Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;
— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;
— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;
— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;
— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;
— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.
Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее web-сайтах, в рекламных буклетах и т. п.
5.9. Адаптация плана действий в чрезвычайных обстоятельствах
Непосредственных требований к содержанию плана действий персонала кредитных организаций в чрезвычайных обстоятельствах и использованию этого плана до настоящего времени не выработано и в отечественной законодательной базе, регламентирующей банковскую деятельность, не содержится. Косвенно о них (в форме рекомендаций, через требования к ВК) можно судить по тексту Положения 242-П, в котором сказано:
«3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.
Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения приведены в приложении 5 к настоящему Положению».
В указанном приложении описывается, по сути, подход к определению содержания и организации процесса поддержания доступности информационно-процессинговых ресурсов кредитной организации в условиях возникновения чрезвычайных обстоятельств, который состоит из процедур разработки, согласования, утверждения, пересмотра и проверки (тестирования) упомянутого плана. Анализ положений этого документа не относится к тематике настоящей книги, тем более что многие из них являются универсальными в плане применения к любым банковским автоматизированным системам, поэтому ниже будут сделаны только несколько замечаний относительно специфики использования содержащихся в нем рекомендаций в условиях внедрения и последующего развития кредитной организацией ДБО.
За рубежом рассматриваемые планы действий обычно подразделяются на две части: обеспечение непрерывности бизнеса и восстановления после чрезвычайной ситуации [179] , которые интерпретируются как совокупности мер по предотвращению негативного воздействия потенциально угрожающих надежности банковской деятельности обстоятельств и парированию их последствий, если требуемую надежность обеспечить все же не удалось. Для определения показателей надежности устанавливаются значения, характеризующие допустимые рамки для интервалов прекращения операций. Это, как правило, высокие вероятностные значения порядка 0,95—0,97. Исходя из этих цифр и положений известной теории надежности определяются требования к схемам резервирования оборудования, включая каналы (линии связи), способам, средствам и времени восстановления работоспособности, ее показателям и т. п. Тестирование планов действий кредитных организаций в чрезвычайных обстоятельствах является типичным процессом во многих странах, причем оно может иметь разные масштабы: одной организации, группы филиалов организации (например, объединяемых по географическим признакам для имитации воздействия стихийных бедствий или техногенных катастроф), групп кредитных организаций или даже банковской системы в целом.
179
Business Continuity Plan (ВСР) и Business Recovery Plan (BRP) соответственно.
В российском банковском секторе такой подход пока еще нельзя назвать распространенным, он характерен для кредитных организаций, являющихся дочерними структурами зарубежных коммерческих банков. По-видимому, это обусловлено еще одним проявлением упоминавшегося в главе 4 «квалификационного разрыва», поскольку понятия содержания банковской деятельности, трактуемого в узком, традиционном смысле, и технологической надежности, от которой теперь полностью зависит эта деятельность, с единых позиций ранее не интерпретировались и не регламентировались. Однако в свете интенсивного использования технологий и систем электронного банкинга такая интерпретация уже стала актуальной, так что адаптация процесса, рассматриваемого в настоящем подразделе, также находит свое место в составе внутрибанковского мета-процесса.
Упомянутые в Положении 242-П «непрерывность деятельности и (или) восстановление деятельности» относятся ко всем техническим средствам в ИКБД ДБО, от которых зависит выполнение кредитной организацией обязательств перед своими клиентами (независимо от того, что в Федеральном законе от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» использованы только понятия кредитора и вкладчика, с чем, видимо, связаны формулировки в Положении 242-П), поскольку в современных условиях собственно понятие банковской деятельности, как об этом говорилось в главе 1, подлежит широкой трактовке в силу многообразия таких обязательств. Вследствие этого внедрение первой же ТЭБ и реализующей ее СЭБ (вкупе с БАС кредитной организации) в оптимальном варианте организации указанной деятельности приводит к существенному, а иногда и к радикальному пересмотру как самих планов действий в чрезвычайных обстоятельствах, так и порядка тестирования этих планов. В том и в другом случае в них появляются принципиально новые разделы, которые ранее, до перехода к ДБО, появиться просто не могли. При этом из-за возникновения ИКБД и влияния его характеристик состав этих разделов будет достаточно разнообразен, поскольку требуется охватить все негативные ситуации, которые могут возникнуть в самой кредитной организации, у ее провайдеров и клиентов и в каналах (линиях) связи, включая возможные сетевые, хакерские и вирусные атаки.
Учет состава ИКБД и ассоциируемых с ним источников компонентов банковских рисков, распределенных по зонам их концентрации, может оказаться непростой задачей, хотя, безусловно, решаемой. Поэтому и разветвлений в указанных планах может быть довольно много уже потому, что любой удаленный клиент должен, во-первых, быть предупрежден о возникновении чрезвычайных обстоятельств, во-вторых, получить какими-либо резервными способами доступ к необходимым ему ресурсам кредитной организации и, в-третьих, представлять себе, чем гарантирована целостность и конфиденциальность его данных. Поэтому руководству такой организации, переходящей к ДБО, целесообразно оценивать свою ресурсную базу с точки зрения ее достаточности для обеспечения выполнения упомянутых обязательств в условиях ДБО и инициировать адаптацию планов действий в обеспечение их выполнения в чрезвычайной ситуации. То же самое относится к «плану действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности» при ДБО.
Справедливости ради следует отметить, что подобные планы имеются в большинстве отечественных кредитных организаций, однако качество их во многих случаях не выдерживает критики потому, что само их содержание не свидетельствует о полном и адекватном учете всех потенциальных наиболее серьезных (т. е. приводящих к форсмажорным событиям) источников компонентов банковских рисков, а также вследствие очевидной ориентации на принятие решений исполнительным персоналом на месте, вместо следования заблаговременно четко и однозначно определенным процедурам. Если просто говорить о влиянии внедрения в банковскую деятельность любой