Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
К этим процессам целесообразно привлекать структурные подразделения (службы, служащих), прямо или косвенно участвующие в функционировании СЭБ или отвечающие за внедрение и применение информационных технологий, обеспечение информационной безопасности, правовое обеспечение деятельности кредитной организации, соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также за операционную работу с клиентами.
Кредитной организации рекомендуется оказывать методологическую и консультационную помощь клиентам ЭБ, доводить до них информацию о принимаемых ими рисках, а также необходимом комплексе мер по защите информации.
Во внутренних документах кредитной организации, связанных с управлением ЭБ и контролем за функционированием реализующих его систем, рекомендуется определить роль органов управления и структурных подразделений кредитной организации:
– в распределении полномочий между органами управления кредитной организации (советом директоров, единоличным и коллегиальным исполнительными органами);
– распределении прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений и служащих, в обязанности которых входят выполнение функций в рамках ЭБ и управление рисками, связанными с данным видом ДБО;
– реализации учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения СЭБ;
– определении допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании СЭБ;
– определении порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и принятии мер, обеспечивающих снижение уровня рисков.
В целях создания условий для эффективного управления рисками рекомендуется разработать внутренние документы, в которых реализовать основные принципы управления каждым видом риска, в том числе с учетом применения СЭБ. Внутренние документы по управлению рисками с учетом применения технологий ЭБ утверждаются советом директоров.
Управление рисками, связанными с применением СЭБ, состоит из выявления, оценки, мониторинга, контроля и (или) минимизации операционного риска. Во внутренних документах кредитной организации рекомендуется определить основные принципы управления рисками:
– методики выявления, оценки и мониторинга рисков;
– основные методы контроля и (или) минимизации рисков (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);
– порядок доведения результатов мониторинга до руководства кредитной организации.
Кредитные организации могут разрабатывать методы оценки риска самостоятельно либо использовать методы, принятые в международной банковской практике.
В целях предупреждения возможности повышения уровня рисков рекомендуется проводить мониторинг рисков, связанных с применением ЭБ.
Контроль функционирования системы управления банковскими рисками рекомендуется осуществлять на постоянной основе в порядке, установленном внутренними документами кредитной организации.
Периодичность проведения мониторинга рисков рекомендуется определять на основе его существенности для обеспечения непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок кредитной организации.
Обеспечение контроля своевременной идентификации, оценки и принятия мер по минимизации банковских рисков в области технологий ЭБ, а также выработку рекомендаций по минимизации банковских рисков рекомендуется возложить на СВА.
Процедуры оценки рисков можно разделить на два направления: оперативное и последующее. В рамках оперативного направления производится регулярная оценка уровня основных рисков. При этом уровень рисков оценивается с использованием тех показателей, расчет которых возможен в текущем режиме. Результаты оценки уровня рисков представляются руководству банка и СВК. Последующая оценка рисков проводится СВА и включает в себя анализ показателей оперативной оценки.
При внедрении новых и модернизации используемых информационных технологий необходимо пересмотреть методологию оценки управления банковскими рисками, а также иные внутренние документы, регламентирующие порядок управления рисками, и внести в них соответствующие изменения.
В соответствии с рекомендациями БКБН во внутренних документах по операционному риску в области применения СЭБ необходимо раскрыть организационные вопросы, связанные:
– с аутентификацией идентичности и авторизацией клиентов;
– доказательным подтверждением операций;
– обеспечением целостности данных в транзакциях, записях и информации ЭБ;
– обеспечением должных средств авторизации и полномочий доступа к системам, базам данных и приложений ЭБ;
– организацией документирования аудита транзакций ЭБ;
– обеспечением конфиденциальности наиболее значимой банковской и клиентской информации;
– должным раскрытием информации об обслуживании в рамках ЭБ на веб-сайтах кредитной организации;
– планированием производительности, непрерывности операций и учетом непредвиденных обстоятельств при обеспечении доступности систем и услуг ЭБ;
– планированием мероприятий на случай аварийных ситуаций.
Минимизация операционного риска, связанного с применением СЭБ, предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и (или) на уменьшение (ограничение) размера потенциальных операционных убытков.
Методы минимизации операционного риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.
В целях обеспечения условий для эффективного выявления операционного риска, а также его оценки следует вести аналитическую базу данных о понесенных операционных убытках, в которой отражать сведения об их видах и размерах в разрезе уровней выявления риска, обстоятельств возникновения операционных убытков.
Рекомендуется установить во внутренних документах порядок рассмотрения и расследования фактов операционных убытков и причин их возникновения, периодичность оценки органами управления кредитной организации результатов указанных расследований, а также оценки достигнутого уровня управления операционным риском в кредитной организации.
В целях ограничения операционного риска рекомендуется предусмотреть комплексную систему мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности).
Кредитной организации рекомендуется разработать программу мер, направленную на снижение и минимизацию риска потери ликвидности при использовании СЭБ, включающую в том числе меры:
– по противодействию хищениям денежных средств;
– снижению вероятности возникновения сбоев в работе автоматизированных систем кредитной организации (или меры на случай возникновения таких ситуаций);
– снижению вероятности возникновения сбоев в работе автоматизированных систем провайдеров и других поставщиков услуг (или меры на случай возникновения таких ситуаций).
Во внутренних документах по управлению правовым риском и риском потери деловой репутации с учетом применения СЭБ целесообразно учесть рекомендации, изложенные в Письме Банка России от 30.06.2005 № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».
Во внутреннем документе по управлению правовым риском в области применения ЭБ рекомендуется предусмотреть процедуры выявления, идентификации и оценки рисков, в том числе возникающих по причине:
– несоблюдения требований нормативно-инструктивных документов, регламентирующих банковскую деятельность;
– несовершенства правовой системы;
– несоответствия внутренних документов кредитной организации законодательству Российской Федерации;
– неэффективной организации правовой работы, приводящей к ошибкам в действиях служащих и органов управления кредитной организации при разработке и внедрении новых технологий ЭБ;
– нарушения условий договоров кредитной организацией (включая договоры с клиентами на обслуживание с применением СЭБ и договоры с провайдерами услуг);
– нарушения условий договоров клиентами кредитной организации;
– нарушения условий договоров провайдерами услуг.
В целях снижения риска потери деловой репутации кредитной организации следует предусмотреть процедуры выявления, идентификации и оценки данного риска, в том числе:
– с учетом принципа «знай своего клиента»;
– с учетом принципа «знай своего работника»;
– связанные с содержанием и ведением веб-сайта кредитной организации;
– связанные с обеспечением защиты конфиденциальности клиентской и банковской информации;
– связанные с обеспечением непрерывности функционирования СЭБ.
Во внутренних документах по управлению стратегическим риском в условиях применения СЭБ рекомендуется учесть рекомендации, изложенные в Письме Банка России от 13.09.2005 № 119-Т «О современных подходах к организации корпоративного управления в кредитных