Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Возвращаясь к проблемам применения кредитными организациями информационных технологий (ИТ), надо отметить, что нередко незначительным или даже не существующим источником компонентов операционного риска их специалисты считают процедуры оперативного внесения небольших по масштабам изменений в программно-информационное обеспечение ДБО и БАС (упоминавшихся выше «заплаток»). Такая необходимость возникает обычно в тех случаях, когда:
— клиенты кредитной организации совершают действия, непредусмотренные алгоритмами, реализованными в автоматизированной систем, что приводит к непредсказуемым результатам («зависанию» и пр.);
— функционирование принятой в эксплуатацию автоматизированной системы не совпадает с ее техническим проектом, так что требуется оперативная доработка отдельных функциональных модулей;
— выявляются ошибки в проекте автоматизированной системы и требуется ее временный вывод из эксплуатации (отключение сервисов) для перепрограммирования, перенастройки отдельных модулей и т. п.;
— автоматизированная система оказывается скомпрометирована сетевыми или вирусными атаками, действиями хакеров или инсайдеров кредитной организации, из-за чего требуется ее усовершенствование.
Все перечисленные причины, за исключением последней, служат, как правило, признаками недостаточно полного тестирования БАС и СЭБ. Однако, поскольку сложившуюся ситуацию всегда необходимо оперативно исправлять, специалисты кредитной организации вынуждены принимать экстренные меры по устранению недостатков, внедряя в автоматизированную систему программные или библиотечные модули, нередко написанные наспех, не прошедшие типовых процедур проверки и приемо-сдаточных испытаний и содержащие ошибки, потому что отсутствие оперативности играет в таких случаях негативную роль. Для кредитной организации следствием такого «подхода», не соответствующего принятой инженерной практике разработок, всегда становятся новые источники компонентов этого риска.
Любое упомянутое выше мошенничество, несанкционированное вмешательство, функциональный сбой или отказ (т. е. нарушение штатного режима работы) компьютерных систем (неважно по какой причине) повлекшие за собой невозможность получения клиентом установленного договором на ДБО сервиса или выполнения им своих финансовых обязательств перед третьими сторонами, связано с возникновением компонентов как минимум правового и репутационного рисков, а в некоторых случаях риска неплатежеспособности и стратегического риска (имеется в виду негативная общественная реакция). Реализация компонентов операционного риска изначально становится возможна преимущественно (хотя и не только) по причине несоблюдения установленных когда-то государственными стандартами (начиная с ГОСТ 34.602-89) порядков разработки автоматизированных систем — неважно, банковских или нет, а потребовать этого (и проследить за исполнением) в кредитной организации оказалось некому, и это становится для нее еще одним существенным фактором операционного риска. Кстати, такие стандарты утверждались как раз для того, чтобы автоматизированные системы работали так, как требуется, а не так, как получится.
2.5. Изменение профиля правового риска
Повышение уровня правового риска приводит к возможным финансовым потерям, являясь следствием возможных нарушений кредитной организацией положений нормативно-правовых документов, которые регламентируют банковскую деятельность, и (или) законодательной неопределенности отдельных аспектов предоставления банковских услуг. Реализация компонентов этого риска имеет форму санкций, которые могут быть наложены на кредитную организацию за нарушение ею правил выполнения банковских операций, несоответствие требованиям ведения бухгалтерского учета и, как следствие, недостоверность банковской отчетности, за потерю значимых банковских данных, утечку конфиденциальной банковской и (или) клиентской информации, включая нарушение банковской тайны, возможную скрытую противоправную деятельность, в которую оказывается вовлечена кредитная организация из-за слабого контроля использования ее СЭБ, а также за недостатки, обусловленные несовершенством организационно-технического, аппаратно-программного или же программно-информационного обеспечения банковской деятельности, как самой кредитной организации, так и ее провайдеров, что может вызывать претензии со стороны клиентов ДБО.
Первой же задачей, подлежащей решению при внедрении кредитной организацией любой ТЭБ, становится серьезное усиление «общебанковских» функций управления и контроля с тем, чтобы особенности СЭБ, реализующей конкретную технологию, не вызвали сомнений у контролирующих органов в выполнении правил бухгалтерского учета и подготовке регламентной отчетности (в широком смысле). Кредитной организацией должна быть гарантирована фиксация в базах данных и правильная обработка всех ордеров клиентов, которые имеют отношение к этим процедурам, независимо от канала ДБО и информационных сечений между системами электронного банкинга и БАС кредитной организации. К отмеченному тесно примыкают проблемы обеспечения доказательной базы электронного банкинга и обеспечения юридической силы так называемых «электронных документов», которые в традиционной форме не существуют, а их распечатки также требуют удостоверения подлинности (эта проблематика еще будет подробно обсуждаться в других разделах, в том числе в плане организации последующей претензионной работы в части ДБО).
Далее целесообразно предусмотреть возможности нарушения непрерывности функционирования ИКБД (неожиданное прекращение сеанса ДБО) в плане вероятных правовых последствий реализации соответствующих компонентов операционного риска (еще одного варианта проявления взаимного влияния банковских рисков). Здесь возникает несколько основных вопросов, подлежащих рассмотрению специалистами кредитной организации:
— организация оперативного предоставления клиенту другого маршрута или варианта ДБО (в случае недоступности системы или прерывания сеанса, к примеру, интернет-банкинга это может быть другой web-сайт или вообще другая СЭБ);
— оперативная реализация соответствующего ситуации раздела плана действий на случай чрезвычайных (иногда говорят «непредвиденных») обстоятельств, для чего требуется наличие схем резервирования и резервных ресурсов, отработанное распределение обязанностей и т. п.;
— включение в текст договора с клиентом на ДБО положений, определяющих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации потенциального ущерба интересам клиента и т. п.;
— организация оперативного восстановления массивов банковских и клиентских данных, целостность которых может оказаться нарушенной из-за прерывания сеанса ДБО, для чего требуется формирование и поддержание соответствующего архива и порядок его использования;
— включение в текст контрактов с провайдерами, от которых зависит непрерывность функционирования ИКБД, положений, устанавливающих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации ущерба.
Точный перечень указанных вопросов, связанных с компонентами правового риска, как и для операционного риска, определяется специалистами кредитной организации с учетом специфики ее БАС, систем электронного банкинга, видов провайдеров, состава услуг, предоставляемых в рамках ДБО, возможных сетевых и вирусных атак, средств защиты от них и т. п.
Потенциальное влияние тех компонентов правового риска, которые сопутствуют компрометации банковских информационных ресурсов, обусловлено недостатками в обеспечении информационной безопасности кредитной организации. Они могут иметь место из-за новизны/ сложности ТЭБ или недостаточного освоения внедренной в ней СЭБ. На практике его причины кроются в неполноте предусмотренных моделей и сценариев развития угроз, предполагаемых для конкретного ИКБД, связанного с этой технологией. Одним из наиболее серьезных факторов риска при этом является квалификационный «разрыв» между специалистами подразделений ИТ и обеспечения информационной безопасности кредитной организации: первые отвечают за непрерывность и функциональность БАС и СЭБ и могут не располагать полным знанием сопутствующих последней из них угроз, последние же могут не полностью представлять технические механизмы реализации этих угроз. Результатом становятся «дыры» в периметре безопасности кредитной организации, который, кстати, в условиях электронного банкинга может приобретать весьма сложную форму — если эксплуатируется несколько разнородных систем ДБО и имеется несколько видов пользователей их и БАС.
Авиатор: назад в СССР 12+1
13. Покоряя небо
Фантастика:
попаданцы
альтернативная история
рейтинг книги
Охота на эмиссара
1. Федерация Объединённых Миров
Любовные романы:
любовно-фантастические романы
рейтинг книги
Кодекс Охотника. Книга XVII
17. Кодекс Охотника
Фантастика:
фэнтези
попаданцы
аниме
рейтинг книги
Сопряжение 9
9. Сопряжение
Фантастика:
боевая фантастика
постапокалипсис
технофэнтези
рпг
рейтинг книги
Возвышение Меркурия. Книга 7
7. Меркурий
Фантастика:
героическая фантастика
попаданцы
аниме
рейтинг книги
Старатель 3
3. Старатели
Фантастика:
боевая фантастика
космическая фантастика
рейтинг книги
Меняя маски
1. Унесенный ветром
Фантастика:
боевая фантастика
попаданцы
рейтинг книги
Новый Рал 2
2. Рал!
Фантастика:
фэнтези
рейтинг книги
Идеальный мир для Лекаря 17
17. Лекарь
Фантастика:
юмористическое фэнтези
попаданцы
аниме
рейтинг книги
Авиатор: назад в СССР
1. Авиатор
Фантастика:
попаданцы
альтернативная история
рейтинг книги
На руинах Мальрока
2. Девятый
Фантастика:
боевая фантастика
рейтинг книги