Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Тут можно читать онлайн Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход - бесплатно ознакомительный отрывок. Жанр: banking, издательство КНОРУС ; ЦИПСиР, год 2011. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Применение технологий электронного банкинга: риск-ориентированный подход
Автор:

Л. Лямин
Жанр:

banking
Издательство:

КНОРУС ; ЦИПСиР
Год:

2011
Город:

Москва
ISBN:

978-5-406-00978-9
Рейтинг:

4/5. Голосов: 91
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход краткое содержание

Применение технологий электронного банкинга: риск-ориентированный подход - описание и краткое содержание, автор Л. Лямин, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга.

В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге риск-ориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора.

Книга может быть полезна представителям высшего руководства и менеджерам среднего звена кредитных организаций, а также студентам и аспирантам, интересующимся современными подходами к управлению банковскими рисками в условиях электронного банкинга.

Применение технологий электронного банкинга: риск-ориентированный подход - читать онлайн бесплатно ознакомительный отрывок

Применение технологий электронного банкинга: риск-ориентированный подход - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Л. Лямин

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

установление однозначно определенной ответственности руководства и персонала за организацию и соблюдение корпоративной политики безопасности [110] Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно. ;

наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;

наличие достаточных средств логического контроля и процессов мониторинга [111] Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения. для предотвращения неавторизованного внутреннего [112] Включая сотрудников, работников по контракту и тех, кто обладает правами доступа на основе контрагентских отношений. и внешнего доступа к прикладным программам и базам данных электронного банкинга;

регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности и инсталляцию обновленных версий соответствующего программного обеспечения, служебных пакетов и прочие необходимые меры [113] Включая меры по мониторингу сетевой активности, фиксации попыток проникновения и сведения о серьезных недостатках в обеспечении безопасности. ».

Очевидно, что для реализации этого принципа необходимо наличие знаний (подготовки) в области ОИБ, что предполагает включение соответствующих требований в квалификационные характеристики членов совета директоров кредитной организации, а также ее наблюдательного совета.

Принцип 3. Совету директоров и высшему руководству следует внедрять полноценные и непрерывные процессы наблюдения и контроля выполнения обязательств для управления отношениями банка с провайдерами услуг и другими сторонами, которые обеспечивают поддержку операций электронного банкинга.

В комментарии к этому принципу отмечено, что «повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении критических функций в рамках электронного банкинга снижает возможности непосредственного контроля над ними со стороны руководства банка». Соответственно, оказывается необходимой организация всеобъемлющей процедуры управления источниками рисков, ассоциируемыми с заказной обработкой данных и зависимостью банковской деятельности от других сторонних организаций. Процесс формирования, поддержания и «контроля отношений с провайдерами должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая субконтракты на заказную обработку, которые могут иметь материальные последствия для банков». Такой подход для отечественных кредитных организаций пока что нетипичен (ввиду недостаточно развитой инфраструктуры в большинстве российских регионов, хотя в московском регионе ситуация уже изменилась, и провайдеры лишены возможности диктовать кредитным организациям свои условия), однако сам факт наличия разнообразных зависимостей этих организаций от функционирования и качества выполнения SLA (от этого зависят также интересы ее клиентов ДБО) предполагает включение соответствующих положений в распорядительные документы, а на их основе — во внутрибанковские документы, регламентирующие работу подразделений, от которых руководству организации потребуется содействие для реализации описанной функции.

Принцип 4. Необходимо принимать должные меры по аутентификации идентичности и авторизации клиентов, с которыми они осуществляют деловые операции через Интернет.

В этом случае указывается, что кредитным организациям «следует применять надежные методы для верификации идентичности и авторизации новых клиентов, также как и аутентификации идентичности и авторизации зарегистрированных клиентов, обращающихся за проведением электронных транзакций. Верификация клиентов при определении происхождения счета важна для снижения риска хищений идентификационных данных, мошеннических действий со счетами и отмывания денег».

Установление и аутентификация идентичности того или иного лица, а также авторизации доступа к банковским системам в условиях полностью электронной открытой сети связи могут оказаться непростой задачей. Отмечается, что «легитимная авторизация» пользователя может быть фальсифицирована с помощью различных методов, обычно определяемых как «мистификация» [114] Мистификация ( spoofing) — это имитация легитимного клиента за счет использования его/ее номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты. . Хакеры могут также перехватывать содержание сеансов легитимно авторизованных лиц, используя так называемые «снифферы» [115] «Вынюхиватель» ( sniffer) — это устройство, которое способно просматривать поток данных, передаваемых по каналу связи, перехватывать пароли и данные при их передаче, из-за чего в итоге похищается конфиденциальная информация и совершаются мошенничества (с точки зрения ОИБ — происходит ее утечка). , и выполнять действия вредоносного или криминального характера. Помимо прочего, процессы контроля аутентификации могут быть обойдены посредством воздействия на базы данных, хранящие аутентификационные сведения.

Критично важным является наличие в кредитной организации официально принятой политики и процедур, определяющих методологию (или методики), позволяющую гарантировать, что отдельный банк должным образом осуществляет аутентификацию идентичности и авторизации прав того или иного лица или системы’ с помощью уникальных способов и настолько, насколько это практично, гарантирует исключение участия неавторизованных лиц или систем [116] В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации. . Банки могут применять разнообразные методы для осуществления аутентификации, включая PIN-ы, пароли, микропроцессорные карты, биометрику и цифровые сертификаты [117] Кредитная организация может выдавать цифровые сертификаты, чтобы обеспечить безопасность связи, см. ниже комментарий к Принципу 5. . Эти методы могут быть одно- или многопараметрическими (имея в виду использование как пароля, так и биометрических технологий [118] Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических (поведенческих) характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации. -’ Источниками аутентификационных данных могут быть электронные средства. для аутентификации пользователя); многопараметрическая аутентификация в общем случае «обеспечивает большую уверенность в идентификации».