Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Наконец, СД и ВРБ следует убедиться в том, что организованные ими процессы управления рисками для деятельности в рамках ЭБ интегрированы в общий подход банка к управлению рисками. Существующие в банке политика и процессы управления рисками должны быть оценены с точки зрения гарантии того, что они достаточно устойчивы, чтобы парировать новые риски, возникающие из-за текущей или планируемой деятельности в области ЭБ.

Дополнительные меры по наблюдению за управлением рисками, которые следует принять во внимание СД и ВРБ, включают:

– четкое определение приемлемого для данной банковской организации уровня риска в рамках ЭБ;

– определение ключевых механизмов распределения полномочий и предоставления отчетности, включая расширенные процедуры для тех случаев, которые влияют на безопасность, надежность или репутацию банка (к примеру, сетевое проникновение, нарушение правил безопасности со стороны работников и любое серьезное нарушение в использовании компьютерных средств)[92];

– обращение внимания на любые особенные факторы риска, ассоциируемые с гарантиями безопасности, целостностью и доступностью услуг и видов обслуживания в части ЭБ и требующие принятия адекватных мер со стороны тех контрагентов, которым банк доверил обслуживание ключевых систем или прикладного программного обеспечения;

– обеспечение необходимого анализа выполнения обязательств и рисков до того, как банк начнет осуществление транзакционных операций в рамках ЭБ.

Интернет в значительной степени расширяет возможности банков по распространению услуг и видов обслуживания на виртуально безграничную географическую территорию, включая пересечение национальных границ. Такая трансграничная деятельность на основе ЭБ, особенно при осуществлении ее без какого-либо лицензированного физического присутствия в «стране дислокации», потенциально подвергает банки повышенным рискам – правовому, нормативному и страновому – ввиду значительных различий, которые могут иметь место между разными юрисдикциями в части требований к лицензированию банковской деятельности, надзора и защиты потребителей. Чтобы избегать непреднамеренного несоответствия законам и правилам зарубежных государств (в т. ч. с точки зрения управления факторами риска, относящимися к той или иной стране), банки, совершающие трансграничные операции посредством ЭБ, должны полностью изучить данные риски и организовать эффективное управление ими еще до практической реализации операций такого рода.

В зависимости от масштаба и сложности деятельности банка в рамках ЭБ охват и структура программ управления рисками будут различными. Ресурсы, требуемые для наблюдения за обслуживанием в части ЭБ, следует выделять в соответствии с транзакционной функциональностью и значимостью систем, уязвимостью сетей связи и важностью передаваемой по ним информации.

Принцип 2: СД и ВРБ следует проверять и утверждать ключевые составляющие процессов контроля безопасности банка.

СД и ВРБ следует наблюдать за разработкой и поддержанием инфраструктуры контроля безопасности, которая обеспечивает должную защиту СЭБ и данных как от внутренних, так и от внешних угроз. При этом следует установить соответствующие права авторизации, логические и физические средства контроля доступа, а также адекватную инфраструктуру обеспечения безопасности для поддержания должных возможностей и ограничений в отношении действий как внутренних, так и внешних пользователей.

Защита банковских активов является одной из областей ответственности ВРБ. В то же время защита банковских активов представляет собой одну из проблемных задач в условиях быстро развивающейся сферы ЭБ ввиду комплексного характера рисков для безопасности, связанных с работой через интернет и применением все новых и новых технологий.

Чтобы гарантировать наличие должных средств обеспечения безопасности для деятельности в рамках ЭБ, СД и ВРБ требуется удостовериться в существовании в их банке полноценного процесса обеспечения защиты, включая политику и процедуры, которые касаются потенциальных внутренних и внешних угроз безопасности как в части предотвращения инцидентов, так и в части реагирования на такие происшествия. Ключевыми компонентами эффективного процесса обеспечения безопасности ЭБ являются:

– установление однозначно определенной ответственности руководства/персонала за организацию и соблюдение корпоративной политики безопасности[93];

– наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;

– наличие достаточных средств логического контроля и процессов мониторинга[94] для предотвращения неавторизованного внутреннего[95] и внешнего доступа к прикладным программам и базам данных ЭБ;