Книги онлайн и без регистрации » Разная литература » Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 ... 45 46 47 48 49 50 51 52 53 ... 113
Перейти на страницу:
организациях».

Кредитным организациям, планирующим оказание клиентам трансграничных банковских услуг посредством СЭБ, рекомендуется предварительно изучить дополнительные источники (факторы) банковских рисков, связанные с нарушением законодательства зарубежных государств, а также возможности учета факторов риска, относящихся к той или иной стране или юрисдикции.

7.2. Организация (адаптация) процедур внутреннего аудита и контроля в части системы электронного банкинга

– Почему собака виляет хвостом?

– Потому что собака умнее хвоста.

Если бы хвост был умнее, то он бы сам вилял собакой.

Цитата из фильма Wag the Dog («Хвост виляет собакой»)

Относительно рекомендаций об организации (адаптации) процедур внутреннего аудита и контроля в части использования технологий ЭБ необходимо учитывать, что они основываются на рекомендации БКБН о непригодности единого подхода к решению вопросов управления рисками в области ЭБ по причине специфичности архитектуры внутрибанковских распределенных компьютерных систем, а соответственно и профиля сопутствующих рисков для каждой кредитной организации, методов и средств внутреннего контроля.

Существенной необходимостью для кредитных организаций является самостоятельный индивидуальный учет всех особенностей реализации своих или приобретенных и интегрированных в уже имеющиеся банковские автоматизированные системы программно-аппаратных комплексов ЭБ.

В большинстве кредитных организаций, применяющих СЭБ, обобщенное описание совокупности процедур внутреннего контроля должно учитывать основные особенности содержания и выполнения функций внутреннего контроля в данной кредитной организации.

Такая обобщенная реализация (адаптация) процедур внутреннего контроля может базироваться на модели непрерывного циклического процесса менеджмента (модели Деминга)[125] и предполагать разбиение стадий модели на этапы жизненного цикла СЭБ, часто выделяемые при разработке и использовании таких систем. Составляющие комплекса процедур внутреннего контроля могут быть реализованы на следующих этапах жизненного цикла СЭБ (рис. 40):

– этапе обоснования проекта СЭБ;

– этапе принятия решения о новом проекте СЭБ;

– этапе планирования реализации СЭБ;

– этапе проектирования СЭБ;

– этапе разработки СЭБ;

– этапе испытаний, сдачи и приемки в эксплуатацию СЭБ;

– этапе эксплуатации СЭБ;

– этапе вывода из эксплуатации СЭБ.

Рис. 40. Жизненный цикл СЭБ

Подразумевается, что доработка и модификация СЭБ должны осуществляться после обоснования проекта, в связи с чем в жизненном цикле не выделяется отдельный этап доработки и модификации.

С одной стороны, специфика адаптации процедур внутреннего аудита и контроля к условиям эксплуатации СЭБ в кредитных организациях должна обеспечивать непрерывность процесса внутреннего контроля на всех участках информационного контура СЭБ, во всех задействованных в работе СЭБ структурных подразделениях кредитной организации, а также должна охватывать ее взаимодействие:

– с клиентами (как юридическими, так и физическими лицами), использующими СЭБ;

– контрагентами, к которым могут быть отнесены провайдеры (организации, предоставляющие кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающие доступ к информационно-телекоммуникационным сетям), поставщики программного обеспечения и оборудования, задействованного в информационном контуре СЭБ, а также другие сторонние организации, например обеспечивающие консультационные услуги в части ЭБ, ремонтно-настроечные услуги модулей или СЭБ, продвигающие услуги кредитной организации в форме ЭБ на рынке банковских услуг среди юридических лиц и населения посредством специализированных маркетинговых пиар-акций и программ.

С другой стороны, с учетом всех указанных особенностей внутреннего аудита и контроля необходимо распределять его процедуры по соответствующим этапам жизненного цикла СЭБ.

7.2.1. Организация процедур внутреннего аудита и контроля на этапе обоснования нового проекта системы электронного банкинга

Содержание этапа обоснования нового проекта СЭБ, как и любой другой электронной технологии, заключается в осознании экономической целесообразности реализации определенных, уже существующих или планируемых, функций и услуг кредитной организации посредством технологии ДБО.

В основе осознания целесообразности могут лежать:

– очевидное снижение затрат на осуществление соответствующих банковских операций;

– экономия времени кредитной организации на обработку внутренних документов и документов клиентов;

– увеличение числа потенциальных клиентов за счет преодоления географических ограничений и связанного с этим снижения затрат на открытие филиалов и дополнительных офисов, представительств кредитной организации;

– дополнительная самореклама, продвижение индивидуальных преимуществ кредитной организации.

С организационной точки зрения должны быть четко определены инициатор или группа инициаторов (коллегиальный инициатор) внедрения в практику кредитной организации СЭБ. Группа инициаторов должна состоять из конечного числа специалистов или структурных подразделений.

Инициатор в данном случае выступает в роли заказчика СЭБ и выполняет соответствующие функции на всех последующих этапах вплоть до приема системы в эксплуатацию.

Функции заказчика на первоначальном этапе заключаются в формализации идеи в виде документарно оформленной заявки на разработку СЭБ.

Заявка не является детализированным заданием на разработку, которое должно быть подготовлено на последующих этапах, а представляет собой краткое обоснованное описание необходимости разработки или приобретения СЭБ.

Заявка должна отражать основные цели реализации такой системы, определять круг задач, решение которых может быть более эффективным с использованием системы, и иметь краткое экономическое, функциональное и технологическое обоснование.

Обоснование является исходным материалом, необходимым для принятия соответствующим полномочным органом кредитной организации решения относительно целесообразности реализации СЭБ, и поэтому должно максимально полно отражать все аспекты нововведения.

Если экономическое и функциональное обоснование составляется заказчиком системы, то технологическое обоснование является приложением к заявке и составляется структурным подразделением кредитной организации, ответственным за эксплуатацию информационных систем.

В случае отсутствия такого специализированного подразделения технологическое обоснование может подготовить специально созданная для данной цели рабочая группа из специалистов различных подразделений, задачи которых связаны с автоматизацией деятельности.

Чтобы исключить конфликт интересов, важно нормативно закрепить за таким подразделением функции экспертизы заявок на развитие информационных систем и подготовки технологического обоснования.

Итоговое обоснование должно отражать различные аспекты возможного применения ЭБ, в том числе такие, как:

– оценка возможности (технологичности и удобства) интеграции с действующими автоматизированными системами. Такую возможность необходимо оценивать с учетом планов развития действующих в банке автоматизированных систем: их доработки, замены и т. д. В противном случае обоснование может оказаться объективным в конкретный момент и недостоверным в ближайшие последующие периоды, что может привести к стратегически неверным решениям руководства кредитной организации на следующем этапе – этапе принятия решения о новом проекте СЭБ;

– адекватная организация распределения информационных ресурсов, определение круга подразделений, которые могут быть задействованы в реализации и последующей эксплуатации СЭБ, сопоставление с имеющимися штатными ресурсами и организационной структурой кредитной организации. Необходимо также оценить основные роли и распределение прав доступа с точки зрения соответствия действующей в кредитной организации политике информационной безопасности (ПИБ) и т. д.;

– оценка стоимости разработки, внедрения и сопровождения СЭБ. Следует учитывать, что СЭБ может быть приобретена у сторонней организации-разработчика или поставщика, представляющего интересы разработчика, как целиком, так и в виде отдельных модулей и технических средств либо разработана кредитной организацией (при этом приобретается только соответствующее оборудование). В последнем случае может потребоваться увеличить штатную численность специалистов подразделения автоматизации. В обосновании может быть также отражена информация об объеме затрат, связанных с модернизацией СЭБ, и т. д.;

– оценка трудоемкости и сроков исполнения всех работ, связанных с разработкой (закупкой) и внедрением СЭБ. Такая оценка должна основываться на штатном расписании кредитной организации, принятых нормах и внутренних правилах осуществления подобных работ;

– общий перечень рисков и их источников, с которыми может столкнуться кредитная организация, используя СЭБ, и которым необходимо будет уделять внимание на всех этапах жизненного

1 ... 45 46 47 48 49 50 51 52 53 ... 113
Перейти на страницу:

Комментарии
Минимальная длина комментария - 20 знаков. В коментария нецензурная лексика и оскорбления ЗАПРЕЩЕНЫ! Уважайте себя и других!
Комментариев еще нет. Хотите быть первым?