Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
– оценка информационной безопасности.
Обоснование проекта СЭБ должно представлять собой документ общего характера, не предполагающий глубокой детализации всех рассматриваемых аспектов. Вместе с тем информация, изложенная в данном документе, должна быть достаточной для объективного, взвешенного принятия решения.
После составления заявки и обоснования по проекту документы визируются руководителем подразделения-заказчика или группой руководителей соответствующих подразделений.
Все отмеченные аспекты являются основой для оценки качества организации этапа обоснования нового проекта СЭБ службами внутреннего аудита и контроля. При этом основными и минимально необходимыми являются следующие вопросы:
1. Начинается ли процедура принятия решения о внедрении нового проекта (модернизации) СЭБ с формирования подразделением-заказчиком документарно оформленной заявки на разработку (доработку) СЭБ?
2. Наделено ли подразделение информатизации (или иное подразделение) функциями анализа поступивших заявок и подготовки обоснования по проекту или иного аналитического документа по итогам рассмотрения заявки?
3. Производится ли (и отражается ли в обосновании по проекту) ответственным подразделением (специалистом) анализ заявки в части необходимости реализации нового проекта, в том числе с точки зрения:
– технологичности и удобства эксплуатации готового решения?
– информационной безопасности, необходимости и достаточности прав доступа для пользователей потенциальной разработки?
– стоимости внедрения и сопровождения?
– трудоемкости, сроков реализации и внедрения?
– выявления и парирования источников внутренних и внешних рисков, сопутствующих внедрению и эксплуатации проекта?
4. Согласуется ли документ «Обоснование по проекту» с руководителями подразделения информатизации и подразделения-заказчика?
7.2.2. Организация процедур внутреннего аудита и контроля на этапе принятия решения о новом проекте системы электронного банкинга
Содержание данного этапа предполагает детализированный анализ всей информации, подготовленной на этапе обоснования нового проекта СЭБ, с целью принятия взвешенного, объективного стратегического решения о целесообразности реализации системы.
С точки зрения достижения объективности и обеспечения всестороннего анализа необходимости внедрения и использования кредитной организацией СЭБ видится целесообразной организация коллективного совещательного органа – так называемого комитета по технологиям, функциональное назначение которого заключается в анализе всего массива информации (заявки и обоснования по проекту) и принятии соответствующего решения.
Комитет по технологиям или иной коллегиальный орган с обозначенными функциями может быть сформирован решением СД (наблюдательного совета) как действующий на постоянной основе либо формироваться избирательно (в зависимости от масштаба рассматриваемого вопроса) на временной основе.
И в том, и в другом случае решение о формировании комитета по технологиям закрепляется документарно.
В состав комитета по технологиям могут входить представители:
– подразделения автоматизации;
– подразделения информационной безопасности;
– подразделения управления банковскими рисками;
– юридической службы;
– СВА и СВК;
– коллегиального органа управления кредитной организацией (правления).
Исходя из основной функции комитета по технологиям (выработка коллективного решения рекомендательного характера о целесообразности внедрения и эксплуатации той или иной автоматизированной системы или о ее значительной доработке) хорошей практикой является формирование этого органа из руководителей соответствующих подразделений.
Обязанности по координации деятельности комитета возлагаются на представителя коллегиального органа управления кредитной организацией. При этом предполагается, что такой член правления обладает знаниями и навыками (имеет соответствующее образование или опыт руководящей работы) в области построения и эксплуатации распределенных компьютерных систем, программного и аппаратного обеспечения.
В соответствии с рекомендациями БКБН на такого руководителя могут быть возложены функции координации работы подразделений автоматизации, то есть функции куратора по информационным технологиям.
Предполагается, что деятельность комитета по технологиям регламентируется внутренним банковским документом, который определяет порядок проведения заседаний комитета и содержит следующие данные:
– численный и персональный состав комитета;
– периодичность проведения заседаний;
– круг рассматриваемых вопросов;
– распределение ответственности между членами комитета;
– порядок взаимодействия со структурными подразделениями кредитной организации;
– порядок взаимодействия со сторонними организациями (оказывающими консультационные и аудиторские услуги);
– порядок ознакомления членов комитета с заявкой на проект разработки (доработки) и внедрения в эксплуатацию автоматизированных систем, в том числе СЭБ;
– порядок ознакомления членов комитета с экономическим и технологическим обоснованием по проекту разработки (доработки) и внедрения в эксплуатацию автоматизированных систем, в том числе СЭБ;
– порядок и форма документирования результатов рассмотрения вопросов, входящих в компетенцию комитета.
Заседания комитета по технологиям должны проводиться своевременно, а также обеспечивать объективность и полноту анализа рассматриваемых вопросов. Одним из вариантов может быть формирование отдельного графика работы комитета по технологиям, согласующегося с планами перспективного развития автоматизированных технологий в кредитной организации и планами работы основных подразделений.
Круг вопросов, рассматриваемых комитетом по технологиям, должен позволять осуществлять полноценный анализ заявки на разработку (доработку) автоматизированной системы. К числу таких вопросов должны относиться:
– планирование развития автоматизированных систем кредитной организации;
– сопряжение и взаимодействие различных автоматизированных систем кредитной организации;
– экономический анализ работы комплекса автоматизированных систем кредитной организации, в том числе СЭБ;
– анализ и оценка процессов, работ, трудовых ресурсов, требуемых для реализации планируемой автоматизированной системы;
– информационная безопасность использования автоматизированных систем во взаимодействии между собой;
– оценка потенциальных рисков, связанных с возможной эксплуатацией СЭБ и других автоматизированных систем, с учетом их взаимодействия с внутренней и внешней средой кредитной организации.
В целях обеспечения полноценной работы комитета по технологиям все его члены предварительно должны быть ознакомлены с заявкой на разработку (доработку) и эксплуатацию СЭБ, а также с экономическим и технологическим обоснованиями по проекту. Одним из вариантов документарного оформления такого ознакомления может быть собственноручная подпись члена комитета по технологиям на документе.
После ознакомления с заявкой и обоснованием по проекту комитет по технологиям приступает к обсуждению проекта СЭБ.
В случае необходимости обсуждения значительного числа вопросов, требующих глубокого изучения, например при обсуждении нового проекта СЭБ, члены комитета по технологиям в соответствии с распределением полномочий и ответственности подготавливают краткие заключения, содержащие основные выводы по каждому направлению и варианту реализации СЭБ.
Заседание комитета по технологиям протоколируется. В протоколе также отражаются принятые решения относительно целесообразности разработки (приобретения) и эксплуатации СЭБ, о варианте ее реализации. Протокол визируется всеми членами комитета по технологиям, принимавшими участие в заседании, и утверждается куратором по информационным технологиям.
Все отмеченные выше аспекты деятельности кредитной организации являются основой для оценки качества организации этапа принятия решения о новом проекте СЭБ службами внутреннего аудита и контроля. При этом основными и минимально необходимыми являются следующие вопросы:
1. Предусмотрен ли в кредитной организации коллегиальный или иной орган, ответственный за рассмотрение заявок на новые разработки (доработки) и за решение вопроса о необходимости реализации нового проекта (например, комитет по технологиям)?
2. Входят ли в состав комитета по технологиям:
– куратор по информационным технологиям?
– представитель подразделения информационной безопасности?
3. Разработан ли и утвержден ли документ (регламент комитета по технологиям), регламентирующий порядок проведения заседаний комитета?
4. Предусмотрено ли регламентом комитета по технологиям ознакомление с заявкой и обоснованием по проекту?
5. Предусмотрена ли регламентом комитета по технологиям оценка необходимости реализации проекта с учетом приоритетов, определенных в Стратегии по внедрению информационных технологий (или стратегическом плане по информационным технологиям) банка?
6. Предусмотрена ли регламентом комитета по технологиям оценка вариантов реализации проекта с учетом анализа:
– технологичности и удобства эксплуатации готового решения?
– интегрируемости с информационной системой банка?
– информационной безопасности?
– стоимости внедрения и сопровождения?
– трудоемкости, сроков реализации и внедрения?
– выявления и парирования источников внутренних и внешних рисков, сопутствующих внедрению и эксплуатации проекта?
7.2.3. Организация (адаптация) процедур внутреннего аудита и контроля на этапе планирования реализации системы электронного банкинга
Содержание этапа планирования реализации СЭБ предполагает проработку системы планов и распределения