Файл: Кадровая безопасность современного банка: стратегия и тактика управления (ОАО «Банка «Открытие»).pdf

К этим принципам относятся: «знать своего служащего» (Know your Employee) – принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью; «необходимо знать» (Need to Know) – принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей.

Так как большинство требований СТО БР ИББС-1.0-2014 по обеспечению кадровой безопасности было разработано на основе международного стандарта ISO/IEC 27001:2013 «Информационная технология. Методы защиты. Системы менеджмента информационной безопасности. Требования», можно соотнести требования по кадровой безопасности этих стандартов. Далее перечислены требования пункта 7.2 «Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу» стандарта СТО БР ИББС-1.0-2014 и в скобках указан пункт и его название в стандарте ISO/IEC 27001:2013, содержащий аналогичное требование:

-В организации должны быть документально выделены роли ее работников, которые следует персонифицировать с установлением ответственности за их выполнение (приложение А, пункт A.6.1.1 «Роли и ответственность в системе информационной безопасности»);

- Не допускается совмещение в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения (приложение А, пункт A.6.1.2 «Разделение обязанностей»);

- В организации должны быть определена, выполняться и регистрироваться процедура приема на работу, влияющую на обеспечение информационной безопасности, включающую: проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; проверку в части профессиональных навыков и оценку профессиональной пригодности с документальным фиксированием результатов (приложение А, пункт A.7.1.1 «Проверка благонадежности»);

- Письменное обязательство о соблюдении конфиденциальности, приверженности корпоративной этике, включая требования по недопущению конфликта интересов (приложение А, пункт A.7.1.2 «Обязательства в трудовом соглашении»);

- Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты, должностные инструкции (приложение А, пункт A.7.2.1 «Ответственность руководства»).

- Невыполнение работниками организации требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности (приложение А, пункт A.7.2.3 «Дисциплинарные взыскания»);

- Контроль деятельности работников, обладающих совокупностью полномочий, позволяющей получить контроль над информационными активами организации (приложение А, пункт A.12.4.3 «Регистрация действий администраторов и операторов»);

- Определить, выполнять и регистрировать с фиксацией результатов процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки — при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии (основной текст, пункт 7.2 «Компетентность»).

Также в стандарте затронут вопрос обучения и повышения осведомленности в области информационной безопасности персонала организации. Приведены следующие требования:

- Должна быть организована санкционированная руководством организации работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ;

- Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний;

- В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности;

- Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию: по существующим политикам информационной безопасности; по применяемым в организации защитным мерам; по правильному использованию защитных мер в соответствии с внутренними документами организации; о значимости и важности деятельности работников для обеспечения информационной безопасности организации;

- В организации БС РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться: документы (журналы), подтверждающие прохождение руководителями и работниками организации обучения в области информационной безопасности с указанием уровня образования, навыков, опыта и квалификации обучаемых; документы, содержащие результаты проверок обучения работников организации; документы, содержащие результаты проверок осведомленности в области информационной безопасности в организации;

- Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области информационной безопасности, соответствующее полученной роли;

- В организации должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей. В международном стандарте ISO/IEC 27001:2013 также уделяется внимание вопросу обучения и повышения осведомленности в области информационной безопасности персонала организации. В пункте А.7.2.2 (приложение А) приведены следующие требования: для всех сотрудников организации и, где это применимо, работающих по контракту должны быть проведены обучение и подготовка, обеспечивающие соответствующие знания, а также регулярное обновление организационных политик и процедур в той мере, в какой это касается их служебных обязанностей. Можно заметить, что в стандарте СТО БР ИББС-1.0-2014 приведены более полные и конкретизированные требования, касающиеся вопроса обучения и повышения осведомленности в области информационной безопасности персонала организации. Для оценки соблюдения требований стандарта СТО БР ИББС-1.0-2014 был разработан стандарт СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014».

В результате проведения оценки соответствия информационной системе присваивается один из 5 уровней соответствия в зависимости от итогового показателя оценки.^[12]

В методике представлены следующие показатели оценки: итоговый показатель, показатели по направлению оценки, групповые показатели, частные показатели. Значения всех показателей расположены в диапазоне от 0 до 1. Значение итогового показателя определяется по наименьшему значению из трех показателей по направлениям оценки. Всего в методике три направления оценки: 1) оценка текущего уровня информационной безопасности организации; 2) оценка менеджмента информационной безопасности организации; 3) оценка уровня осознания информационной безопасности организации. В соответствии с этими направлениями оценки распределены по 31 групповому показателю следующим образом: первое направление оценки – показатели М1М10; второе направление оценки – показатели М11М27; третье направление оценки – показатели М28М34. Каждый групповой показатель соответствует пунктам стандарта СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Пунктам стандарта СТО БР ИББС-1.0-2014, посвященным вопросу кадровой безопасности, соответствуют следующие групповые показатели: пункту 7.2 соответствует групповой показатель M1 «Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу»; пункту 8.9 – M18 «Разработка и организация реализации программ по обучению и повышению осведомленности в области информационной безопасности» и M31 «Оценка деятельности руководства организации по поддержке реализации системы обеспечения информационной безопасности».

Можно заметить, что вопросу кадровой безопасности уделено внимание в каждом направлении оценки. Каждый групповой показатель состоит из частных показателей. Частный показатель содержит требование, соблюдение которого непосредственно оценивается. Частные показатели делятся на обязательные и рекомендуемые. Оценку за обязательный частный показатель в зависимости от степени соблюдения требования ставят в диапазоне от 0 до 1 (в соответствии со шкалой оценки степени соблюдения требования). Оценке за рекомендуемый частный показатель присваивается значение, равное 1, в том случае, если требование полностью выполняется, в противном случае этот показатель отмечается как неоцениваемый и не учитывается в дальнейших расчетах.

В действующей редакции методики 2014 года коэффициентов значимости частного показателя нет. Но в ней введены корректирующие коэффициенты, которые учитываются в расчете показателя по направлению оценки.^[13]

ГЛАВА 2. АНАЛИЗ СТРАТЕГИИ КАДРОВОЙ БЕЗОПАСНОСТИ НА ПРИМЕРЕ КБ «ОТКРЫТИЕ»

2.1. Место банка на рынке и его конкурентоспособность

Место и роль банка на рынке финансовых услуг во многом определяются его финансовой устойчивостью, способностью решать соответствующие задачи на местном, региональном, национальном и международном уровнях, а также оказывать различные финансовые услуги клиентам. В настоящее время ведущие российские финансовые организации создали новые для России бизнес - модели – «банк-страхование» и «финансовый супермаркет», ориентированных на предоставление клиентам практически полного перечня инвестиционных, банковских и страховых продуктов и услуг, а также оптимальных каналов их доставки потребителю. Банки, использующие эти бизнес - модели, функционируют на финансовых рынках как крупные финансовые организации, четко выстраивая свою стратегию развития. При подготовке и реализации бизнес – модели «финансовый супермаркет» банки создают интегрированные системы продаж в рамках банковских групп, активно работающих в регионах. Обычно такая банковская группа обладает широкой клиентской базой и развитой филиальной сетью.^[14]

Банк "Петровский" был зарегистрирован Центральным банком РСФСР 12 ноября 1990 года. В 1991 году начали работу 5 первых филиалов в Санкт-Петербурге, а также первый иногородний офис.

В 1992 году между Банком и Управлением федеральной почтовой связи был подписан договор о сотрудничестве. Уже в следующем году, совместно с УФПС и отделением Пенсионного фонда РФ по Санкт-Петербургу, "Петровский" приступил к внедрению технологии по выплате пенсий с текущих пенсионных счетов на почтовых отделениях города. В 1997 году "Петровский" приступил к внедрению своей пенсионной технологии в Ленобласти.

В 1997 году Банк получил статус уполномоченного Банка Правительства Российской Федерации категории "С", а также уполномоченного Банка Правительства Ленинградской области.

В 2000 году руководством Банка было принято решение о переименовании Банка в ОАО "Петровский народный банк".

В 2002 году в связи со сменой акционеров Банка, "Петровский народный банк" был переименован в "МДМ-Банк Санкт-Петербург".

В мае 2006 года контрольный пакет акций Банка был приобретен Восточно-Европейской Финансовой Корпорацией. В соответствии с решением общего собрания акционеров Банка, было утверждено новое наименование Банка: Открытое акционерное общество "Банк Восточно-европейской финансовой корпорации" (сокращенное наименование - ОАО "Банк ВЕФК").

29 октября 2008 г. Агентство по страхованию вкладов (АСВ), основываясь на требованиях Федерального закона «О дополнительных мерах для укрепления стабильности банковской системы в период до 31 декабря 2011 года», приняло на себя функции временной администрации по управлению Банком ВЕФК. В феврале 2009 г. достигнуты договоренности об участии Номос-банка и ФК «Открытие» в качестве соинвесторов в капитале банка ВЕФК.

В рамках реализации мер по финансовому оздоровлению Банка инвесторы в лице Номос-банка и Финансовой Корпорации «Открытие» выкупили по 25% дополнительной эмиссии акций Банка ВЕФК. Оставшиеся 50% допэмиссии приобрело АСВ.

В сентябре 2009 года Банк вернул себе первоначальное наименование - Банк "Петровский".

В октябре 2010 года Петровский Банк вошел в состав Банка «Открытие» и стал его филиалом под названием «Петровский». На данный период Банк «Открытие» находится в ТОП35 по размеру своего капитала и действующих активов. Объединение Банка Петровский с Банком «Открытие» позволило значительно увеличить спектр предлагаемых клиенту услуг, а также поднять их на качественно новый уровень. Банк отлично сочетает инвестиционную банковскую деятельность с классическим набором основных банковских продуктов и услуг, что позволяет ему активно развиваться на российском рынке.