с запросом на другой web-сайт. Web-связи представляют собой удобное и общепринятое средство в конструкции web-сайта, однако их использование может оказаться связано с отдельными компонентами банковских рисков.
Web-связи сайтов, используемых кредитными организациями, нередко ведут на web-сайты, которые этими организациями непосредственно не контролируются. Именно «неподконтрольность» web-связей может привести к возникновению упомянутых компонентов, тем более если какие-то «последствия» таких связей возникают неожиданно для кредитной организации как следствие злого умысла (к примеру воздействия- атаки хакера). Поэтому руководству кредитных организаций и специалистам прикладного уровня целесообразно иметь представление о таких факторах и источниках компонентов банковских рисков и предпринимать необходимые меры для контроля над контентом web-сайтов, которые используются в банковской деятельности.
Считается также, что наиболее значительными дополнительными компонентами характеризуются репутационный и правовой риски. Компоненты репутационного риска могут возникать, если имеют место, например:
неуверенность клиента в том, кто предоставляет продукты или услуги: конкретная кредитная организация либо связанная третья сторона;
недовольство клиента качеством продуктов или услуг, фактически получаемых от третьей стороны;
непонимание клиентом возможностей применения конкретных установленных мер защиты в отношении продуктов или услуг третьей стороны.
Компоненты правового риска возникают в тех случаях, когда связанная третья сторона действует таким образом, который не соответствует требованиям регулирующих органов. Например, они могут возникнуть из-за неправильного предоставления или использования связанной третьей стороной предоставленной ей клиентской информации или когда связь с конкретной третьей стороной обусловливает или влияет на правовые обязательства кредитной организации.
Степень подверженности тем или иным компонентам упомянутых банковских рисков зависит от нескольких факторов, включая характер собственно связи. Любая связь с web-сайтом третьей стороны приводит к некоторой подверженности кредитной организации риску, что относится к связям как с аффилированными, так и с неаффилированными третьими сторонами. Связь с web-сайтом третьей стороны, который дает клиенту только информацию, обычно не приводит к заметной подверженности риску, если информация эта относительно безобидна, как, например, прогноз погоды. Напротив, если связанная третья сторона предоставляет информацию или рекомендации, относящиеся к финансовому планированию, инвестициям или другим важным темам, то риск может быть больше. Связи с web-сайтами, позволяющими клиенту взаимодействовать с третьей стороной, как запрашивающей конфиденциальную информацию от пользователя, так и позволяющей ему приобретать продукт или услугу, может обусловить подверженность кредитной организации относительно большему риску
6.4. Организация управления web-отношениями
Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать:
1) планирование развития web-ресурсов (разного рода) в соответствии со стратегическим и бизнес- планами данной организации;
2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);
3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;
4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и web-отношениями;
5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки[189];
6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание web- ресурсов и дополнений к ним;
7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);
8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования[190];
9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;
10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;
11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;
12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;
13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;
14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;
15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;
16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;
17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);
18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);
19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);
20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.
Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:
— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;
— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);
— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал web-pecypcoв;
— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);
— анализ статистики посещаемости web-pecypcoв для определения путей их развития;
— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;
