Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Степень подверженности тем или иным компонентам упомянутых банковских рисков зависит от нескольких факторов, включая характер собственно связи. Любая связь с web-сайтом третьей стороны приводит к некоторой подверженности кредитной организации риску, что относится к связям как с аффилированными, так и с неаффилированными третьими сторонами. Связь с web-сайтом третьей стороны, который дает клиенту только информацию, обычно не приводит к заметной подверженности риску, если информация эта относительно безобидна, как, например, прогноз погоды. Напротив, если связанная третья сторона предоставляет информацию или рекомендации, относящиеся к финансовому планированию, инвестициям или другим важным темам, то риск может быть больше. Связи с web-сайтами, позволяющими клиенту взаимодействовать с третьей стороной, как запрашивающей конфиденциальную информацию от пользователя, так и позволяющей ему приобретать продукт или услугу, может обусловить подверженность кредитной организации относительно большему риску

Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать:

1) планирование развития web-ресурсов (разного рода) в соответствии со стратегическим и бизнес-планами данной организации;

2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);

3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;

4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и web-отношениями;

5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки [189] Недостатки в реализации этого и предыдущего пунктов являются основными причинами наличия ошибок и других недостатков в контенте web-сайтов, используемых кредитными организациями; в основном они относятся к взаимодействию подразделений по развитию бизнеса, маркетинга, связей с общественностью и информатизации (автоматизации) банковской деятельности. ;

6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание web-ресурсов и дополнений к ним;

7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);

8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования [190] Если web-ресурсы создаются специалистами самой кредитной организации, и их хостинг обеспечивается ее собственными web- и почтовыми серверами, то речь идет о провайдерах Интернета и систем связи. ;

9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;

10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;

11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;

12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;

13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;

14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;

15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;

16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;

17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);

18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);

19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);

20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.

Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:

— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;

— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);

— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал web-pecypcoв;

— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);

— анализ статистики посещаемости web-pecypcoв для определения путей их развития;

— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;

— комплексный анализ предложений и замечаний различных пользователей web-pecypcoв по результатам их эксплуатации;

— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);

— обеспечение информационной безопасности web-pecypcoв и контента, критично важного для кредитной организации и ее клиентов;

— замена скомпрометированных хакерами версий программного обеспечения web-pecypcoB.

Отдевьная дополнительная процедура в оптимальном варианте организации управления web-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:

анализ формируемых web-отношений кредитной организации;

выявление сопутствующих им источников компонентов банковских рисков;

анализ причин возникновения этих компонентов;

определение возможных мер подавления влияния таких источников [191] Оптимальным в этом плане является принятие организационно-технических мер по их устранению. ;