Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
В связи с изложенным выше кредитным организациям целесообразно в обеспечение «эффективного реагирования на непредвиденные происшествия сформировать:
планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области электронного банкинга для различных сценариев, деловых операций и географических зон. Анализ сценариев развития событий должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. Системы электронного банкинга, которые переданы сторонним провайдерам услуг, должны учитываться в таких планах, как неотъемлемая часть;
механизмы
стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов систем электронного банкинга;
четкий процесс, организованный для уведомления соответствующих регулятивных органов в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы;
группу реагирования на происшествия, наделенную полномочиями экстренного реагирования и имеющую достаточную подготовку в части анализа систем выявления/парирования происшествий и оценивания значимости связанных с ними результатов;
четкую последовательность обязательных действий, охватывающую как внутренние, так и заказные операции, чтобы гарантировать, что осуществляются должные действия, соответствующие значимости происшедшего. Кроме того, следует разработать процедуры распространения сведений, а также учесть информирование совета банка в случае необходимости;
процесс, гарантирующий, что все имеющие отношение к делу внешние участники, включая клиентов банка, контрагентов и информационные органы, будут правильно и своевременно информированы о реальных прерываниях в операциях электронного банкинга и о работах по восстановлению данной деятельности;
процесс для сбора и накопления учитываемых в судебных разбирательствах свидетельств, в обеспечение должного последующего анализа любого происшествия в связи с операциями электронного банкинга, а также для содействия судебному преследованию нарушителей».
В приложениях к рассмотренному документу БКБН приводятся рекомендации по внедрению описанных принципов и практические примеры надежной организации:
— в помощь обеспечению безопасности операций электронного банкинга;
— при управлении внешними системами электронного банкинга и другими зависимостями от сторонних организаций;
— управления внешними системами электронного банкинга и другими зависимостями от сторонних организаций;
— обеспечения наличия точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга;
— обеспечения конфиденциальности клиентской информации в рамках осуществления электронного банкинга;
— и правильной организации планирования производительности, непрерывности операций и действий в случае чрезвычайных обстоятельств.
Эти примеры, как и содержание самого материала [126] , могут быть использованы руководством и персоналом высокотехнологичных кредитных организаций для усовершенствования УБР и снижения их уровней, а следовательно, для повышения технологической надежности банковской деятельности.
126
Risk Management Principles for Electronic Banking.
Аналогичный, но более детализированный подход использован в упоминавшемся в начале книги Письме 36-Т, где в разделе 1 определены семь основных целей разработки рекомендаций Банка России (п. 1.2), непосредственно относящихся к гарантиям надежности банковской деятельности и касающиеся базовых характеристик банковской деятельности, а именно, обеспечения:
«надежного дистанционного банковского обслуживания с применением систем интернет-банкинга, отвечающего требованиям клиентов кредитной организации в части доступности, функциональности и защищенности операций и данных интернет-банкинга;
соответствия дистанционного банковского обслуживания с применением систем интернет-банкинга требованиям законодательства Российской Федерации, в том числе нормативных актов Банка России, по вопросам банковской деятельности и управления банковскими рисками;
информационной безопасности систем интернет-банкинга, в том числе защиты информационных ресурсов кредитной организации от неправомерного доступа с применением интернет-технологий;
контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет-банкинга, в рамках системы внутреннего контроля кредитной организации;
противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключению вовлечения кредитной организации в противоправную деятельность при использовании дистанционного банковского обслуживания с применением систем интернет-банкинга;
достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;
поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем интернет-банкинга, в пределах, установленных кредитной организацией».
Там же, в разделе 4, определяется минимально необходимый состав внутрибанковских документов, в которых целесообразно постулировать основные принципы УБР, непосредственно связанные с применением ДБО. Прежде всего внимание специалистов кредитных организаций обращается на то, что целесообразно определить (описать) все технологические участки информационного контура интернет-банкинга, подлежащие учету при адаптации управления рисками банковской деятельности в новых условиях (п. 4.1). Также желательно проанализировать содержание организационного и информационного взаимодействия с клиентами и провайдерами кредитной организации, с позиций учета потенциальных источников этих рисков в случае наличия недостатков в этом содержании. Наконец, уместно оценить зависимость состава факторов и источников риска для кредитной организации от функционирования комплекса АПО ДБО. Считается, что подобный анализ позволит выделить как минимум основные потенциальные уязвимости кредитной организации, которые могут потребовать введения дополнительного управленческого контроля в обеспечение надежной банковской деятельности.