требования регуляторов в других сферах. Она содержит универсальные вопросы для любой области бизнеса. Можно взять соответствие процесса лечения официальным клиническим рекомендациям или соответствие проведения закупочных процедур законодательству – в любом случае "Единая контрольная среда" поможет оптимизировать процесс и снизить трудозатраты.