Новые инструменты для развития кибербезопасности экосистемы Сбера

BIS Journal №1(40)/2021

29 марта, 2021

Новые инструменты для развития кибербезопасности экосистемы Сбера

Вызовы экосистемы

Сбер сегодня – это не просто финансовая организация, а технологическая компания, которая предоставляет своему клиенту разнообразные банковские и небанковские сервисы и продукты, удовлетворяя потребности физических и юридических лиц. Сбер создал и развивает экосистему, состоящую из дочерних обществ (ДО), а также компаний-партнёров, взаимодействующих друг с другом по ключевым вопросам технологий, маркетинга и бизнеса.

Под экосистемой понимается совокупность компаний и их продуктов и сервисов с принципами, устанавливаемыми банком в сфере его технологических платформ, и взаимодействующих друг с другом для формирования лучших сервисов и продуктов для клиентов. В основе экосистемы находится собственная технологическая платформа, позволяющая в режиме реального времени за счет открытых интерфейсов и кода, машинного обучения, облачных технологий и анализа больших данных с заданным уровнем безопасности, формировать лучшее предложение для клиента как из собственных товаров и услуг, так и за счёт подключения внешних провайдеров.

Одним из главных вызовов является — обеспечение бесперебойной работы и защищённости продуктов экосистемы Сбера. На текущий момент в её состав входят более 60 ДОс различной спецификой и масштабом деятельности, ИТ-инфраструктурой, регуляторными требованиями, уровнем зрелости кибербезопасности. Каждый элемент экосистемы не только разделяет её риски кибербезопасности, но и влияет на них. Инцидент в любом из ДО может негативно сказаться на работоспособности всей экосистемы, нанести материальный и репутационный ущерб всем её участникам.К примеру, информация о случившемся инциденте кибербезопасности с утечкой данных в ДО, в наименовании которого упоминается слово «Сбер», быстро распространяется в медиа и социальных сетях, что влечёт негативное отношение пользователей, клиентов и партнеров партнёров к банку и ко всей экосистеме. Поэтому для обеспечения непрерывности бизнес-процессов всей экосистемы Сбер решает задачу управления кибербезопасностью и повышения уровня зрелости каждого ДО.

 

Методические инструменты повышения уровня зрелости КБ ДО

Для мониторинга и контроля состояния кибербезопасности (КБ) ДО экосистемы (рис. 1) банк разработал ряд методических инструментов:

  1. Профилирование кибербезопасности;
  2. Оценка текущего уровня зрелости КБ;
  3. План развития КБ;
  4. КПЭ «Индекс КБ».

Рис. 1. Процесс использования методических инструментов

 
И1. Профилирование кибербезопасности

Для определения точных требований и рекомендаций по кибербезопасности осуществляется профилирование компании с учётом специфики её бизнеса и применимых регуляторных требований. Формирование профиля происходит при вхождении компании в экосистему, профиль определяет целевой уровень зрелости КБ и требования, необходимые для его достижения.

Согласно методике профилирования (и рассматриваемой далее методике оценки зрелости) ДО оценивается по шести доменам КБ (таблица 1).

Каждый домен состоит из направлений (всего 26). Общий целевой уровень зрелости ДО – среднее арифметическое целевого уровня по каждому из 26 направлений КБ.

 

И2. Оценка текущего уровня зрелости кибербезопасности

Для определения направления дальнейшего развития КБ оценивается также текущий уровень зрелости кибербезопасности ДО. Для его оценки банк применяет собственную методику, в основу которой положена методология CMMI с оценкой процессов КБ по одному из пяти уровней зрелости: начальный (1), управляемый (2), определённый (3), измеримый (4), оптимизируемый (5). Также дополнительно введён уровень 0 – для случаев, когда в оцениваемой компании работы по направлению не ведутся.

Каждый домен подразделяется по направлениям (наименование радиальных осей на рис. 2).

Процесс оценки происходит по трем трём этапам:

Расчёт уровня зрелости по каждому направлению КБ:

 

где CS – оценка зрелости направления КБ,

U – количество уровней,
S – количество характеристик на уровне, присущих ДО,
L – количество характеристик на уровне.

 

Расчёт уровня зрелости по каждому домену КБ. Для этого необходимо рассчитать среднее арифметическое оценок по направлениям, входящим в этот домен:

 

где CSд – оценка зрелости по домену КБ,

CS1 – актуальная оценка по направлению КБ,
ЦУЗ (CS1) – целевой уровень зрелости по соответствующему направлению КБ,
N – количество направлений в домене.

Превышения целевого уровня зрелости по зрелым направлениям отбрасываются (min) и не учитываются в расчёте во избежание необоснованного завышения общего уровня зрелости компании.

 

Расчёт общей оценки уровня зрелости. Для этого необходимо рассчитать среднее арифметическое по всем доменам:

 

где CS – оценка уровня зрелости КБ,

CSд – оценка зрелости домена КБ,

N – количество доменов КБ.

Разница между целевым и текущим уровнем зрелости образует GAP – показатель набора несоответствий, для уменьшения которого каждое ДО экосистемы формирует стратегический план развития КБ, в котором описаны мероприятия для достижения целевого уровня зрелости (рис. 2).

Рис. 2. Пример визуализации оценки зрелости


И3. План развития кибербезопасности ДО (план достижения целевого уровня зрелости)

Последовательная реализация мероприятий «Плана развития» обеспечивает оптимальный путь достижения дочерними обществами целевого уровня зрелости и ликвидацию GAP по каждому из 26 направлений КБ.

Для каждого из этих направлений подбираются мероприятия (кадровые, разработка нормативной документации, внедрение средств защиты) с учётом рекомендаций из отчёта оценки зрелости. Для каждого мероприятия в плане задаются приоритет, сроки исполнения и ответственный за его реализацию со стороны ДО.

На регулярной основе ДО экосистемы информируют банко статусе реализации своего плана развития КБ, а также о возникающих проблемах. Специалисты банка, в свою очередь, помогают в реализации плана и достижении целевого уровня зрелости КБ. Являясь носителями экспертизы, они консультируют ДО, делятся опытом и рекомендациями использования средств защиты информации (СЗИ), поддерживают при закупках.

 

И4. КПЭ «Индекс КБ»

КПЭ «Индекс КБ» — показатель эффективности, который оценивает качество управления КБ ДО в рамках общей системы управления, а также входит в состав ключевых показателей эффективности каждого ДО экосистемы и встроен в качестве одного из модулей в общую систему оценки деятельности ДО.

ДО принимает «Индекс КБ» на совете директоров, без его принятия ДО ограничено в возможности доступа к данным участников экосистемы.

Расчёт оценки КПЭ «Индекс КБ» осуществляется на базе сложной табличной функции, которая может гибко настраиваться банком под конкретные стандарты КБ (включая регуляторные) и учитывает в том числе такие параметры:

  • соблюдение сроков разработки и выполнения планов по направлению КБ;
  • согласование с банком ключевых решений в области КБ (назначение руководителей подразделений КБ ДО, открытие проектов в области КБ, закупка/внедрение СЗИ, предоставление информации по ИТ-проектам ДО);
  • своевременность предоставления в банк полной информации о критичных инцидентах КБ, ходе и результатах расследований;
  • своевременность предоставления отчётности по кибербезопасности, включая статус выполнения применимых регуляторных требований.

КПЭ «Индекс КБ» стимулирует руководителей ДО к регулярному контролю состояния КБ компании, выделению необходимых ресурсов и является одним из важнейших инструментов повышения качества менеджмента КБ компаний экосистемы.

 

Заключение

Быстро меняющаяся бизнес-среда требует новых подходов к управлению кибербезопасностью компаний экосистемы. Сбер разрабатывает и применяет новые инструменты для контроля и мониторинга уровня зрелости кибербезопасности ДО и вовлекает топ-менеджмент компаний в работу по развитию КБ ДО в рамках системы управления КБ Группы Сбербанк.

Банк не только контролирует, но и помогает компаниям в развитии кибербезопасности, определяя для каждого ДО целевой уровень зрелости процессов КБ с учётом специфики его бизнеса (специфичных факторов риска КБ). Также Сбер помогает ДО разработать стратегический план развития КБ для достижения целевого уровня зрелости и организует работу по контролю его статуса. В результате формируется эволюционное улучшение защищённости экосистемы при оптимальном расходовании ресурсов.

Смотрите также