Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

Суммарный рейтинг 5

Финансовые учреждения или провайдеры, которым присвоен рейтинг «5», характеризуются наличием критических недостатков в функционировании, которые требуют немедленного устранения. Операционные проблемы и серьезные недостатки могут иметься во всей организации и свидетельствуют о серьезных проблемах с руководством. Процессы риск-менеджмента явно плохо организованы и не позволяют руководству осознавать риск или осознавать его в незначительной степени в сопоставлении с размером, сложностью деятельности и профилем риска конкретного учреждения. Стратегические планы отсутствуют или неэффективны, а руководство и совет директоров уделяют мало внимания или вообще не обращают внимания на управление деятельностью в области ИТ. В результате руководство не имеет представления о технологических потребностях учреждения или не обращает на них внимания. Руководство не способно исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера плохое, и банкротство весьма вероятно из-за финансовой нестабильности. Необходимо постоянное внимание со стороны надзора.

Компонентные рейтинги далее не рассматриваются в силу объемности материала — его можно найти в публикациях по ссылкам, приведенным в этой книге.

FFIEC отмечает, что практика управления, особенно в отношении риск-менеджмента, значительно различается в разных финансовых учреждениях и у провайдеров в зависимости от их размера, специализации, характера и сложности их деловой активности, а также свойственных им профилей риска. Отмечается также, что в условиях, не требующих применения сложных информационных систем, наличие детализированных или строго формализованных описаний систем и средств контроля, которые приводят к более высоким значениям суммарного и компонентных рейтингов, не обязательно. Описанная УРСИТ считается эффективной, подтвердившей практичность ее применения органами банковского надзора для определения и оценки условий функционирования кредитных организаций в области применения ими ИТ.

Что касается возможного использования УРСИТ, то специалистами кредитных организаций рассмотренные материалы могут быть использованы в интересах собственных методических разработок индивидуального характера, которые целесообразно акцентировать на специфике применяемых этими организациями банковских автоматизированных систем в их связи с системами электронного банкинга, или применении ИТ в целом. При этом следует дополнить такие разработки учетом особенностей проектирования, внедрения и эксплуатации систем электронного банкинга.

Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых видов, нетипичных для традиционной ее организации. Конечно, кредитные организации всегда подвергались и подвергаются рискам, связанным с ошибками или мошенничеством, но с внедрением компьютерных технологий уровень таких рисков и масштаб их влияния существенно изменились, поскольку возможности и последствия реализации рисков такого рода значительно расширились. Тем не менее, как это ни странно, но нередко приходится сталкиваться с такими ситуациями в кредитных организациях, которые свидетельствуют о «как бы» непонимании радикального изменения состава требований к ОИБ в связи с внедрением ТЭБ. Буквально остаются справедливыми слова, произнесенные более двух тысяч лет назад: «Нет памяти о прежнем, да и о том, что будет, не останется памяти у тех, которые будут после» [142] Библия. Экклезиаст (1:11). .

Задача ОИБ при использовании систем электронного банкинга является, возможно, наиболее сложной для решения. Как подчеркивает БКБН, «чтобы парировать проблемы с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, необходимо гарантировать, что доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем». Большинство задач в рамках решения указанной проблемы, которые возникают при образовании ИКБД, являются новыми и непосредственно связанными с ним, что отмечалось в главе 1. В общем случае требуется контроль адекватности ОИБ применяемым в кредитной организации ИТ [143] Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120. , для чего необходим анализ и практический учет новых реальных и потенциальных угроз, связанных с технологиями электронного банкинга, а также сценариев их возможной реализации с оценкой последствий для кредитной организации и ее клиентов. Они определяются исходя из результатов анализа источников компонентов банковских рисков, связанных с недостатками в ОИБ, вследствие чего их целесообразно точно указывать в «Положении об управлении банковскими рисками» и согласовывать содержание такого документа с «Политикой обеспечения информационной безопасности» кредитной организации.

Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их значимостью в перечисленных отношениях, включая сохранение банковской тайны и защиту персональных данных. При этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты НСД к банковской информации: от массивов данных бухгалтерского учета до сведений о фактах осуществления тех или иных банковских операций и сделок. Поэтому, как часто пишут, «специальное внимание» целесообразно уделять, как минимум, тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место (как, впрочем, и другие атакующие воздействия). Регулярность детального анализа определяется, во-первых, теми интервалами времени, которые связаны с модернизациями банковских автоматизированных систем или нововведениями в банковских информационных технологиях — их темпом, а во-вторых, появлением информации о компрометации средств защиты компьютерных систем.