Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

Чтобы повысить эффективность плана обеспечения непрерывности функционирования системы, мероприятия, направленные на обеспечение непрерывности ее функционирования, необходимо разрабатывать на основе результатов стресс-тестирования – процедур, позволяющих оценить качественное и количественное влияние наиболее вероятных источников рисков на основные показатели функционирования кредитной организации.

Процедуры стресс-тестирования могут учитывать функционирование как отдельных участков информационного контура СЭБ (например, внешних участков – аппаратных и программных средств клиентов кредитной организации или ее провайдеров; внутренних участков – автоматизированного рабочего места операциониста, контролера, администратора системы и т. д.), так и информационного контура в целом.

При этом в процедурах стресс-тестирования могут использоваться простейшие сценарии, когда анализируется воздействие одного или нескольких факторов (источников) рисков. Следует отметить, что использование простейших сценариев целесообразно в отношении отдельных сегментов или элементов информационного контура СЭБ, части ее функциональных возможностей.

Предпочтительно использовать комплексные сценарии, что значительно расширяет анализ потенциального воздействия источников рисков и позволяет получить более объективные результаты.

Достоверная оценка потенциального комплексного воздействия основных источников рисков на функционирование СЭБ значительно повышает качество разрабатываемых процедур реагирования на такое воздействие в целях обеспечения непрерывности или восстановления функционирования системы.

Относительно разработки типовых договоров с клиентами на обслуживание посредством СЭБ следует отметить, что для минимизации правового и репутационного рисков целесообразно унифицировать договоры на подключение к СЭБ. При такой унификации нужно учитывать, что различным клиентам могут быть предоставлены неодинаковые права и возможности, что делает необходимой разработку соответствующих типовых договоров.

Помимо типовых форм договора могут быть разработаны типовые формы заявлений:

– на предоставление услуг посредством СЭБ;

– изменение вариантов обслуживания.

В общем случае договор на подключение и обслуживание в СЭБ между кредитной организацией и ее клиентом может содержать следующие положения:

– предмет договора;

– права и обязанности сторон;

– ответственность сторон;

– стоимость услуг;

– срок действия договора;

– прочие условия.

В разделе, раскрывающем предмет договора, могут оговариваться:

– перечень и объем предоставляемых услуг;

– возможность и порядок изменения вариантов обслуживания;

– порядок проведения расчетных операций в электронной форме по открытому клиентом в банке счету;

– способ передачи кредитной организацией клиенту необходимых программных или аппаратных средств, в том числе используемых для генерирования ключей электронной цифровой подписи, состав передаваемых программных и аппаратных средств;

– способы обмена электронными документами между кредитной организацией и клиентом.

В разделе, посвященном правам и обязанностям сторон, могут быть раскрыты:

– обязанность банка обеспечивать возможность передачи электронных документов в СЭБ по указанным клиентом адресам;

– перечень случаев, в которых банк имеет право не исполнять электронные документы клиента;

– порядок уведомления клиента об изменении размера и условий платы за использование СЭБ;

– обязанность клиента своевременно и надлежащим образом формировать и передавать электронные документы;

– обязанность клиента своевременно и надлежащим образом генерировать секретный ключ и не передавать его третьим лицам, а при его компрометации незамедлительно письменно известить банк для прекращения работы;

– порядок уведомления банка клиентом о намерении изменить вариант обслуживания в СЭБ.

В разделе, посвященном ответственности сторон, в рамках действующего законодательства детально раскрывается ответственность клиентов и кредитной организации. В том числе в раздел могут быть включены положения, согласно которым:

– в случае нарушения договора и других документов, определяющих правила взаимодействия банка и клиента посредством системы, ответственность за последствия несет сторона, которая допустила эти нарушения. При этом каждая сторона не несет ответственности за убытки, понесенные другой стороной не по вине первой в результате использования СЭБ, в том числе при исполнении ошибочных платежных электронных документов, если эти документы надлежащим образом клиентом оформлены и переданы, а кредитной организацией получены, проверены и признаны верными;

– клиент несет ответственность за правильность формирования документов, их достоверность и срочность передачи их банку;

– устанавливаются пределы ответственности кредитной организации за невыполнение своих обязательств по договору с клиентом вследствие ситуаций, влияние кредитной организации на которые ограничено (отключения напряжения в электросети, повреждения линий связи с провайдером и подобных), при этом должен быть приведен перечень таких ситуаций;

– разграничена ответственность в случае, если информация, передаваемая сторонами друг другу через электронную почту, стала доступна третьим лицам либо если ущерб возник из-за составляющей СЭБ, находящейся вне непосредственного контроля кредитной организации.

В отношении проектной документации, в соответствии с которой разрабатывается и монтируется СЭБ, следует иметь в виду, что на этапе разработки в изначальный проект системы по различным причинам могут вноситься изменения, связанные с усовершенствованием отдельных функций или технологических решений. Данные изменения должны сопровождаться корректировкой проектной документации, подготовленной на предыдущем этапе.

Все изменения, вносимые в проектную документацию, должны предварительно анализироваться комитетом по технологиям кредитной организации в рамках текущей работы по проекту СЭБ на предмет:

– выявления и парирования факторов рисков;

– совместимости, согласованности с технологическими решениями на других участках СЭБ;

– информационной безопасности;

– экономической целесообразности.

Все вносимые в проектную документацию изменения утверждаются решением комитета по технологиям или куратором по ИТ.

На этапе разработки СЭБ, как и на этапе ее проектирования, значительное внимание следует уделять качеству организации документарного обеспечения системы в части эксплуатационной документации.

На этапе планирования СЭБ должны быть определены специалисты или подразделения, ответственные за подготовку данной документации.

В целях систематизации эксплуатационной документации на этапе планирования составляется перечень документации, который утверждается решением комитета по технологиям либо куратором по ИТ.

К разрабатываемой эксплуатационной документации могут относиться:

– спецификация программных средств и модулей СЭБ;

– спецификация аппаратных средств СЭБ;

– инструкция по эксплуатации комплекса технических средств;

– руководство по установке и настройке компонентов СЭБ;

– руководство по сопровождению программного обеспечения СЭБ;

– руководство пользователей компонентов СЭБ.

Первые два документа аналогичны «Описанию комплекса технических средств» или иному подобному документу, разрабатываемому на этапе проектирования. Данные документы также представляют собой детальное описание перечня программных и аппаратных средств, фактически используемых в составе информационного контура СЭБ, с учетом всех доработок в проектной документации и информационном контуре, внесенных на этапе разработки.

Инструкция по эксплуатации комплекса технических средств представляет собой документ, содержащий в соответствии со спецификацией программных средств и модулей и спецификацией аппаратных средств СЭБ описание основных особенностей, допустимого режима работы программных и аппаратных средств в составе информационного контура СЭБ, требования к необходимым для данного программного обеспечения техническим средствам, общие характеристики входной и выходной информации, а также требования и условия организационного, технического, технологического характера и т. п.

Руководство(а) по установке и настройке представляет собой один или несколько документов, содержащих описание процессов:

– установки серверного программного обеспечения (формирования баз данных, программного обеспечения, обслуживающего работу баз данных о клиентах и об их операциях, и т. д.);

– установки и настройки программного обеспечения в части автоматизированных рабочих мест (АРМ) специалистов кредитной организации, в том числе операционных работников, контроллера операций, администратора СЭБ, администратора информационной безопасности СЭБ; программных модулей и комплексов, обеспечивающих взаимодействие информационного контура СЭБ с другими банковскими автоматизированными системами; другого специализированного программного обеспечения;

– настройки аппаратного обеспечения информационного контура.

Все особенности настройки программного и аппаратного обеспечения СЭБ, описываемые в данном документе, должны соответствовать положениям, отраженным в инструкции по эксплуатации комплекса технических средств.

Руководство по сопровождению программного обеспечения СЭБ – документ, представляющий собой перечень и описание инструкций