Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
– оценки производительности обработки транзакций в рамках ЭБ выполнены, проверены на максимальную нагрузку и периодически пересматриваются;
– имеются и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий в непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках ЭБ.
Ниже приведены дополнительные примеры правильной организации планирования производительности, непрерывности деловых операций и действий в непредвиденных обстоятельствах.
1. Следует идентифицировать и критично оценивать все виды обслуживания и прикладные программы, используемые в области ЭБ, включая те, которые предоставляются сторонними провайдерами услуг.
2. Следует осуществлять оценивание рисков для всех критичных видов обслуживания и прикладных программ в части ЭБ, включая потенциальное влияние любых случаев прерывания деловых операций на кредитный, рыночный, правовой, операционный, а также репутационный риски и риск ликвидности для данного банка.
3. Следует установить функциональные критерии для каждого критичного вида обслуживания и программного приложения в рамках ЭБ, а также организовать мониторинг уровней обслуживания в сопоставлении с такими критериями. Следует принять должные меры для обеспечения того, чтобы СЭБ могли обрабатывать как малые, так и большие объемы транзакций и чтобы функционирование систем и их производительность согласовывались с предположениями данного банка относительно перспективного развития СЭБ.
4. Следует принять во внимание разрабатываемые альтернативные варианты обработки для управления спросом при достижении СЭБ установленных заранее номинальных показателей производительности.
5. Планы обеспечения непрерывности операций в части ЭБ следует составлять таким образом, чтобы учитывались все функции, возложенные на сторонних провайдеров услуг, а также прочие внешние зависимости, связанные с необходимостью применения процедур восстановления работоспособности.
6. В планах реагирования на непредвиденные обстоятельства при обслуживании в рамках ЭБ следует определить какие-либо процессы для возобновления или замещения существующих средств обработки в части ЭБ, реконструирования информации для обеспечения выполнения транзакций, а также описать те меры, которые должны быть приняты для восстановления доступности критичных систем и прикладных программ ЭБ в случае прерывания деловых операций.
Принцип 14: банкам следует разработать должные планы реагирования на случайные происшествия для выявления, учета и минимизации проблем, обусловленных неожиданными событиями, включая внутренние и внешние атаки, которые могут ухудшить обеспечение систем и видов обслуживания в рамках ЭБ.
Эффективные механизмы реагирования на случайные происшествия принципиально важны для минимизации операционного, правового и репутационного рисков, обусловленных неожиданными событиями, такими как внутренние и внешние атаки, которые могут оказать влияние на функционирование систем и предоставление услуг ЭБ. Банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием обслуживания в рамках ЭБ, в частности те, которые связаны с использованием систем и операций в рамках заказной обработки.
Для обеспечения эффективного реагирования на непредвиденные происшествия банкам следует сформировать:
– планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области ЭБ для различных сценариев, деловых операций и географических зон. Анализ сценариев развития событий должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. СЭБ, которые переданы сторонним провайдерам услуг, должны учитываться в таких планах как неотъемлемая часть;
– механизмы оперативного выявления происшествий или кризисных ситуаций, оценивания их материального эффекта и контроля над репутационным риском, ассоциируемым с любым прерыванием обслуживания[120];
– стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов СЭБ;
– четкий процесс, организованный для уведомления соответствующих регулятивных органов в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы;
– группу реагирования на происшествия, наделенную полномочиями экстренного реагирования и имеющую достаточную подготовку в части анализа систем выявления/парирования происшествий и оценивания значимости связанных с ними результатов;
– четкую последовательность обязательных действий, охватывающую как внутренние, так и заказные операции, чтобы гарантировать, что осуществляются должные действия, соответствующие значимости происшедшего. Кроме того, следует разработать процедуры распространения сведений и связи, а также учесть информирование СД банка в случае необходимости;
– процесс, гарантирующий, что все имеющие отношение к делу внешние участники, включая клиентов банка, контрагентов и информационные органы, будут правильно и своевременно поставлены в известность о реальных случаях прерывания операций ЭБ и работах по восстановлению данной деятельности;
– процесс сбора и накопления свидетельств, учитываемых в судебных разбирательствах, для обеспечения должного последующего анализа любого происшествия в связи с операциями ЭБ, а также для содействия судебному преследованию нарушителей.
6. Возможные риски при использовании технологии интернет-банкинга[121]
Безопасные корабли – это вытащенные на берег корабли.
Анахарсис Скифский, древнегреческий философВведение
Самый большой риск – не принимать какие-либо рискованные решения… В мире, который очень быстро меняется, единственная стратегия, которая гарантированно потерпит неудачу, – не рисковать.
Марк Цукерберг, основатель социальной сети FacebookПонятие «интернет-банкинг» относится к системам, которые позволяют клиентам получать доступ к счетам и общей информации по банковским услугам и видам обслуживания с помощью персонального компьютера или другого «интеллектуального» устройства.
Услуги и обслуживание в рамках интернет-банкинга могут включать оптовые услуги для корпоративных клиентов и розничные услуги для частных клиентов.
В число оптовых услуг и обслуживания, в частности, входят:
– управление наличностью;
– электронные переводы;
– автоматические клиринговые операции;
– предъявление счетов к оплате.
В число розничных и фидуциарных услуг входят, например:
– запрос баланса;
– перевод средств;
– затребование информации о транзакциях;
– предъявление счетов к оплате;
– запросы на ссуды;
– инвестиционная деятельность;
– другие виды услуг, приносящие доход.
Прочие варианты обслуживания в рамках интернет-банкинга могут включать предоставление доступа к интернету в качестве провайдера интернет-обслуживания (Internet Service Provider – ISP). Управление контролера денежного обращения США установило, что дочерние организации национальных банков могут предоставлять банковские услуги на дому через интернет-соединения с системой домашнего банковского обслуживания конкретного банка и в качестве дополнения к такому обслуживанию могут также предоставлять доступ к интернет-клиентам банка через посредство этого обслуживания (см. ОСС Interpretative Letter № 742, так называемое «письмо Apollo»). Исторически банки использовали технологию информационных систем для обработки чеков (обработка требований), управления банкоматами (обработка транзакций) и подготовки отчетов (информационные системы управления). В прошлом компьютерные системы, составлявшие функциональную основу информационных систем, почти не привлекали внимание клиентов. Сегодня же веб-сайты, электронная почта и системы предъявления/оплаты электронных счетов являются важными средствами работы банков с клиентами.
Национальные банки экспериментировали с различными формами оперативного удаленного банковского обслуживания (on-line banking) в течение многих лет. Некоторые из первоначальных экспериментов проводились с закрытыми системами, в которых клиенты получали доступ к банку через посредство телефонного набора или кабельного телевизионного соединения. Эти системы ограничивали потенциальную клиентскую базу банка, поскольку для доступа к банку было необходимо, чтобы клиентам, находящимся вне данного региона, приходилось либо оплачивать телефонные счета за удаленные соединения, либо становиться абонентами конкретной системы кабельного телевидения. С учетом расширения интернета клиенты могут воспользоваться этой технологией в любом месте мира, чтобы получить доступ к сети связи какого-либо банка. Интернет как