Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
В совокупности все эти факторы подчеркивают необходимость всеобъемлющего и постоянного оценивания связей в рамках заказной обработки и других видов внешней зависимости, включая ассоциируемые с ними влияния на профиль риска конкретного банка и возможности надзора за управлением рисками[99]. Наблюдение со стороны СД и ВРБ за связями в части заказной обработки и зависимости от сторонних организаций следует особенно фокусировать на том, чтобы обеспечивались:
– полное понимание банком тех рисков, которые связаны с привлечением сторонних провайдеров услуг или партнеров в заказную обработку или партнерские отношения для работы с банковскими системами или прикладными программами;
– должная своевременная проверка компетентности и финансовой устойчивости любых сторонних провайдеров услуг или партнеров, проводимая до заключения контрактов на обслуживание в рамках ЭБ;
– точное определение контрактной подотчетности всех участников заказной обработки или партнерских отношений. К примеру, должны быть четко определены обязанности по предоставлению информации провайдеру услуг и получению информации от него;
– учет всех операций и СЭБ, связанных с заказной обработкой, в концепциях управления рисками, обеспечения безопасности и соблюдения конфиденциальности, которые соответствуют принятым в банке стандартам;
– проведение периодического независимого внутреннего и (или) внешнего аудита заказных операций, по меньшей мере в том же объеме, который требовался бы, если бы такие операции совершались в самом банке;
– наличие должных планов на случай непредвиденных обстоятельств для деятельности в рамках ЭБ, осуществляемой в заказном порядке.
Ниже приведены дополнительные примеры надежной организации работы при управлении внешними СЭБ и других случаях зависимости от сторонних организаций.
1. Банкам следует внедрить необходимые процессы для оценивания решений, принимаемых в отношении внешних (заказных) систем и видов обслуживания, в части ЭБ:
– руководство банка должно четко определить стратегические цели, выгоды и затраты, связанные с заключением соглашений с третьими сторонами на заказную обработку в рамках ЭБ;
– решения об использовании сторонней обработки для ключевых функций или видов обслуживания в части ЭБ должны быть согласованы с деловыми стратегиями банка, основываться на точно определенных деловых потребностях и учитывать специфические риски, обусловленные использованием заказной обработки;
– все заинтересованные стороны в банке должны понимать, каким образом провайдер(ы) услуг будет(ут) поддерживать стратегию банка в области ЭБ и обеспечивать соответствие его функциональной структуре.
2. Банкам следует проводить должный анализ рисков и выполнения обязательств до выбора провайдера услуг в части ЭБ и через соответствующие интервалы времени впоследствии:
– банки должны рассмотреть конкурентные предложения нескольких провайдеров услуг в области ЭБ и выработать критерии выбора;
– после определения потенциального провайдера услуг банку следует провести проверку обеспечения соблюдения обязательств, включая анализ риска в отношении финансовых ресурсов данного провайдера услуг, репутации, политики управления рисками и средств управления, а также способности выполнять обязательства;
– далее банк должен регулярно контролировать и при необходимости проводить проверку соблюдения провайдером обязательств по обслуживанию и связанных с ними обязательств по управлению рисками на протяжении всего срока действия контракта[100];
– банкам необходимо гарантировать, что для контроля соблюдения соглашений на заказную обработку в целях обеспечения операций ЭБ выделены адекватные ресурсы;
– обязанности по контролю соблюдения соглашений на заказную обработку в рамках ЭБ должны быть четко распределены;
– банк должен разработать правильную с точки зрения управления рисками стратегию выхода из договорных отношений по заказной обработке, если возникнет необходимость их прервать.
3. Банкам следует внедрить необходимые процедуры для обеспечения адекватности контрактов, в соответствии с которыми выполняются операции ЭБ. Например, контракты должны содержать[101]:
– четкое определение контрактных обязательств договаривающихся сторон, равно как и меры ответственности за принятие решений, включая любые субконтрактные отношения по предоставлению реальных услуг;
– четкое определение ответственности в части предоставления информации провайдеру услуг и получения информации от него. Информация от провайдера услуг должна быть своевременной и достаточно полной для того, чтобы банк имел возможность адекватно оценить уровни обслуживания и риски. Следует оговорить пределы затрат и процедуры, необходимые для уведомления банка о прерывании обслуживания, недостатках в обеспечении безопасности и других событиях, которые подвергают банк материальному риску;
– четкое определение резервов, предназначенных для страхового покрытия, прав собственности на данные, хранимые на серверах или в базах данных конкретного провайдера услуг, а также указание на право банка вернуть данные по истечении или прекращении контрактных отношений;
– определение предполагаемого функционирования как в нормальных условиях, так и в чрезвычайных обстоятельствах;
– определение адекватных мер и гарантий, в частности на основе аудиторских заключений, в обеспечение того, что провайдер услуг действует в соответствии с политикой банка;
– указание на возможности своевременного и уместного вмешательства и устранения ошибок в случае нестандартной работы провайдера услуг;
– в случае трансграничных соглашений о заказной обработке – определение того, законы и правила какой страны будут применимы, включая и те, которые относятся к обеспечению конфиденциальности и другим видам защиты прав клиентов;
– четкое определение права банка на проведение независимых проверок и (или) аудита обеспечения безопасности, средств внутреннего контроля и непрерывности деловых операций, а также планов на случай непредвиденных обстоятельств.
4. Банкам следует обеспечить периодическое проведение внутренних и (или) внешних аудиторских проверок заказных операций, по меньшей мере в том же масштабе, который требовался бы, если бы такие операции проводились в самом банке[102]. В отношении внешних взаимодействий, включающих критичные или технологически сложные виды обслуживания/программные приложения, банкам может потребоваться организация других периодических проверок, выполняемых независимыми сторонними компаниями, которые обладают достаточной технической квалификацией.
5. Банкам следует разработать планы на случай непредвиденных обстоятельств, связанных с заказной деятельностью в области ЭБ:
– необходимо разрабатывать такие планы для всех критичных систем и видов обслуживания в рамках ЭБ, которые были возложены на сторонние организации, осуществляющие заказную обработку, и периодически тестировать эти планы;
– в планах на случай непредвиденных обстоятельств следует учитывать правдоподобные сценарии наихудшего развития событий с точки зрения обеспечения непрерывности обслуживания в рамках ЭБ, если произойдут нарушения в работе, влияющие на выполнение заказных операций;
– необходимо иметь точно определенную группу сотрудников, ответственную за обеспечение восстановления и оценивание физического результата в случае прерывания заказного обслуживания в рамках ЭБ.
6. Банкам, которые возлагают обслуживание в рамках ЭБ на сторонние организации, следует удостовериться в том, что их операции, ответственность и обязательства определены достаточно точно, так, чтобы обслуживаемые учреждения могли адекватно осуществлять эффективные проверки соблюдения обязательств и текущее наблюдение за действующими отношениями.
7. Банки несут ответственность за предоставление обслуживаемым учреждениям информации, необходимой для определения, контроля и мониторинга любых рисков, связанных с соглашениями по обслуживанию в рамках ЭБ.
5.2.2. Средства обеспечения безопасности (Принципы