Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

В любом случае целесообразно четко осознавать, что речь идет о части ИКБД, который формируется при внедрении кредитной организацией любого варианта ДБО и может контролироваться и тем более управляться со стороны кредитной организации заведомо в неполной мере (во всяком случае, в настоящее время). Эта ситуация, кстати, усугубляется недостатками ГК РФ, в котором неполно описаны обязанности и ответственность сторон, вступающих в контрактные отношения, связанные с обеспечением выполнения условий зависимых от них договоров и финансовых обязательств. Из этого следует то, что в интересах учета потенциального влияния новых компонентов банковских рисков технологического и технического характера руководству кредитной организации целесообразно:

1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;

2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от web-отношений.

В части web-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLA, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время web-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов. Из-за этого нередко качество контрактов, заключаемых с ними кредитными организациями, не выдерживает критики с позиций защиты интересов их клиентов, равно как и содержания договоров с клиентами на ДБО, которые плохо представляют себе структуру ИКБД, через которую взаимодействуют с кредитной организацией. Отсюда следует целесообразность непосредственной связи положений договорных документов кредитной организации с клиентами и содержанием ее контрактов с провайдерами. Задач, не имеющих решения, здесь практически не существует, конечно если руководство кредитной организации учитывает характер и специфику зависимости надежности банковской деятельности от построения отношений с провайдерами. К сожалению, как свидетельствует опыт изучения содержания упомянутых документов, такие связи пока еще не стали повсеместным явлением.

Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях web-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS — атаки, принятие мер по нейтрализации DDOS-атак и т. п.)…»[184]

В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее web-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети[185]. До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации web-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».