В данной статье раскрываются принципы построения информационной безопасности в организации ПАО «Сбербанк», а также указывается необходимость её поддержания в связи с мошенническими действиями.
При построении системы информационной безопасности должны быть соблюдены и учтены функциональные требования, которые должны быть реализованы в комплексе.
Ключевые слова: информационная безопасность, конфиденциальность, мобильный банк от ПАО «Сбербанк».
Под информационной безопасностью любого коммерческого банка подразумевается состояние защищённости всех банковских информационных активов.
Информационную безопасность банковской системы РФ регулирует Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
Обеспеченность информационной безопасности должна находиться на высоком уровне, только в таком случае кредитная организация сможет минимизировать такие риски, как [1]:
− риск утечки информации (служебная, коммерческая, банковская тайна);
− риск потери и разрушения данных;
− риск использования неполной либо искажённой информации в деятельности банка, а так же риск при принятии важных управленческих решений;
− риск распространения такой информации по внешней среде, которая способна нанести ущерб репутации банка.
На данный момент необходимым условием реализации коммерческих программ стало наличие главного документа, обеспечивающего формирование системы информационной безопасности, а именно «Политики информационной безопасности банка». Данный документ содержит полный перечень всевозможных угроз безопасности информации в банке, перечень объектов защиты и ключевых задач, а также меры по обеспечению информационной безопасности [4].
В связи с этим, к главным элементам системы информационной безопасности банка относятся:
− авторизация и аутентификация;
− защита от возможного несанкционированного доступа к системам, включающая внутреннюю защиту от незаконного доступа сотрудников банка;
− защита каналов передачи данных, в том числе обеспечение сохранности данных при обмене информацией с клиентами;
− управление инцидентами информационной безопасности; − обеспечение внутреннего и внешнего аудита системы информационной безопасности [2].
ПАО «Сбербанк» является одним из крупнейших банков России. В связи с этим его деятельность, как и деятельность других коммерческих банков, контролируется ЦБ РФ.
Оказание широкого спектра банковских услуг подчёркивает статус ПАО «Сбербанк» как на национальном, так и на международном рынке.
Для обеспечения безопасности информации в ПАО «Сбербанк» создана целая система защиты информации. Она представляет собой совокупность требований, направлений, средств и мероприятий, способствующих сокращению уязвимости информации, а также недопущению возникновения незаконного доступа, её утечки.
Необходимо отметить, что ПАО «Сбербанк» постоянно работает над методиками повышения экономической безопасности.
В связи с этим особое внимание банк концентрирует на выборе персонала и проведении соответствующих инструктажей по безопасности. Если ознакомиться с контрактами Сбербанка, можно заметить, что в них обозначены персональные требования, функции персонала, в том числе ответственность за различные рода нарушения (в большинстве случаев именно персонал оказывает значительное влияние на информационную безопасность банка).
Широкое распространение в деятельности Сбербанка получило введение в служебных документах грифа секретности. В связи с этим, для определённых категорий персонала характерно назначение увеличенной суммы оклада.
Если посмотреть со стороны потребителей банковских услуг, то для обслуживания своих клиентов банк так же использует большое количество информационных технологий с целью удобства пользования и повышения информационной безопасности, к примеру:
− интернет-банкинг;
− устройства самообслуживания;
− мобильный банк;
− работа с клиентами посредством SMS и E-mail рассылки.
Помимо того, что Сбербанк располагает собственными современными системами обеспечения безопасности, он так же призывает своих клиентов к тому, чтобы они сами осуществляли меры безопасности в силу разных видов использования информационных технологий [3].
Для того, чтобы убедиться в обеспечении информационной безопасности Сбербанка по отношению к клиентам, рассмотрим подробно обеспечение информационной безопасности на базе мобильного приложения «Сбербанк Онлайн».
Приложение «Мобильный банк» является достаточно новой разработкой (представлен для скачивания на смартфоны для ОС Android через «Play Market», а для ОС IOS — через App Store), позволяющей через личный кабинет данного приложения оплачивать счета, пополнять баланс на телефоне и осуществлять другие не менее важные операции. Вход в приложение ограничен паролем, который придумывает сам пользователь, при загрузке и регистрации приложения (рис.1).
Рис.1. Вход в приложение мобильный банк от Сбербанка
Приложение Сбербанк онлайн не даст использовать себя без знания PIN-кода, при первом запуске он обязательно проверит смартфон на наличие прав root и, если они есть, не даст переводить деньги куда угодно, ограничив функциональность шаблонами (правда, этот механизм довольно легко обойти). У него есть встроенная клавиатура, которая защищает от шпионских приложений, реализованных в виде сторонних клавиатур. Для общения с сервером он использует токены и зашифрованный канал.
У данного приложения так же существуют определённые меры безопасности:
− при утрате мобильного устройства, на который была подключена услуга «Мобильный банк» следует незамедлительно оповестить об этом оператора с целью блокировки SIM-карты, а так же обратиться в контактный центр банка и приостановить действия вышеперечисленной услуги;
− если клиентами была осуществлена смена номера, на который была подключена услуга «Мобильный банк», необходимо обратиться в ближайшее к внутреннему структурному подразделению (ВСП) и отключить данную услугу посредством оформления заявления на её отключение.
− своевременно обновлять установленное на телефон антивирусное приложение [5].
Также среди клиентов банка популярны SMS и E-mail рассылки. Приведём некоторые меры по защите при их использовании:
- Сбербанк всегда осуществляет адресное обращение. В любом сообщении, отправленном от имени Сбербанка, обязательно будут указаны последние цифры номера держателя карты;
- Сбербанк не рассылает сообщения, содержащие форму для ввода персональных данных клиента; на оборотной стороне карты Сбербанка указаны официальные телефоны контактных центров, по которым вы можете позвонить, если полученное клиентом SMS вызывает тревогу или сомнения.
- Кроме того, сотрудник банка никогда не требует у клиента информации о конфиденциальных сведениях (PIN и CVC-коды), на это способны только мошенники.
Таким образом, в результате проведенного исследования можно утверждать, что поддержание информационной безопасности ПАО «Сбербанк» находится под контролем кредитной организации, о чём свидетельствует проводимые банком методики повышения информационной безопасности как для персонала, так и для его клиентов. В этом плане Сбербанк не стоит на месте, постоянно совершенствуется и развивается.
Несмотря на уровень оснащенности информационной безопасности банка, несомненно, клиент неукоснительно должен следовать правилам, в том числе тогда, когда речь заходит о защите персональной финансовой информации.
Литература:
- Бабаш А. В., Баранова Е. К., Ларин Д. А. Информационная безопасность. История защиты информации в России. М.: КДУ, 2015. 516 с.
- Гмурман А. И. Информационная безопасность. М.: БИТ-М, 2014. 387с.
- Гришина Е. А. Сущность и роль стратегии инновационного развития в банковском секторе // Научное обозрение. 2015. № 6. С. 235–241.
- Информационная безопасность организаций банковской системы Российской Федерации // Центральный банк Российской Федерации. Режим доступа: http://www.cbr.ru/credit/gubzi_docs/
- Ваша безопасность // Сбербанк. Режим доступа: http://www.sberbank.ru/
