Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
План разработки (приобретения) СЭБ должен представлять собой общий документ, содержащий описание основных процедур, распределение сроков исполнения и ответственности.
Проект плана разработки (приобретения) СЭБ обсуждается членами комитета по технологиям, по результатам обсуждения в план вносятся необходимые корректировки, он одобряется комитетом по технологиям и утверждается куратором по ИТ.
Общий план разработки (приобретения) СЭБ должен доводиться до руководителей всех задействованных в плане подразделений и соответствующих специалистов данных подразделений.
В связи с тем что разработка (приобретение отдельных модулей) СЭБ представляет собой сложный многозадачный последовательный процесс, требующий согласованности с существующими бизнес-процессами в кредитной организации, архитектурой ее внутренних распределенных автоматизированных систем, целесообразным является включение в план пунктов, описывающих отчетные или контрольные мероприятия.
Включение таких контрольных точек позволит руководству кредитной организации, СВК и другим заинтересованным подразделениям контролировать исполнение плана и при необходимости своевременно вносить изменения в те или иные мероприятия.
Контрольные точки следует включать в план таким образом, чтобы они позволяли выделять и объединять функционально и технологически связанные между собой виды работ в группы, поддающиеся автономному анализу или тестированию с целью контроля качества их исполнения.
Например, включение в план непосредственно разработки СЭБ позволит осуществлять тестирование отдельных модулей программного обеспечения и комплексов аппаратного обеспечения значительно раньше этапа контрольных испытаний СЭБ, что даст возможность выявить часть источников рисков, заложенных на первоначальных этапах, и вовремя устранить их.
Немаловажным является детальное распределение ответственности за исполнение плана работ. Такое распределение ответственности может фиксироваться в плане работ, в отдельном документе либо в совокупности распорядительных документов.
Подготовка распределения ответственности возлагается на комитет по технологиям. При подготовке должны учитываться функции задействованных подразделений и обязанности их сотрудников, отраженные во внутренних документах кредитной организации, текущие планы деятельности данных подразделений и другие факторы, влияющие на текущую деятельность подразделений.
Распределение должно включать в себя в том числе перечень подразделений или сотрудников кредитной организации, ответственных:
– за разработку описания комплекса требований (бизнес-требований) к программному обеспечению в рамках СЭБ;
– разработку технопроектной документации к программному и аппаратному обеспечению СЭБ;
– разработку технорабочей документации к программному и аппаратному обеспечению СЭБ;
– разработку программного обеспечения в рамках СЭБ;
– проведение конъюнктурного анализа и приобретение у сторонних организаций-разработчиков программного обеспечения в рамках СЭБ;
– организацию и проведение контрольных испытаний, периодического тестирования, мониторинг возникающих ошибок и сбоев СЭБ;
– сопровождение СЭБ.
Все перечисленные мероприятия являются основой для оценки качества организации этапа планирования реализации СЭБ службами внутреннего аудита и контроля. При этом основными и минимально необходимыми являются следующие вопросы:
– утвержден ли план разработки, внедрения и эксплуатации новой СЭБ?
– утверждены ли приказ, распоряжение или иной документ «Распределение ответственности по проекту»?
– определены ли ответственные за разработку описания комплекса требований (бизнес-требований) к программному обеспечению системы?
– определены ли ответственные за разработку технорабочей документации к программному обеспечению в рамках СЭБ?
– определены ли ответственные за разработку программного обеспечения СЭБ?
– определены ли ответственные за проведение конъюнктурного анализа и приобретение у сторонних организаций-разработчиков программного обеспечения в рамках СЭБ?
– определены ли ответственные за организацию и проведение контрольных испытаний, периодического тестирования, мониторинг возникающих ошибок и сбоев СЭБ?
– определены ли ответственные за сопровождение СЭБ?
7.2.4. Организация (адаптация) процедур внутреннего аудита и контроля на этапе проектирования системы электронного банкинга
Данный этап предусматривает работы, связанные непосредственно с проектированием СЭБ. Они заключаются по большей части в разработке проектной документации, содержащей основные взаимоувязанные проектные решения по системе в целом, ее функциям и всем видам обеспечения СЭБ, достаточные для разработки, наладки и функционирования СЭБ, ее проверки и обеспечения работоспособности.
Учитывая, что СЭБ представляет собой сложное в организационном и технологическом плане решение, значительное внимание следует уделять качеству организации ее документарного обеспечения и качеству самих документов.
Одним из аспектов является систематизация документарной базы, обусловленная потребностью вносить изменения в документы по мере развития системы с учетом их взаимосвязи. В противном случае внесение изменений в отдельные документы может привести к возникновению противоречий с положениями, отраженными в других документах.
В целях систематизации документарного обеспечения СЭБ должен быть разработан перечень необходимой проектной и рабочей документации[126] на СЭБ. Перечень проектной документации утверждается одним из руководителей кредитной организации, курирующим вопросы применения информационных технологий (куратором по ИТ).
К разрабатываемой проектной документации могут относиться следующие документы.
1. Описание постановки комплекса задач или иной подобный документ. Представляет собой комплекс задач или совокупность технических заданий на разработку комплекса программных и аппаратных средств, составляющих информационный контур СЭБ.
Описание постановки комплекса задач может включать в себя:
– информацию об основании разработки СЭБ: указываются документ (документы), на основе которого планируется разработка, а также орган или ответственное лицо кредитной организации, утвердившие данный документ;
– информацию о функциональном назначении будущей системы или модуля СЭБ;
– в основной части документа – требования к системе или модулю СЭБ. Наиболее детально должны быть описаны требования к функциональным характеристикам системы и ее модулей. Подлежат описанию все бизнес-процедуры, связанные с обслуживанием клиентов и соответствующими внутрибанковскими процессами по обработке информации, поступившей от клиентов, и информации задействованных подразделений и функциональных узлов кредитной организации;
– условия эксплуатации СЭБ (кратко), в том числе количество клиентов, которое предполагается подключить к работе с СЭБ на момент ввода ее в эксплуатацию, а также с учетом динамики развития кредитной организации. Должны быть оговорены количество пользователей внутри кредитной организации, периоды функционирования, периоды технического обслуживания и т. д.;
– дополнительно – требования к техническим характеристикам аппаратных средств, совместимости с программным обеспечением, использующимся в деятельности кредитной организации, и т. д.
Описание постановки комплекса задач – основной проектный документ СЭБ, отражающий требования к информационному и функциональному контурам с точки зрения различных аспектов. Данный документ является связующим в комплексе проектной документации: на его основе при необходимости подготавливаются частные технические задания и требования к отдельным элементам информационного контура.
В подготовке описания постановки комплекса задач должны быть задействованы специалисты подразделения – заказчика СЭБ, а также ряд представителей других подразделений, к компетенции которых относятся соответствующие вопросы.
2. Описание системы защиты или иной подобный документ. По содержанию данный документ является частным техническим заданием СЭБ на реализацию процедур и средств информационной безопасности в рамках информационного контура.
Документ должен содержать:
– перечень критически важной информации, обрабатываемой и генерируемой в среде СЭБ;
– перечень технических средств обеспечения информационной безопасности информационного контура СЭБ;
– описание организационных процедур обеспечения информационной безопасности;
– описание технологических средств и систем защиты и обеспечения целостности информации, варианты их сопряжения и функционирования в информационном контуре СЭБ;
– механизм организации парольной защиты, администрирования и систематизации данной работы;
– механизм реализации антивирусной защиты СЭБ.
Приложением к данному документу могут выступать:
– детальное распределение прав и обязанностей внутрибанковских пользователей СЭБ;
– описание их ролей с функциональной точки зрения и прав «владения» определенными массивами информации.
3. Альбом выходных форм или иной подобный документ. Это частный документ, связанный с описанием постановки комплекса задач и содержащий описание всех диалоговых окон и выходных форм СЭБ, доступных как для клиентов кредитной