Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Как поясняется в комментариях к этому принципу, руководству кредитной организации необходимо до начала ДБО обеспечить полноту и достоверность информации, представляемой на используемых кредитной организацией web-сайтах. «В число примеров информации, которую банк может представить на своем web-сайте, входят:
название банка и сведения о местоположении его головного офиса (а также региональных офисов, если они существуют);
указание на основной орган (или органы) надзора за банком, ответственный за осуществление надзора за головным офисом банка;
способы контакта клиентов банка с его центром обслуживания клиентов, решающим проблемы с услугами, рассматривающим жалобы, подозрения в неправомочном использовании счетов, и т. п.;
способы контакта клиентов и общения с соответствующим наблюдательным органом или структурами, отвечающими за
способы получения клиентами доступа к информации о возможных государственных компенсациях или страховом покрытии депозитов, а также об уровне защиты, который ими обеспечивается (или же указание на web-сайт с такой информацией);
другая информация, которая может быть полезна или затребована в рамках конкретных юрисдикций [123] ».
Надо отметить, что эта проблематика изучалась Банком России в связи с большим количеством недостатков в предоставлении кредитными организациями информации на своих представительствах в Сети, что выразилось в разработке Указания оперативного характера от 3 февраля 2004 г. № 16-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет», где тематика определения содержания и организации web-сайтов, используемых в банковской деятельности, была раскрыта существенно шире, чем предлагалось БКБН в комментариях к этому принципу; в 2009 г. этот документ был заменен письмом с аналогичным названием [124] . Сами факты размещения неполной и недостоверной информации на web-сайтах кредитных организаций свидетельствуют о том, что руководство этих организаций не формировало специального внутрибанковского процесса при выходе их в Сеть (на самом деле в оптимальном варианте организации банковской деятельности в рамках ДБО такой процесс должен был бы формироваться еще до открытия кредитной организацией своего первого web-сайта), вследствие чего возникали компоненты правового и репутационного рисков. Такие компоненты могут негативно повлиять на имидж кредитной организации, результатом чего обычно становится упущенная выгода.
123
Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.
124
Письмо Банка России от 23 октября 2009 г. № 128-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет».
Принцип 12. Необходимо принимать должные меры в обеспечение гарантии конфиденциальности для клиентов, применимые в той юрисдикции, в пределах которой данный банк предоставляет услуги и виды обслуживания, относящиеся к электронному банкингу.
В комментариях к этому принципу БКБН подчеркивает, что «ненадлежащее использование или неавторизованное раскрытие конфиденциальных клиентских данных подвергает банк как правовому, так и репутационному риску». К этому стоит добавить, что если причиной этих негативных явлений оказываются такие недостатки во внедренной кредитной организацией ТЭБ или в реализующей ее СЭБ, которые изначально трудно предвидеть, то к указанным рискам могут добавиться компоненты операционного и стратегического рисков (в их взаимосвязи).
Далее в рассматриваемом документе говорится о том, что «для решения проблем, относящихся к сохранению конфиденциальности клиентской информации, банкам следует прилагать разумные усилия по обеспечению того, чтобы:
в политике и стандартах банка, описывающих соблюдение конфиденциальности для клиента, были учтены и соблюдены требования всех законов и правил, касающихся конфиденциальности и применимых в пределах той юрисдикции, в рамках которой предоставляются услуги и виды обслуживания, относящиеся к электронному банкингу;
клиенты были поставлены в известность о политике соблюдения конфиденциальности банком и соответствующих вопросах соблюдения конфиденциальности, относящихся к использованию услуг и видов обслуживания по электронному банкингу;
клиенты могли отклонять („вычеркивать“) разрешения
клиентские данные не использовались для целей, выходящих за пределы того, для чего их разрешено использовать, или вне целей, которые были авторизованы клиентом.
Стандарты банка в отношении использования клиентских данных соблюдались при доступе третьих сторон к клиентским данным на основе отношений в рамках заказной обработки».
Принцип 13. Следует эффективно планировать производительность, непрерывность бизнеса и реакцию на непредвиденные события в обеспечение доступности систем и обслуживания в части электронного банкинга.
В соответствующем комментарии указывается, что «каждый конкретный банк должен обладать возможностями предоставления услуг в рамках электронного банкинга конечным пользователям со стороны как первичного их источника (например, внутренних систем и прикладных программ банка), так и вторичного (например, систем и прикладных программ провайдеров тех или иных услуг). Поддержание требуемой доступности зависит также от способности резервных систем обеспечения непрерывности функционирования парировать атаки типа отказа в обслуживании или другие события, которые потенциально могут вызвать прерывание деловых операций». Примеры, которые были приведены в главе 2, подтверждают положения о том, что «проблема поддержания непрерывной доступности систем и приложений электронного банкинга может оказаться значимой с учетом возможного высокого спроса на проведение транзакций, особенно в периоды пиковой нагрузки. Кроме того, высокие ожидания клиентов относительно короткого цикла обработки транзакций и постоянной доступности „24 x 7“ также повысили важность надежного планирования производительности, непрерывности деловых операций и реакции на непредвиденные ситуации».
В связи с изложенным «для обеспечения такой непрерывности обслуживания клиентов в рамках электронного банкинга, которую они ожидают, банкам необходимо гарантировать, что:
существующая в настоящий момент производительность системы электронного банкинга и ее перспективная масштабируемость анализируются с учетом общей динамики данного рынка электронной коммерции, а также предполагаемого темпа восприимчивости клиентами услуг и видов обслуживания в области электронного банкинга [125] ;
125
Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.
оценки производительности обработки транзакций в рамках электронного банкинга сделаны, проверены при максимальной нагрузке и периодически пересматриваются;
имеются в наличии и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий при непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках электронного банкинга».
Принцип 14. Следует разработать должные планы реагирования на случайные происшествия для выявления, учета и минимизации проблем, обусловленных неожиданными событиями, включая внутренние и внешние атаки, которые могут ухудшить обеспечение систем и видов обслуживания в рамках электронного банкинга.
Эффективные механизмы реагирования, как сказано в тексте, «на случайные происшествия» являются принципиально важными для минимизации уровней как минимум операционного, правового и репутационного рисков (а в связи с ними, возможно, и стратегического риска), обусловливаемых неожиданными, хотя и предсказуемыми событиями, такими как внутренние и внешние сетевые атаки, которые могут оказать влияние на функционирование систем и предоставление услуг электронного банкинга. Поэтому указывается, что «банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием осуществляемого ими обслуживания в рамках электронного банкинга, включая те, которые связаны с использованием систем и операций в рамках заказной обработки».