Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Далее на регулярной основе представителями руководства кредитной организации осуществляется контроль эксплуатации АС и ее сопровождения, в ходе которого могут осуществляться незначительные доработки, например, программного обеспечения. Такие доработки в любом случае должны документально оформляться и проходить дополнительные ПСИ: на практике известно много случаев, когда это правило не выполнялось, из-за чего впоследствии функционирование автоматизированных систем неожиданно начинало отклоняться от штатного, что приводило к реализации компонентов операционного риска (а затем, возможно и других банковских рисков). То же самое относится к выполнению решений о модернизации АС с добавлением новых сервисов в рамках ДБО и функциональных модулей СЭБ или БАС: принятие соответствующих решений должно сопровождаться процедурами проверки сохранения целостности АС (имея в виду отсутствие нарушений в ее функционировании из-за доработки).

Специалисты в области ИТ участвуют во всем ЖЦ любой АС, одновременно на них ложатся задачи (на схеме не показанные, чтобы не перегружать ее обозначениями интуитивно понятных процедур) определения вендоров и провайдеров [81] В устоявшейся терминологии зарубежных органов банковского регулирования и надзора под провайдерами обычно понимаются продавцы услуг (доступа в Интернет, каналов связи и пр.), а под вендорами — продавцы товаров (программного обеспечения, автоматизированных систем и т. п.). На самом деле такое разделение не существенно и используется только для удобства квалификации возникающих зависимостей кредитной организации от сторонних организаций и, соответственно, структурных компонентов типичных банковских рисков. , при содействии которых будет формироваться ИКБД для внедряемой ТЭБ. От них зависит определение технических параметров ДБО: производительности СЭБ и БАС кредитной организации, пропускной способности каналов связи, инструментальной среды баз данных, использования web-сайтов кредитной организации и т. п., а также средств сетевой и вирусной защиты, администрирования вычислительных систем и сетей, политики информатизации и модернизации и решения связанных с этими процедурами организационно-технических вопросов. Чаще всего ЖЦ процесса информатизации формируется «сам собой» в привычном соответствующим специалистам ключе, и вопросов к выполнению перечисленных здесь функций при внедрении ТЭБ не возникает (в силу их специфики), чего нельзя сказать о других структурных подразделениях кредитной организации.

Участие специалистов в области обеспечения информационной безопасности в жизненных циклах банковских автоматизированных систем и систем электронного банкинга считается обязательным, поскольку от этого зависят результаты и эффективность решения большого числа проблемных вопросов электронного банкинга, начиная с распределения прав и полномочий доступа к информационно-процессинговым ресурсам кредитной организации и заканчивая защитой этих ресурсов от разнообразных сетевых атак. В оптимальном варианте их участие начинается с включения необходимых средств обеспечения информационной безопасности и защиты информации в проекты БАС и (или) СЭБ (при собственной разработке той или иной системы, что, впрочем, встречается нечасто), т. е. требуется определение типа и состава последних, начиная со средств физического и логического доступа. Если разработка собственная или заказная, то в ее процессе желательно отслеживать, по возможности, включение таких средств в состав той или иной АС; если система приобретается «под ключ», то указанные специалисты должны сопоставить свои требования, которые они предъявили бы в случае заказной разработки, с теми, которые были реализованы в приобретаемой системе (посредством изучения технического задания на ее разработку, технического описания АС, а также руководств ее администраторов и пользователей).

На этапах испытаний эти же специалисты должны убедиться в том, что предусмотренные средства обеспечения информационной безопасности действительно имеются в АС и функционируют должным образом. Для этого они должны участвовать в разработке программ и методик проведения ПСИ, разрабатывать контрольные примеры и проводить собственно испытания таких средств совместно со специалистами в области ИТ и внутреннего контроля, фиксируя свои оценки в протоколах и актах по итогам испытаний. По существу такие испытания в части информационной безопасности означают имитацию попыток «взлома» компьютерных систем, НСД к ним (к их программно-информационному обеспечению), отказа обеспечивающих их функционирование систем (например, системы электропитания) и т. п. Необходимо отметить такое усложнение функций этих специалистов при приобретении той или иной АС, как проверка ее на отсутствие так называемых «закладок», т. е. программных модулей, способных в фоновом режиме выполнять, как говорят, «недокументированные функции», ориентированные на хищение финансовых средств или конфиденциальной информации. При модернизации АС вопросы обеспечения информационной безопасности заключаются во внедрении при необходимости новых средств для этого и проверки сохранения функциональности действующих средств защиты информации. В этом также заключается адаптация обеспечения информационной безопасности к новым условиям функционирования кредитной организации.

Специалисты в области внутреннего контроля (в том числе при необходимости и службы финансового мониторинга) выполняют в ЖЦ автоматизированных систем аналогичные функции. Прежде всего они должны на основе анализа потоков клиентских и банковских данных в этих системах определить состав необходимой им контрольной информации, информационные сечения (внутри- и межсистемные) и контрольные точки, в которых будет осуществляться ее считывание в процедурах проверки функционирования программно-информационного комплекса кредитной организации. При этом предполагается, что именно эти специалисты могут сделать указанный выбор и определить состав встраиваемых в АС средств внутреннего контроля исходя из особенностей организации ДБО, ИКБД, СЭБ и БАС кредитной организации. На этапах испытаний они должны убедиться в наличии и работоспособности средств внутреннего контроля, причем для этого требуется детальная проработка контрольных примеров, позволяющая оценить функционирование автоматизированных систем как в штатных режимах, так и в случаях совершения клиентом ошибок (для этого требуются модели ошибочных действий), а также возникновения форс-мажорных обстоятельств (имитируемых в процессе ПСИ с помощью моделей последствий их возникновения).