Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Наконец, СД и ВРБ следует убедиться в том, что организованные ими процессы управления рисками для деятельности в рамках ЭБ интегрированы в общий подход банка к управлению рисками. Существующие в банке политика и процессы управления рисками должны быть оценены с точки зрения гарантии того, что они достаточно устойчивы, чтобы парировать новые риски, возникающие из-за текущей или планируемой деятельности в области ЭБ.
Дополнительные меры по наблюдению за управлением рисками, которые следует принять во внимание СД и ВРБ, включают:
– четкое определение приемлемого для данной банковской организации уровня риска в рамках ЭБ;
– определение ключевых механизмов распределения полномочий и предоставления отчетности, включая расширенные процедуры для тех случаев, которые влияют на безопасность, надежность или репутацию банка (к примеру, сетевое проникновение, нарушение правил безопасности со стороны работников и любое серьезное нарушение в использовании компьютерных средств)[92];
– обращение внимания на любые особенные факторы риска, ассоциируемые с гарантиями безопасности, целостностью и доступностью услуг и видов обслуживания в части ЭБ и требующие принятия адекватных мер со стороны тех контрагентов, которым банк доверил обслуживание ключевых систем или прикладного программного обеспечения;
– обеспечение необходимого анализа выполнения обязательств и рисков до того, как банк начнет осуществление транзакционных операций в рамках ЭБ.
Интернет в значительной степени расширяет возможности банков по распространению услуг и видов обслуживания на виртуально безграничную географическую территорию, включая пересечение национальных границ. Такая трансграничная деятельность на основе ЭБ, особенно при осуществлении ее без какого-либо лицензированного физического присутствия в «стране дислокации», потенциально подвергает банки повышенным рискам – правовому, нормативному и страновому – ввиду значительных различий, которые могут иметь место между разными юрисдикциями в части требований к лицензированию банковской деятельности, надзора и защиты потребителей. Чтобы избегать непреднамеренного несоответствия законам и правилам зарубежных государств (в т. ч. с точки зрения управления факторами риска, относящимися к той или иной стране), банки, совершающие трансграничные операции посредством ЭБ, должны полностью изучить данные риски и организовать эффективное управление ими еще до практической реализации операций такого рода.
В зависимости от масштаба и сложности деятельности банка в рамках ЭБ охват и структура программ управления рисками будут различными. Ресурсы, требуемые для наблюдения за обслуживанием в части ЭБ, следует выделять в соответствии с транзакционной функциональностью и значимостью систем, уязвимостью сетей связи и важностью передаваемой по ним информации.
Принцип 2: СД и ВРБ следует проверять и утверждать ключевые составляющие процессов контроля безопасности банка.
СД и ВРБ следует наблюдать за разработкой и поддержанием инфраструктуры контроля безопасности, которая обеспечивает должную защиту СЭБ и данных как от внутренних, так и от внешних угроз. При этом следует установить соответствующие права авторизации, логические и физические средства контроля доступа, а также адекватную инфраструктуру обеспечения безопасности для поддержания должных возможностей и ограничений в отношении действий как внутренних, так и внешних пользователей.
Защита банковских активов является одной из областей ответственности ВРБ. В то же время защита банковских активов представляет собой одну из проблемных задач в условиях быстро развивающейся сферы ЭБ ввиду комплексного характера рисков для безопасности, связанных с работой через интернет и применением все новых и новых технологий.
Чтобы гарантировать наличие должных средств обеспечения безопасности для деятельности в рамках ЭБ, СД и ВРБ требуется удостовериться в существовании в их банке полноценного процесса обеспечения защиты, включая политику и процедуры, которые касаются потенциальных внутренних и внешних угроз безопасности как в части предотвращения инцидентов, так и в части реагирования на такие происшествия. Ключевыми компонентами эффективного процесса обеспечения безопасности ЭБ являются:
– установление однозначно определенной ответственности руководства/персонала за организацию и соблюдение корпоративной политики безопасности[93];
– наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;
– наличие достаточных средств логического контроля и процессов мониторинга[94] для предотвращения неавторизованного внутреннего[95] и внешнего доступа к прикладным программам и базам данных ЭБ;
– регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности, инсталляцию обновленных версий соответствующего программного обеспечения и служебных пакетов, а также прочие необходимые меры[96].
Ниже приведены дополнительные примеры надежной организации при обеспечении безопасности операций ЭБ.
1. Следует разработать и соблюдать политику обеспечения безопасности, а также особые полномочия авторизации, назначаемые всем пользователям систем и прикладных программ в рамках ЭБ, включая всех клиентов, внутренних пользователей в банке и внешних провайдеров услуг. Также следует разработать средства контроля логического доступа для обеспечения должного разделения обязанностей[97].
2. Данные и системы, относящиеся к области ЭБ, следует классифицировать в соответствии с их значимостью и уязвимостью и обеспечить им адекватную защиту. Для защиты всех уязвимых и подверженных высокому риску систем, серверов, баз данных и прикладных программ, функционирующих в СЭБ, необходимо использовать соответствующие механизмы, такие как шифрование, управление доступом и планы восстановления данных.
3. Следует свести к минимуму хранение уязвимых или подверженных высокому риску данных на настольных и переносных компьютерах, а также должным образом защищать их с помощью шифрования, контроля доступа и планов восстановления данных.
4. Необходимо иметь достаточные физические средства контроля для предотвращения неавторизованного доступа[98] ко всем критичным системам, серверам, базам данных и прикладным программам, применяемым в системах ЭБ.
5. Следует применять должные методы парирования внешних угроз СЭБ, включая использование:
– программного обеспечения для обнаружения компьютерных вирусов во всех критических точках входа (к примеру, на серверах удаленного доступа, прокси-серверах электронной почты) и на каждой настольной системе;
– программного обеспечения для обнаружения проникновения и других инструментальных средств оценивания безопасности для периодической проверки сетей связи, серверов и брандмауэров на предмет наличия слабых мест и (или) нарушений политики и средств контроля безопасности;
– тестирования вариантов проникновения во внутренние и внешние сети связи.
Все сотрудники и провайдеры услуг, занимающие ключевые позиции, должны проходить тщательный процесс проверки надежности.
Принцип 3: СД и ВРБ следует внедрить полноценные и непрерывные процессы наблюдения и контроля выполнения обязательств для управления отношениями банка с провайдерами услуг и другими сторонами, обеспечивающими поддержку выполнения операций ЭБ.
Повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении критических функций в рамках ЭБ снижает возможности непосредственного контроля над ними со стороны руководства банка. Соответственно, оказывается необходимым всеобъемлющий процесс управления рисками, ассоциируемыми с заказной обработкой и зависимостью от сторонних организаций. Этот процесс должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая субконтракты на заказную обработку, которые могут иметь материальные последствия для банка.
Исторически заказная обработка часто ограничивалась единственным провайдером обслуживания по заданному набору операций. Однако в последние годы масштаб и сложность связей банков в части заказной обработки значительно возросли, что явилось прямым результатом успехов в информационных технологиях и внедрения ЭБ. В дополнение следует учитывать