87
В качестве одного из наиболее очевидных примеров можно привести определение требований к настройке брандмауэров (сетевых экранов) кредитной организации, которые являются основными средствами защиты ее вычислительных сетей. В этом случае необходима разработка корпоративной политики такой защиты (в том числе допустимых для использования сетевых протоколов, ограничений на доступное внешнее и внутреннее адресное пространство и т. п.), доведение ее до технических исполнителей и проверка соответствия выполненных настроек установленным требованиям специалистами подразделения ИТ, обеспечение информационной безопасности и внутреннего контроля, которые при их проведении должны руководствоваться соответствующими положениями о подразделениях и должностными инструкциями.
88
Еще одним простым примером может являться формирование механизма доведения до менеджеров разных уровней информации о сетевых и вирусных атаках, случаях НСД, отказах серверного оборудования разного назначения и т. п. Известно, что если проблема не «докладывается», то она повторяется, причем в кредитных организациях это может продолжаться до тех пор, пока сокрытие негативной информации не приведет к весьма серьезным финансовым потерям их самих или их клиентов (чему немало примеров из российской и зарубежной банковской деятельности). Чтобы создать такие «механизмы» и контролировать их функционирование (допустим, через анализ содержания тех же системных логов и аудиторских трейлов), также необходима специальная квалификация.
89
Совершенствование корпоративного управления в кредитных организациях // Вестник Банка России. 2001. № 46. 25 июля.
90
91
92
Enhancing corporate governance for banking organisations. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, February 2006.
93
Здесь под распространением риска имеется в виду то, что реализация какого-то фактора или проявление источника риска может оказать влияние на выполнение различных процедур, входящих в состав внутрибанковских процессов. Особенно это касается ситуаций, в которых возможно нарушение целостности банковских или клиентских данных.
94
Risk Management Principles for Electronic Banking.
95
В число которых, как поясняется в документе, «входят надзор, правительство и вкладчики ввиду уникальной роли банков в национальной и локальной экономиках и финансовых системах, а также ассоциируемыми с ними явными и неявными гарантиями депозитов».
96
97
Учитывать следует как внешние, так и внутренние угрозы, которые могут инициироваться в различных информационных сечениях как между системой ДБО и БАС, так и самой БАС.
98
Письмо Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке
