Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Для поддержания разделения обязанностей кредитным организациям необходимо строго контролировать авторизацию и полномочия доступа. Недостатки в обеспечении адекватного контроля авторизации могут дать возможность отдельным лицам расширить свои права авторизации, обойти разделение функций и получить НСД к системам, базам данных и прикладным программам электронного банкинга, к которым они не допущены. В системах электронного банкинга права авторизации и доступа могут устанавливаться как централизованно, так и распределенным образом (причем и в ЛВС, и в ЗВС, а на современном уровне — и в трансграничных вариантах); соответствующие
Принцип 8. Необходимо обеспечивать наличие должных мер защиты целостности данных в транзакциях, записях и информации электронного банкинга.
Под целостностью данных понимается гарантия того, что передаваемая или хранимая информация не подвергалась неавторизованному воздействию. Недостатки в обеспечении целостности данных в транзакциях, записях и информации, являясь источниками компонентов банковских рисков, могут подвергнуть кредитные организации финансовым потерям. При сквозной обработке может быть затруднено своевременное обнаружение ошибок программирования или мошеннической деятельности на ранней стадии.
Поскольку данные об операциях электронного банкинга передаются по открытым телекоммуникационным сетям, транзакции подвержены дополнительным опасностям из-за искажения данных, мошенничества и воздействия на записи в базах данных. Поэтому необходимо обеспечивать использование должных мер, позволяющих удостовериться в точности, полноте и надежности транзакций и информации электронного банкинга, которые могут передаваться через Интернет или передаваться/храниться провайдерами по поручению кредитной организации [122] . Типичные меры, применяемые для поддержания целостности данных в комплексах электронного банкинга, включают:
122
Кредитным организациям следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно их восстановление после нарушения целостности.
проведение транзакций электронного банкинга таким образом, чтобы гарантировалась их высокая устойчивость к внешним воздействиям на протяжении всего этого процесса;
хранение, предоставление и модификацию записей об операциях электронного банкинга таким образом, который обеспечивает их высокую устойчивость к внешним воздействиям;
разработку процессов обработки транзакций и хранения записей электронного банкинга таким образом, чтобы было фактически невозможно воспрепятствовать обнаружению неавторизованных изменений;
осуществление адекватной политики контроля над изменениями, включая процедуры мониторинга и тестирования, для защиты против любых изменений в СЭБ, которые могут из-за ошибочных или намеренных действий повредить средствам управления или нарушить целостность данных;
обнаружение любого воздействия на транзакции или записи электронного банкинга с помощью функций обработки транзакций, мониторинга и обеспечения сохранности данных.
Принцип 9. Банкам следует убедиться в формировании точных аудиторских записей по всем транзакциям электронного банкинга.
Удаленное предоставление финансовых услуг может затруднить кредитной организации внедрение и применение средств ВК и поддержание точных аудиторских записей, если то и другое не адаптировано к технологии электронного банкинга. Также может быть осложнено осуществление независимого аудита средств контроля, особенно в части критичных для операций электронного банкинга событий и прикладных программ. Это обусловлено тем, что многие, если не все записи о таких операциях и фиксации событий осуществляются только в электронной форме. «При определении ситуаций, в которых следует обеспечивать наличие точных аудиторских записей, учитываются следующие действия:
— открытие, изменение или закрытие счетов клиента,
— все транзакции, влекущие финансовые последствия,
— любая авторизация, модификация или аннулирование прав или полномочий доступа к автоматизированной системе».
Принцип 10. Банкам следует принимать должные меры для сохранения конфиденциальности важнейшей информации в области электронного банкинга, при этом меры для сохранения конфиденциальности должны быть соразмерны значимости информации, передаваемой и (или) хранимой в базах данных.
Конфиденциальность определяется БКБН как «уверенность в том, что важная информация остается частной в банке и не просматривается или не используется никем кроме тех, кто имеет на это право (авторизацию)». Внедрение ТЭБ приводит к появлению новых проблем с ОИБ для кредитной организации и ее клиентов, поскольку увеличивает возможности доступа к информации, передаваемой через открытые сети связи или хранимой в базах данных, со стороны неавторизованных лиц, или же использования ее такими способами, которые не предполагались предоставившим ее клиентом. Кроме того, указывается, что «использование услуг провайдеров может привести к раскрытию важнейших банковских данных посторонним».
Чтобы не возникало проблем с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, «необходимо гарантировать, что:
доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем;
для всех конфиденциальных банковских данных в процессе передачи через открытые, частные или внутренние сети связи обеспечивается безопасность и защита от несанкционированного просмотра или изменения;
в случаях использования заказной обработки обеспечивается соответствие стандартам и способам контроля банка над использованием данных и их защитой при получении доступа к этим данным сторонних организаций;
весь доступ к данным ограниченного использования фиксируется и приняты необходимые меры по защите журналов регистрации доступа к этим данным от внешнего воздействия».
Принцип 11. Необходимо убедиться, что на web-сайтах представлена правильная информация, позволяющая потенциальным клиентам банка сделать обоснованные заключения относительно самого банка еще до проведения транзакций через систему электронного банкинга.