коммерции, а также предполагаемого темпа восприимчивости клиентами услуг и видов обслуживания в области электронного банкинга[125];

оценки производительности обработки транзакций в рамках электронного банкинга сделаны, проверены при максимальной нагрузке и периодически пересматриваются;

имеются в наличии и регулярно проверяются соответствующие планы по поддержанию непрерывности деловых операций и действий при непредвиденных обстоятельствах для критических систем обработки и доведения услуг в рамках электронного банкинга».

Принцип 14. Следует разработать должные планы реагирования на случайные происшествия для выявления, учета и минимизации проблем, обусловленных неожиданными событиями, включая внутренние и внешние атаки, которые могут ухудшить обеспечение систем и видов обслуживания в рамках электронного банкинга.

Эффективные механизмы реагирования, как сказано в тексте, «на случайные происшествия» являются принципиально важными для минимизации уровней как минимум операционного, правового и репутационного рисков (а в связи с ними, возможно, и стратегического риска), обусловливаемых неожиданными, хотя и предсказуемыми событиями, такими как внутренние и внешние сетевые атаки, которые могут оказать влияние на функционирование систем и предоставление услуг электронного банкинга. Поэтому указывается, что «банкам следует разработать соответствующие планы реагирования на случайные происшествия, включая стратегию обеспечения связи, которая гарантирует непрерывность деловых операций, контроль над репутационным риском и ограничивает обязательства, ассоциируемые с прерыванием осуществляемого ими обслуживания в рамках электронного банкинга, включая те, которые связаны с использованием систем и операций в рамках заказной обработки».

В связи с изложенным выше кредитным организациям целесообразно в обеспечение «эффективного реагирования на непредвиденные происшествия сформировать:

планы реагирования на происшествия, описывающие восстановление систем и обслуживания в области электронного банкинга для различных сценариев, деловых операций и географических зон. Анализ сценариев развития событий должен включать рассмотрение вероятности возникновения риска и его влияния на конкретный банк. Системы электронного банкинга, которые переданы сторонним провайдерам услуг, должны учитываться в таких планах, как неотъемлемая часть;

механизмы оперативного выявления происшествий или кризисных ситуаций, оценивания их материального эффекта и контроля над репутационным риском, ассоциируемым с любым прерыванием в обслуживании;

стратегию обеспечения связи для адекватного реагирования на внешние проблемы рыночного или информационного характера, которые могут возникнуть в случае нарушений безопасности, онлайновых атак и (или) отказов систем электронного банкинга;

четкий процесс, организованный для уведомления соответствующих регулятивных органов в случае происшествий, связанных с реальным ущербом безопасности или прерыванием работы;

группу реагирования на происшествия, наделенную полномочиями экстренного реагирования и имеющую достаточную подготовку в части анализа систем выявления/парирования происшествий и оценивания значимости связанных с ними результатов;

четкую последовательность обязательных действий, охватывающую как внутренние, так и заказные операции, чтобы гарантировать, что осуществляются должные действия, соответствующие значимости происшедшего. Кроме того, следует разработать процедуры распространения сведений, а также учесть информирование совета банка в случае необходимости;

процесс, гарантирующий, что все имеющие отношение к делу внешние участники, включая клиентов банка, контрагентов и информационные органы, будут правильно и своевременно информированы о реальных прерываниях в операциях электронного банкинга и о работах по восстановлению данной деятельности;

процесс для сбора и накопления учитываемых в судебных разбирательствах свидетельств, в обеспечение должного последующего анализа любого происшествия в связи с операциями электронного банкинга, а также для содействия судебному преследованию нарушителей».

В приложениях к рассмотренному документу БКБН приводятся рекомендации по внедрению описанных принципов и практические примеры надежной организации:

— в помощь обеспечению безопасности операций электронного банкинга;

— при управлении внешними системами электронного банкинга и другими зависимостями от сторонних организаций;

— управления внешними системами электронного банкинга и другими зависимостями от сторонних организаций;

— обеспечения наличия точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга;

— обеспечения конфиденциальности клиентской информации в рамках осуществления электронного банкинга;

— и правильной организации планирования производительности, непрерывности операций и действий в случае чрезвычайных обстоятельств.

Эти примеры, как и содержание самого материала[126], могут быть использованы руководством и персоналом высокотехнологичных кредитных организаций для усовершенствования УБР и снижения их уровней, а следовательно, для повышения технологической надежности банковской деятельности.

Аналогичный, но более детализированный подход использован в упоминавшемся в начале книги Письме 36-Т, где в разделе 1 определены семь основных целей разработки рекомендаций Банка России (п. 1.2), непосредственно относящихся к гарантиям надежности банковской деятельности и касающиеся базовых характеристик банковской деятельности, а именно, обеспечения:

«надежного дистанционного банковского обслуживания с применением систем интернет-банкинга, отвечающего требованиям клиентов кредитной организации в части доступности, функциональности и защищенности операций и данных интернет-банкинга;

соответствия дистанционного банковского обслуживания с применением систем интернет-банкинга требованиям законодательства Российской Федерации, в том числе нормативных актов Банка России, по вопросам банковской деятельности и управления банковскими рисками;

информационной безопасности систем интернет-банкинга, в том числе защиты информационных ресурсов кредитной организации от неправомерного доступа с применением интернет-технологий;

контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет- банкинга, в рамках системы внутреннего контроля кредитной организации;

противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключению вовлечения кредитной организации в противоправную деятельность при использовании дистанционного банковского обслуживания с применением систем интернет-банкинга;

достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;

поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем интернет-банкинга, в пределах, установленных кредитной организацией».

Там же, в разделе 4, определяется минимально необходимый состав внутрибанковских документов, в которых целесообразно постулировать основные принципы УБР, непосредственно связанные с применением ДБО. Прежде всего внимание специалистов кредитных организаций обращается на то, что целесообразно определить (описать) все технологические участки информационного контура интернет-банкинга, подлежащие учету при адаптации управления рисками банковской деятельности в новых условиях (п. 4.1). Также желательно проанализировать содержание организационного и информационного взаимодействия с клиентами и провайдерами кредитной организации, с позиций учета потенциальных источников этих рисков в случае наличия недостатков в этом содержании. Наконец, уместно оценить зависимость состава факторов и источников риска для кредитной организации от функционирования комплекса АПО ДБО. Считается, что подобный анализ позволит выделить как минимум основные потенциальные уязвимости кредитной

Добавить отзыв
ВСЕ ОТЗЫВЫ О КНИГЕ В ИЗБРАННОЕ

0

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Отметить Добавить цитату