клавиатуры (тастатуры), то перед завершающим этапом операции от БАС или СЭБ кредитной организации может передаваться сеансовый код, допустим, на мобильный телефон. Схемы такого рода (системы опознавания), широко известные в оборонной тематике, повышают защищенность интересов клиента и ДБО в целом.
Помимо изложенного необходимо отметить, что история развития ДБО в российском банковском секторе (особенно в последние три года) богата претензиями клиентов к кредитным организациям, специалистам и руководителям которых приходится при разборе конфликтных ситуаций объяснять, к примеру, что:
— технические проблемы с инсталляцией дистрибутива и управлением СЭБ необходимо решать с помощью службы технической поддержки кредитной организации или ее сервис-центром, а не со случайными специалистами;
— никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе;
— необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев, какого бы доверия они ни заслуживали;
— пользоваться только и исключительно теми средствами и каналами связи (информационного взаимодействия), которые указаны в официальных документах кредитной организации;
— своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации;
— при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона;
— перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.
Все перечисленное и еще многое сверх того (в зависимости от разновидности системы ДБО) лучше сообщать заранее, требуя от клиента при этом расписываться на каждом листе договора в двух экземплярах, а не только на последнем. Информацию такого же рода целесообразно размещать в офисах кредитной организации, на ее web-сайтах, в рекламных буклетах и т. п.
5.9. Адаптация плана действий в чрезвычайных обстоятельствах
Непосредственных требований к содержанию плана действий персонала кредитных организаций в чрезвычайных обстоятельствах и использованию этого плана до настоящего времени не выработано и в отечественной законодательной базе, регламентирующей банковскую деятельность, не содержится. Косвенно о них (в форме рекомендаций, через требования к ВК) можно судить по тексту Положения 242-П, в котором сказано:
«3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.
Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения приведены в приложении 5 к настоящему Положению».
В указанном приложении описывается, по сути, подход к определению содержания и организации процесса поддержания доступности информационно-процессинговых ресурсов кредитной организации в условиях возникновения чрезвычайных обстоятельств, который состоит из процедур разработки, согласования, утверждения, пересмотра и проверки (тестирования) упомянутого плана. Анализ положений этого документа не относится к тематике настоящей книги, тем более что многие из них являются универсальными в плане применения к любым банковским автоматизированным системам, поэтому ниже будут сделаны только несколько замечаний относительно специфики использования содержащихся в нем рекомендаций в условиях внедрения и последующего развития кредитной организацией ДБО.
За рубежом рассматриваемые планы действий обычно подразделяются на две части: обеспечение непрерывности бизнеса и восстановления после чрезвычайной ситуации [179], которые интерпретируются как совокупности мер по предотвращению негативного воздействия потенциально угрожающих надежности банковской деятельности обстоятельств и парированию их последствий, если требуемую надежность обеспечить все же не удалось. Для определения показателей надежности устанавливаются значения, характеризующие допустимые рамки для интервалов прекращения операций. Это, как правило, высокие вероятностные значения порядка 0,95—0,97. Исходя из этих цифр и положений известной теории надежности определяются требования к схемам резервирования оборудования, включая каналы (линии связи), способам, средствам и времени восстановления работоспособности, ее показателям и т. п. Тестирование планов действий кредитных организаций в чрезвычайных обстоятельствах является типичным процессом во многих странах, причем оно может иметь разные масштабы: одной организации, группы филиалов организации (например, объединяемых по географическим признакам для имитации воздействия стихийных бедствий или техногенных катастроф), групп кредитных организаций или даже банковской системы в целом.
В российском банковском секторе такой подход пока еще нельзя назвать распространенным, он характерен для кредитных организаций, являющихся дочерними структурами зарубежных коммерческих банков. По-видимому, это обусловлено еще одним проявлением упоминавшегося в главе 4 «квалификационного разрыва», поскольку понятия содержания банковской деятельности, трактуемого в узком, традиционном смысле, и технологической надежности, от которой теперь полностью зависит эта деятельность, с единых позиций ранее не интерпретировались и не регламентировались. Однако в свете интенсивного использования технологий и систем электронного банкинга такая интерпретация уже стала актуальной, так что
Упомянутые в Положении 242-П «непрерывность деятельности и (или) восстановление деятельности» относятся ко всем техническим средствам в ИКБД ДБО, от которых зависит выполнение кредитной организацией обязательств перед своими клиентами (независимо от того, что в Федеральном законе от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» использованы только понятия кредитора и вкладчика, с чем, видимо, связаны формулировки в Положении 242-П), поскольку в современных условиях собственно
