Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
Другим вариантом может быть периодический мониторинг качества организации работы по обеспечению информационной безопасности и конфиденциальности информации специализированными аудиторскими компаниями. В этом случае в документах, о которых идет речь, может содержаться положение о возможности доступа специалистов СВК или службы информационной безопасности (СИБ) к актам или другим документам, подготовленным аудиторами.
Хорошей практикой является наличие у провайдера собственных СВК и СИБ либо отдельных квалифицированных в данной области специалистов.
Наличие таких специалистов, очевидно, стало бы фактором, повышающим эффективность взаимодействия кредитной организации и провайдера по обозначенным вопросам.
В случае, когда провайдер (в силу финансового состояния или объемов бизнеса) не обладает такими СВК и СИБ, становится очевидной необходимость наличия документов, регламентирующих взаимодействие кредитной организации и провайдера по данным вопросам. Отсутствие у провайдера таких документов и служб является фактором, значительно повышающим риски.
Следует отметить, что основная ответственность перед клиентами за обеспечение информационной безопасности и конфиденциальности клиентской информации ложится на кредитную организацию. Качественная организация взаимодействия с провайдерами является лишь одним из факторов (хотя и значительным) обеспечения «прозрачности» и уменьшения риска нарушения целостности, потери или утечки данных о клиенте и его операциях посредством СЭБ.
Кредитная организация определяет методы обеспечения информационной безопасности и конфиденциальности информации, к которым могут относиться:
1) общий мониторинг источников рисков, связанных с деятельностью провайдера;
2) оценка и мониторинг финансового состояния провайдера, в том числе:
– частоты сменяемости топ-менеджмента;
– текучести кадров;
– стабильности развития бизнеса, частоты изменения основных направлений бизнеса;
– профессиональных навыков и опыта работы ключевых сотрудников в области информационных технологий, непосредственно связанных с особенностями реализации СЭБ;
3) разработка и использование специализированных процедур оценки технологических особенностей провайдера, возможностей его оборудования и т. д.;
4) разработка и использование совместной или согласованной между кредитной организацией и провайдером политики обеспечения информационной безопасности и конфиденциальности информации;
5) разработка и использование процедур, обеспечивающих информирование клиентов кредитной организации о состоянии информационной безопасности и конфиденциальности их данных, о способах противодействия и предупреждения угроз информационной безопасности и конфиденциальности информации и т. д.
Обеспечение непрерывности функционирования СЭБДругим немаловажным фактором, который необходимо учитывать уже на этапе разработки СЭБ, является обеспечение непрерывности ее функционирования, возможности системы быстро восстанавливать свою работоспособность в случае непредвиденных сбоев и других проявлений источников рисков.
Положения в части обеспечения непрерывности функционирования СЭБ рекомендуется включать как в договоры с провайдерами и поставщиками, так и во внутренние документы кредитной организации. Эти положения должны четко разграничивать ответственность за обеспечение непрерывности функционирования системы между кредитной организацией, провайдерами и поставщиками оборудования и программного обеспечения, используемого в составе информационного контура системы.
Например, необходимо отразить следующие моменты:
– конкретные временные ограничения по устранению сбоев и неисправностей в поставленном контрагентами по договору оборудовании или программном обеспечении;
– ответственность провайдера за предоставление резервного канала связи, который может быть задействован в короткие сроки и обеспечивать должное качество связи.
В кредитной организации должны быть разработаны соответствующие внутренние документы, описывающие:
– функции структурных подразделений кредитной организации в части обеспечения непрерывности функционирования СЭБ и процедуры реализации данных функций;
– порядок информирования органов управления кредитной организации и других структурных подразделений, а также клиентов кредитной организации о возникновении нештатных ситуаций, способных привести к нарушению непрерывности функционирования СЭБ, и реализуемых или требуемых мероприятиях, направленных на устранение причин;
– план обеспечения непрерывности и восстановления работоспособности СЭБ;
– методики стресс-тестирования в части непрерывности функционирования СЭБ.
При разработке указанных документов кредитной организации следует учитывать все наиболее вероятные сценарии, способные привести к нарушению непрерывности функционирования СЭБ. К их числу могут относиться:
– сетевые (хакерские) атаки на ресурсы кредитной организации или провайдера;
– механическое нарушение основного и дублирующего каналов связи с провайдером;
– выход из строя сервера баз данных СЭБ;
– выход из строя сервера приложений СЭБ;
– временное отключение электроэнергии в сети;
– отключение резервного источника электропитания СЭБ;
– воздействие компьютерных вирусов на СЭБ или на ее отдельные модули.
Ключевым документом, разработанным в целях обеспечения непрерывности функционирования СЭБ, является план обеспечения непрерывности и восстановления работоспособности системы. Такой план должен основываться на перечне наиболее критичных для работоспособности СЭБ воздействий.
В целях обеспечения эффективности плана данные воздействия могут быть классифицированы по степени возможного материального ущерба кредитной организации и ее клиентам, а также по вероятности их возникновения.
В отношении каждого из видов возможного воздействия на СЭБ план должен предусматривать соответствующие действия кредитной организации, ее клиентов и провайдеров. Наиболее подробно должны быть прописаны внутренние восстановительные процедуры самой кредитной организации с описанием действий ее внутренних подразделений, а также с указанием временных параметров осуществления данных процедур.
Помимо процедур восстановления работоспособности СЭБ план должен предусматривать процедуры по организации проведения операций клиентов альтернативными способами (без использования СЭБ) в наиболее короткие сроки.
Процедуры, регламентированные планом, должны учитывать зафиксированное в договорах с поставщиками программного обеспечения и оборудования распределение ответственности.
Качественная разработка плана должна учитывать возможные действия в целях реагирования на сбои не только кредитной организации, но и провайдеров, а также возможности оперативного привлечения к устранению неисправностей других организаций, оказывающих сервисные услуги в области информационных технологий.
Помимо плана обеспечения непрерывности функционирования СЭБ в кредитной организации должны быть регламентированы:
– способы мониторинга СЭБ, ее внешней и внутренней среды с целью выявления и предупреждения воздействий, способных нарушить непрерывность функционирования системы;
– методики оценки ущерба (материального и нематериального) в случае негативных воздействий или кризисных ситуаций;
– процедуры и рекомендации по уведомлению клиентов в случае нарушения непрерывности функционирования СЭБ.
Целесообразно создать в кредитной организации службу поддержки клиентов в части функционирования СЭБ.
Антикризисная комиссияТакже в целях координации деятельности структурных подразделений в условиях возникновения сбоя и приостановки работы СЭБ (в соответствии с закрепленными за ними функциями по устранению нарушений в работе СЭБ и организации альтернативных способов проведения операций) в кредитной организации распоряжением ее руководства может быть сформирована антикризисная группа или комиссия из руководителей соответствующих подразделений, в состав которой могут входить руководители:
– службы информационных технологий;
– службы информационной безопасности;
– службы операционной работы;
– службы хозяйственного обеспечения;
– службы по связям с общественностью;
– юридической службы;
– других служб (при необходимости).
Основными задачами членов комиссии являются правильная классификация нештатных ситуаций[127] и выбор процедур реагирования в соответствии с планом обеспечения непрерывности функционирования СЭБ.
Так, например, право наделять отрицательное воздействие внешнего фактора на деятельность банка статусом «кризисная ситуация» и предлагать соответствующие процедуры предоставляется:
– по вопросам электроснабжения – члену антикризисного комитета, руководителю службы хозяйственного обеспечения;
– по вопросам качества систем связи – члену антикризисного комитета, начальнику управления информатики;
– по вопросам репутационного риска – члену антикризисного комитета, руководителю службы по связям с общественностью;
– по вопросам возникших правовых коллизий, связанных с обслуживанием клиентов посредством СЭБ, – руководителю юридической службы и т. д.
Окончательное решение о работе банка по антикризисному плану принимает председатель антикризисной комиссии. То есть поддержка функционирования банка в нештатной ситуации в соответствии с ее характером, координация деятельности структурных подразделений, руководителей и отдельных сотрудников возлагаются на председателя антикризисной комиссии.
Условием для принятия такого решения является наступление события, квалифицируемого как кризисная ситуация.
Председателем антикризисной комиссии может быть либо руководитель кредитной организации, либо