Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

В соответствующем комментарии указывается, что «каждый конкретный банк должен обладать возможностями предоставления услуг в рамках электронного банкинга конечным пользователям со стороны как первичного их источника (например, внутренних систем и прикладных программ банка), так и вторичного (например, систем и прикладных программ провайдеров тех или иных услуг). Поддержание требуемой доступности зависит также от способности резервных систем обеспечения непрерывности функционирования парировать атаки типа отказа в обслуживании или другие события, которые потенциально могут вызвать прерывание деловых операций». Примеры, которые были приведены в главе 2, подтверждают положения о том, что «проблема поддержания непрерывной доступности систем и приложений электронного банкинга может оказаться значимой с учетом возможного высокого спроса на проведение транзакций, особенно в периоды пиковой нагрузки. Кроме того, высокие ожидания клиентов относительно короткого цикла обработки транзакций и постоянной доступности „24 × 7“ также повысили важность надежного планирования производительности, непрерывности деловых операций и реакции на непредвиденные ситуации».

В связи с изложенным «для обеспечения такой непрерывности обслуживания клиентов в рамках электронного банкинга, которую они ожидают, банкам необходимо гарантировать, что:

существующая в настоящий момент производительность системы электронного банкинга и ее перспективная масштабируемость анализируются с учетом общей динамики данного рынка электронной коммерции, а также предполагаемого темпа восприимчивости клиентами услуг и видов обслуживания в области электронного банкинга[125];

оценки производительности обработки транзакций в рамках электронного банкинга сделаны, проверены при максимальной нагрузке и периодически пересматриваются;

имеются в наличии и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий при непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках электронного банкинга».

Принцип 14. Следует разработать должные планы реагирования на случайные происшествия для выявления, учета и минимизации проблем, обусловленных неожиданными событиями, включая внутренние и внешние атаки, которые могут ухудшить обеспечение систем и видов обслуживания в рамках электронного банкинга.

Эффективные механизмы реагирования, как сказано в тексте, «на случайные происшествия» являются принципиально важными для минимизации уровней как минимум операционного, правового и репутационного рисков (а в связи с ними, возможно, и стратегического риска), обусловливаемых неожиданными, хотя и предсказуемыми событиями, такими как внутренние и внешние сетевые атаки, которые могут оказать влияние на функционирование систем и предоставление услуг электронного банкинга. Поэтому указывается, что «банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием осуществляемого ими обслуживания в рамках электронного банкинга, включая те, которые связаны с использованием систем и операций в рамках заказной обработки».

В связи с изложенным выше кредитным организациям целесообразно в обеспечение «эффективного реагирования на непредвиденные происшествия сформировать:

планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области электронного банкинга для различных сценариев, деловых операций и географических зон. Анализ сценариев развития событий должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. Системы электронного банкинга, которые переданы сторонним провайдерам услуг, должны учитываться в таких планах, как неотъемлемая часть;

механизмы оперативного выявления происшествий или кризисных ситуаций, оценивания их материального эффекта и контроля над репутационным риском, ассоциируемым с любым прерыванием в обслуживании;

стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов систем электронного банкинга;

четкий процесс, организованный для уведомления соответствующих регулятивных органов в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы;

группу реагирования на происшествия, наделенную полномочиями экстренного реагирования и имеющую достаточную подготовку в части анализа систем выявления/парирования происшествий и оценивания значимости связанных с ними результатов;