Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Сегодня же банки испытывают конкурентное давление, вынуждающее предлагать новые деловые механизмы в очень сжатые сроки: от разработки концепции до начала эксплуатации нередко проходит всего несколько месяцев. Эта конкуренция усиливает управленческие проблемы в части адекватного стратегического оценивания, анализа рисков и проверки безопасности до внедрения новых практических решений в области ЭБ;

– транзакционные веб-сайты и связанные с ними разнообразные комплексные бизнес-решения обычно интегрируются, насколько это возможно, с уже существующими компьютерными системами с целью достижения более «прямой» обработки электронных транзакций. Такая непосредственная автоматизированная обработка снижает вероятность человеческих ошибок и мошенничества, типичных для процессов, осуществляемых вручную, но также увеличивает зависимость от того, насколько правильны конструкция систем и их архитектура, равно как и от взаимного функционирования систем и операционной масштабируемости;

– ЭБ увеличивает зависимость банков от информационных технологий, тем самым повышая техническую сложность многих функциональных задач и обеспечения безопасности, а также усиливая тенденцию к появлению соглашений с третьими сторонами о совместной работе, сотрудничестве и предоставлении услуг, многие из которых не подпадают под какое бы то ни было регулирование. Такое развитие ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации: интернет-провайдеры, телекоммуникационные компании и другие технологические фирмы;

– интернет по своей сути имеет повсеместный и глобальный характер. Это открытая сеть связи, к которой можно получить доступ из любого места в мире, оставаясь неизвестным, с передачей сообщений через неидентифицируемые узлы и с использованием быстро совершенствуемых беспроводных устройств. Вследствие этого существенно повышается значимость средств контроля безопасности и механизмов аутентификации пользователей.

На основании проведенной EBG работы БКБН пришел к выводу, что традиционные принципы управления банковскими рисками применимы к деятельности в области ЭБ. Комплексные характеристики каналов доведения услуг через интернет вынуждают приспосабливать эти принципы ко многим банковским онлайновым операциям и сопутствующим проблемам управления рисками.

БКБН полагает, что банкам потребуется разработка процессов управления рисками, соответствующих их индивидуальному профилю риска, функциональной структуре и культуре корпоративного управления, наряду с учетом специфических требований и политик по управлению рисками, применяемых органами банковского надзора в рамках одной или нескольких юрисдикций.

Принципы управления рисками при осуществлении ЭБ делятся на три широкие и часто пересекающиеся тематические категории (рис. 38). Однако эти принципы не ранжируются по степени их приоритетности или значимости. Все зависит от приоритетов, которые устанавливаются в конкретной кредитной организации.

А. Наблюдение со стороны совета директоров и высшего руководства банка[91] (Принципы 1–3):

Рис. 38. Основные принципы управления рисками ЭБ

1. Эффективное наблюдение со стороны руководства за деятельностью в рамках ЭБ.

2. Организация полноценного процесса контроля безопасности.

3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

B. Средства обеспечения безопасности (Принципы 4-10):

4. Аутентификация клиентов в операциях ЭБ.

5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках ЭБ.

6. Должные меры по обеспечению разделения обязанностей.

7. Необходимые средства авторизации в СЭБ, базах данных и прикладных программах.

8. Целостность данных в транзакциях ЭБ, записях и информации.

9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.

10. Конфиденциальность важнейшей банковской информации.

C. Управление правовым и репутационным рисками (Принципы 11–14):

11. Правильное раскрытие информации для обслуживания в рамках ЭБ.

12. Конфиденциальность клиентской информации.

13. Планирование производительности, непрерывности операций, планирование на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках ЭБ.

14. Планирование реагирования на случайные события.