Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

– регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности, инсталляцию обновленных версий соответствующего программного обеспечения и служебных пакетов, а также прочие необходимые меры[96].

Ниже приведены дополнительные примеры надежной организации при обеспечении безопасности операций ЭБ.

1. Следует разработать и соблюдать политику обеспечения безопасности, а также особые полномочия авторизации, назначаемые всем пользователям систем и прикладных программ в рамках ЭБ, включая всех клиентов, внутренних пользователей в банке и внешних провайдеров услуг. Также следует разработать средства контроля логического доступа для обеспечения должного разделения обязанностей[97].

2. Данные и системы, относящиеся к области ЭБ, следует классифицировать в соответствии с их значимостью и уязвимостью и обеспечить им адекватную защиту. Для защиты всех уязвимых и подверженных высокому риску систем, серверов, баз данных и прикладных программ, функционирующих в СЭБ, необходимо использовать соответствующие механизмы, такие как шифрование, управление доступом и планы восстановления данных.

3. Следует свести к минимуму хранение уязвимых или подверженных высокому риску данных на настольных и переносных компьютерах, а также должным образом защищать их с помощью шифрования, контроля доступа и планов восстановления данных.

4. Необходимо иметь достаточные физические средства контроля для предотвращения неавторизованного доступа[98] ко всем критичным системам, серверам, базам данных и прикладным программам, применяемым в системах ЭБ.

5. Следует применять должные методы парирования внешних угроз СЭБ, включая использование:

– программного обеспечения для обнаружения компьютерных вирусов во всех критических точках входа (к примеру, на серверах удаленного доступа, прокси-серверах электронной почты) и на каждой настольной системе;

– программного обеспечения для обнаружения проникновения и других инструментальных средств оценивания безопасности для периодической проверки сетей связи, серверов и брандмауэров на предмет наличия слабых мест и (или) нарушений политики и средств контроля безопасности;

– тестирования вариантов проникновения во внутренние и внешние сети связи.

Все сотрудники и провайдеры услуг, занимающие ключевые позиции, должны проходить тщательный процесс проверки надежности.

Принцип 3: СД и ВРБ следует внедрить полноценные и непрерывные процессы наблюдения и контроля выполнения обязательств для управления отношениями банка с провайдерами услуг и другими сторонами, обеспечивающими поддержку выполнения операций ЭБ.

Повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении критических функций в рамках ЭБ снижает возможности непосредственного контроля над ними со стороны руководства банка. Соответственно, оказывается необходимым всеобъемлющий процесс управления рисками, ассоциируемыми с заказной обработкой и зависимостью от сторонних организаций. Этот процесс должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая субконтракты на заказную обработку, которые могут иметь материальные последствия для банка.

Исторически заказная обработка часто ограничивалась единственным провайдером обслуживания по заданному набору операций. Однако в последние годы масштаб и сложность связей банков в части заказной обработки значительно возросли, что явилось прямым результатом успехов в информационных технологиях и внедрения ЭБ. В дополнение следует учитывать тот факт, что внешнее обслуживание операций ЭБ может передаваться по субконтрактам иным провайдерам услуг и (или) осуществляться в другой стране. Кроме того, по мере технологического развития и роста стратегической важности приложений и видов обслуживания ЭБ определенные функциональные участки ЭБ оказываются зависимыми от небольшого числа специализированных сторонних поставщиков и провайдеров услуг. Эти разработки могут привести к повышенной концентрации рисков, которая оправдывает внимание как со стороны одного банка, так и со стороны отрасли в целом.

В совокупности все эти факторы подчеркивают необходимость всеобъемлющего и постоянного оценивания связей в рамках заказной обработки и других видов внешней зависимости, включая ассоциируемые с ними влияния на профиль риска конкретного банка и возможности надзора за управлением рисками[99]. Наблюдение со стороны СД и ВРБ за связями в части заказной обработки и зависимости от сторонних организаций следует особенно фокусировать на том, чтобы обеспечивались: