Журнал "Information Security/ Информационная безопасность" #3, 2021

• 51 УПРАВЛЕНИЕ www.itsec.ru Тонкости управления соответствием в крупном банке Банковская отрасль тради- ционно является самой зарегу- лированной с точки зрения кибербезопасности, так как любая атака на инфраструктуру организации несет финансовые риски как для самой организа- ции, так и для ее клиентов. Существует более 80 между- народных и российских норма- тивно-правовых актов регуля- торов, которым Сбербанк, как и другие организации финан- сово-кредитной сферы, должен соответствовать с точки зрения кибербезопасности, в том числе: l документам международных платежных систем, таким как PCI DSS, PA DSS; l требованиям по защите пер- сональных данных; l стандартам Центрального Банка России и т.д. Эти требования написаны на разных языках мира сложным техническим стилем, зачастую они противоречат друг другу, а порой пересекаются. Управ- лять таким многообразием тре- бований тяжело, и далеко не всегда понятно, каковы критерии соответствия или даже какой объект должен быть защищен, к примеру: сама система или процесс работы с ней; документ, файл или способ его передачи. Соблюдать требования регу- ляторов необходимо ради без- опасности процессов компании, защищенности ее клиентов и сохранения их доверия. В этом векторе главная задача функ- ции комплаенса кибербезопас- ности – обеспечение соответ- ствия всего банка всем тем тре- бованиям, которые принял на себя банк, в том числе и в части добровольного соответствия требованиям лучших практик. Способ унификации требований регуляторов В Сбербанке данная задача решается с помощью системы "Единая контрольная среда", в которой собра- ны все требования регу- ляторов в части кибер- безопасности. Требова- ния нормализованы: объединены дублирую- щие элементы, а в каж- дом нормативно-право- вом акте определен точ- ный список требований, которым банк должен соответствовать, и спи- сок неприменимых сей- час. "Единая контрольная среда" – это ядро системы управления соответствием, инструмент раз- "Единая контрольная среда" как инструмент управления соответствием требованиям регуляторов о количеству транзакций и объему операций Сбербанк является третьим эквайером в мире и первым – в Европе, он представлен в 18 странах в макрорегионах Europe & APAC. Сбербанк – первый эмитент в России и Восточной Европе, а также самый крупный банк в Российской Федерации. У нас более 100 млн активных частных клиентов, а мобильное приложение Сбербанка ежемесячно используют 67 млн пользователей. В банке ежедневно проходят миллионы транзакций и традиционно его инфраструктура, клиенты и сотрудники становятся объектами множества атак злоумышленников. Для того чтобы защитить банк и его клиентов, мы постоянно повышаем уровень кибербезопасности и работаем над повышением уровня осведомленности клиентов в области безопасности и защиты от мошенников. П Светлана Прусская, руководитель направления отдела киберкомплаенс, Сбербанк Екатерина Ефремова, менеджер отдела киберкомплаенс, Сбербанк Рис. 1. "Единая контрольная среда"