Защита персональных данных на примере ПАО Сбербанк

Введение

В период цифровизации информационного общества возрастают риски, связанные с кражей и потерей персональных данных, особенно в банковской сфере. Банковские учреждения, которые обрабатывают личную и финансовую информацию клиентов, чаще становятся объектами хакерских атак. В числе крупнейших инцидентов, произошедших в 2017 году с утечкой персональных данных, стоит отметить случай с компанией Equifax. Одно из крупнейших в мире бюро кредитных историй сообщило о компрометации данных 147,9 миллионов своих клиентов, в том числе их имена, даты рождения, адреса и номера страховых полисов.
Драматические события политического и экономического характера, произошедшие в первой половине 2022 года, оказали влияние на масштабы утечек информации в мировом и российском масштабах. С началом особых военных действий со стороны РФ возросли вызовы в области кибербезопасности, которые стали более остро обозначены в контексте антироссийской агрессии и формирования новой многополярной реальности. Появился новый виток кибервойн, который сопровождается усилением охоты за персональными данными со стороны организованных киберпреступников. Уровень атак постоянно растет, цена утечки выросла, а обнаружение внутренних злоумышленников стало более важной задачей для служб безопасности компаний по всему миру.
В соответствии с данными аналитического центра группы компаний "InfoWatch", представленными в отчете "Глобальное исследование утечек конфиденциальной информации в I полугодии 2022 года", более 85% всех утечек составляют персональные данные (рисунок 1).

Рисунок 1 – Распределение утечек по типам данных
Доминирующим типом информации в структуре утечек остаются персональные данные (Рисунок 1). Тем не менее, их доля в первой половине 2022 года уменьшилась как в России, так и в мире из-за увеличения числа утечек коммерческих секретов в условиях интенсификации кибервойн по всему миру
Разработанный мною проект, в ходе работы над ВКР, защиты персональных данных на примере ПАО Сбербанк отражает проведенный анализ рисков информационной безопасности ПАО Сбербанк. Защита персональных данных ПАО Сбербанк и последующая разработка проектных решений для обеспечения информационной безопасности и защиты персональных данных ПАО Сбербанк является основной задачей данной работы. В ходе работы была рассмотрена отечественная и международная нормативно-правовая основа создания подобных систем для обеспечения информационной безопасности, и защиты персональных данных ПАО Сбербанк. Центральным узлом проектируемой системы защиты персональных данных ПАО Сбербанк является система мониторинга и аналитики MaxPatrol SIEM. Это программное решение для мониторинга активности пользователей, сетевого трафика и обнаружения аномалий, которые могут свидетельствовать о потенциальных угрозах и попытках похитить персональные данные.
В качестве практической значимости, выполненной ВКР, стоит отметить детально проработанный комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты персональных данных ПАО Сбербанк, а также рассмотренный контрольный пример проектируемых программно-аппаратных средств.
Таким образом, защита персональных данных становится критически важной задачей для банковской сферы, как ключевого участника экономического сектора. Исследования, направленные на повышение уровня защиты персональных данных, ПАО Сбербанк в частности, находятся в центре внимания и являются крайне актуальными.

 
I. Аналитическая часть

В настоящее время в условиях быстрого развития цифровой экономики и цифровизации бизнес-процессов обеспечение кибербезопасности становится одним из ключевых аспектов развития. Многие авторы отмечают важность проблемы обеспечения информационной безопасности и защиты интересов физических лиц [10]. Эксперты подчеркивают, что эффективность обеспечения кибербезопасности зависит на 80% от правильно настроенных процессов в организациях и лишь на 20% от используемых технологий [15]. Ряд первостепенных причин и проблем, требующих решения и определяющих необходимость обеспечения информационной безопасности и защиты законных интересов субъектов персональных данных, представлен на рисунке 1.1.1.
Важность защиты персональных данных стала актуальной после подписания и ратификации конвенции совета Европы о защите персональных данных [17].
В настоящее время действует регламент о защите персональных данных граждан Евросоюза (GDPR), аналогичный федеральному закону о персональных данных в России (Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных») [1].
В Российской Федерации защиту прав субъектов персональных данных осуществляет Роскомнадзор. Организация и контроль соответствия обработки персональных данных всем законодательным актам обеспечиваются этим уполномоченным органом. в соответствии с п. 1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в ред. от 22.02.2017 № 16-ФЗ и п.1 «Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 № 228 (в ред. Постановления Правительства РФ от 25.09.2018 № 1138).

Рисунок 1.1.1 – Причины и проблемы организации защиты персональных данных
Роскомнадзор должен обеспечивать организацию и контроль со стороны государства за соответствием обработки персональных данных требованиям федерального закона и принятых в соответствии с ним всех нормативных правовых актов в сфере средств массовой информации, в том числе электронных и массовых коммуникаций, информационных технологий и связи [6].
Руководствуясь положениями ст. 22 Федерального закона «О персональных данных», Роскомнадзором разработана форма уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень установленных обязательных полей для заполнения, и соответствующие рекомендации по заполнению формы уведомления [1].

Рисунок 1.1.2 – Распределение объявлений по типу продаваемой информации
И в мире, и в России основной целью хакеров остаются персональные данные: 81% инцидентов относятся к ПДн в мире и 69% в России. Интересно, что доля украденных коммерческий тайн в России в распределении выше, чем в мире: 21% против 13% (рисунок 1.1.2). Вероятно, это связано с кибервойной, проводящейся против организаций, формирующих российскую экономику.
Две самые крупные с точки зрения числа скомпрометированных уникальных записей персональных данных утечки данных в мире – это утечка из бразильской компании-разработчика платежного инструмента (66 миллионов записей) и утечка пользователей онлайн-сайта для взрослых (65 миллионов записей). Встречаются в теневой Сети и совсем небольшие базы, содержащие около 1000 записей.
При сравнительном анализе распределения утечек из объявлений в Дарквебе с распределением общего количества утечек можно отметить, что превалирующая доля утечек в обоих случаях относится к персональным данным – в мире 82,9% в общем распределении, 81% в распределении утечек в ДаркВебе. На втором месте утечки, связанные с кражей коммерческих тайн компаний: в мире 13,4% в общем распределении и 13% в распределении утечек в ДаркВебе. В обоих источниках также невелика доля утечек сведений, составляющих государственную тайну, – порядка 2%. Доля утечек из объявлений в ДаркВебе, пришедшихся на платежную информацию, составляет 4% в мире. В общем распределении эта выборка несколько теряется и составляет уже 1,5%. А в России в объявлениях о продаже или бесплатной передаче данных платежная информация встречается достаточно часто – в 8% случаев. В общем распределении это значение снова теряется – всего 0,7%.
Исследование утечек данных в ДаркВебе показывает, что основная часть утечек относится к персональным данным. Проблема продажи украденных данных процветает, и правоохранительные органы борются с ней, однако закрытие крупнейших хакерских площадок не приносит значимых результатов.
 
1.1 Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области
Управленческое решение в ПАО "Сбербанк" имеет свою уникальную специфику, которая определяет все аспекты деятельности компании, включая организационную структуру, систему коммуникаций и корпоративную культуру.
"Сбербанк" – это крупнейшая финансовая экосистема, которая охватывает Россию, страны Восточной Европы и даже Европы в целом. Он был основан в далеком 1841 году по приказу императора Николая I, и с тех пор стал тем самым местом, где каждый чувствовал, что его накопления в надежных руках. Сберегательная книжка, которую получал каждый вкладчик, стала символом надежности и сохранности среди людей.
Целью функционирования ПАО Сбербанк является широкий спектр банковских продуктов и услуг, включая депозиты, различные виды кредитования (потребительские кредиты, автокредиты и ипотеку), а также банковские карты, денежные переводы, банковское страхование и брокерские услуги. С точки зрения обработки персональных данных и их дальнейшей защиты основными принципами является:
– осуществление обработки персональных данных на законной и справедливой основе;
– обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
– обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
– недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
– осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
По мере развития "Сбербанка" филиалы компании распространились по всей стране, привлекая все больше клиентов. Важный период для банка – с 1953 по 1991 годы, когда активно привлекались новые вкладчики, устраивались лотереи и осуществлялось финансирование крупных проектов в стратегически важных отраслях.
В настоящее время "Сбербанк" является публичным акционерным обществом с четкой структурой управления, включающей общее собрание акционеров, наблюдательный совет и правление банка. Оптимизация работы и контроль являются ключевыми принципами эффективного управления, обеспечиваемые различными органами управления компании [30].

1.1.2 Организационно-функциональная структура предприятия
Руководство финансового института – коллегиальный исполнительный орган, который занимается разработкой политики риска. В компетенцию этой структуры входит обсуждение докладов от территориальных отделений, утверждение численности сотрудников, внедрение инновационных проектов и разработка внутренних документов.
С 2007 года пост президента председателя правления занимает Герман Греф, который отвечает за планирование проектов и представляет их на общем собрании акционеров. Руководство включает в себя организацию работы подразделений, распределение обязанностей, утверждение выпуска ценных бумаг и решение текущих вопросов, делая Сбербанк России современным финансовым институтом.
Общее руководство банком осуществляется избирательным советом, который контролирует развитие банка, деятельность правления, утверждает годовые отчеты и контролирует политику инвестиций. Кредитный комитет формирует кредитные политики и определяет возможности для работы, в то время как ревизионный комитет занимается контролем исполнения законов и проведением проверок.
На рисунке 1.1.1 представлена схема организационной структуры
ПАО «Сбербанк».

Рисунок 1.1.1 – Схема организационной структуры ПАО «Сбербанк»

Банковский институт, где отсутствует частный владелец, продолжает успешно развиваться, пользуясь доверием миллиардов клиентов, которые ежегодно доверяют ему свои сбережения. Начиная с 2020 года, контроль над 50% плюс 1 акцией ПАО "Сбербанк" перешел к Фонду национального благосостояния России, подконтрольному правительству страны, в то время как остальные акции находятся в публичном обращении.
По итогам первого полугодия 2023 года у Сбербанка 107,2 миллиона активных частных клиентов и 3,1 миллиона активных корпоративных клиентов. Согласно рейтингу S&P Global, банк входит в шестерку крупнейших по размеру активов мировых банков и является системно значимой кредитной организацией по утверждению Банка России.
Современная организация Сбербанка выделяется своими обширными масштабами управленческой деятельности, отделенной от прямых производственных процессов и оказания услуг. Применение новейших коммуникационных технологий приводит к значительному увеличению информационного потока и способностей оперативного управления большим объемом данных, обеспечивая эффективную разработку системы интеллектуальной поддержки и управления управленческими процессами.
Сегодня управленческий процесс воспринимается как последовательное действие менеджеров и управленческих органов для принятия и реализации управленческих решений, несущих в себе решения реальных производственных и экономических задач.
ПАО "Сбербанк" продолжает удерживать лидирующие позиции среди других финансовых учреждений благодаря усилиям своих сотрудников и уникальной организационной структуре. Цель компании заключается в создании ценности для своих акционеров и общества, что становится основой для ее долгосрочного успеха. С момента основания ПАО "Сбербанк" остается крупнейшим и наиболее развивающимся банком в России.
 
1.2 Анализ рисков информационной безопасности
В современном банковском секторе информационная безопасность является краеугольным камнем для защиты персональных данных. Для обеспечения защиты персональных данных ПАО Сбербанк необходимо первоначально выполнить анализ рисков информационной безопасности организации.
Информационная безопасность Банка основывается на ряде основополагающих принципов [29]:
1. Законность: Банк обязан соблюдать законодательство Российской Федерации по защите информации и интересов участников информационного обмена.
2. Приоритетность: Проведение категоризации информационных ресурсов по степени их важности и оценка реальных угроз для информационной безопасности.
3. Комплексный подход: Согласование мероприятий по информационной безопасности с действиями по физической и технической безопасности, а также борьбой с потенциальными угрозами.
4. Оптимальное сочетание мероприятий: Поддержание баланса между защитой информации и экономической целесообразностью.
5. Единая политика: Координация деятельности различных подразделений банка для обеспечения необходимого уровня информационной безопасности и определение обязанностей и ответственности.
6. Целесообразность: Разумное соотношение между затратами на защиту информации и возможными потерями при реализации угроз.
Ходатайство на проведение анализа рисков информационной безопасности принимает непосредственно подразделение чей зоной ответственности является обеспечение информационной безопасности ПАО Сбербанк, а само решение на проведение этого анализа дает непосредственно руководитель организации. Для качественного проведения такого анализа нанимается опытная (с опытом проведения подобных видов услуг не менее 3 лет) компания, специализирующаяся на таких видах услуг. С периодичностью подобных проверок не менее 1 раз в 2 года или по целевому назначению на усмотрение ПАО Сбербанк.

1.2.1. Идентификация и оценка информационных активов
Идентификация и оценка информационных активов являются ключевым этапом в обеспечении безопасности информации в ПАО "Сбербанк". Этот раздел направлен на описание методологии и процессов, используемых для определения и оценки информационных активов компании.
Информационными активами ПАО "Сбербанк" рассматриваются персональные данные компании, их целостность, доступность и конфиденциальность. Также к ним относятся данные клиентов, финансовая информация, программное обеспечение, технологии, интеллектуальная собственность и др.
Рассмотрим существующие методы идентификации информационных активов:
– Инвентаризация: Проведение систематического обзора всех систем, данных и ресурсов компании для выявления информационных активов.
– Классификация: Определение критериев для разделения информационных активов на категории в соответствии с их значимостью и уровнем защиты, например, по степени конфиденциальности или критичности для бизнес-процессов.
– Оценка рисков: Анализ потенциальных угроз и уязвимостей, связанных с каждым информационным активом, и оценка их влияния на бизнес и безопасность.
В ходе оценки информационных активов проводятся следующие мероприятия:
1) Определение ценности актива: Оценка степени важности информации для бизнеса и возможных последствий её утраты или компрометации.
2) Определение уязвимостей и угроз: Анализ потенциальных угроз и уязвимостей, которые могут повлиять на конфиденциальность, целостность или доступность информационного актива.