Управление финансами
документы

1. Акт выполненных работ
2. Акт скрытых работ
3. Бизнес-план примеры
4. Дефектная ведомость
5. Договор аренды
6. Договор дарения
7. Договор займа
8. Договор комиссии
9. Договор контрактации
10. Договор купли продажи
11. Договор лицензированный
12. Договор мены
13. Договор поставки
14. Договор ренты
15. Договор строительного подряда
16. Договор цессии
17. Коммерческое предложение
Управление финансами
егэ ЕГЭ 2017    Психологические тесты Интересные тесты   Изменения 2016 Изменения 2016
папка Главная » Экономисту » Организация внутреннего контроля интернет-транзакций в рамках отдельного банка

Организация внутреннего контроля интернет-транзакций в рамках отдельного банка



Организация внутреннего контроля интернет-транзакций в рамках отдельного банка

Для удобства изучения материала статью разбиваем на темы:

Внимание!

Если Вам полезен
этот материал, то вы можете добавить его в закладку вашего браузера.

добавить в закладки

  • Принципы организации внутреннего контроля с учетом использования банком интернет-технологий
  • Особенности организационного и методического обеспечения внутреннего контроля в среде интернет-технологий
  • Проведение проверки информационной безопасности

    Принципы организации внутреннего контроля с учетом использования банком интернет-технологий

    Технологические изменения в ведении банковской деятельности, в том числе повсеместное использование компьютерных информационных технологий для выполнения банковских операций, управления ими, а также предоставления банковских услуг клиентам, внесли заметные изменения в профили рисков кредитных организаций. Деятельность банков стала зависеть от функционирования компьютерных систем, используемых ими в своей работе. Традиционная организация внутреннего контроля над выполнением банковских операций и соответственно достоверностью банковской отчетности с появлением новых информационных угроз и с возникновением зависимости от провайдеров необходимых услуг перестала удовлетворять критериям эффективности.

    К сожалению, в настоящее время система внутреннего контроля большинства российских кредитных организаций не учитывает риски, связанные с применением электронных технологий. Многие российские банки переносят ответственность за аудит и контроль информационных технологий на самих участников процессов организации работы этих технологий — на подразделения автоматизации, нарушая тем самым основной постулат организации риск ориентированной системы контроля, а именно ее независимость от бизнес-процессов. Плановые проверки службы внутреннего контроля работы подразделений автоматизации зачастую сводятся к формальной выверке наличия необходимых внутренних методологических документов, фиксации сбоев АБС за период проверки и фактов их устранения. Данная ситуация связана и с профессиональной подготовкой специалистов службы внутреннего контроля, и с отсутствием требований к пересмотру деятельности службы внутреннего контроля в банках со стороны надзорного органа, и с недостаточной оценкой банками угроз со стороны рисков дистанционного банковского обслуживания, в том числе интернет-банкинга, в связи с чем банки не желают идти на временные и материальные затраты, объективно необходимые для качественной реорганизации службы внутреннего контроля и риск-менеджмента.

    Вместе с тем внедрению и развитию российскими кредитными организациями технологий дистанционного банковского обслуживания сопутствуют участившиеся в последнее время случаи применения разного рода противоправной деятельности, стал в известной степени «пиковым» по части вмешательств злоумышленников в работу кредитных организаций и взаимодействие их со своими клиентами, хотя и предыдущее десятилетие дало немало примеров разного рода противоправных действий, осуществленных с помощью распределенных компьютерных систем, без которых современная банковская деятельность фактически немыслима. При этом необходимо отметить, что многие атаки совершались через системы провайдеров кредитных организаций и через различные компьютерные центры, расположенные за рубежом, что может свидетельствовать и о, так сказать, «росте мастерства» злоумышленников.




    На фоне роста рисков электронного банкинга, в том числе и интернет-банкинга , состояние их выявления, оценки, анализа и мониторинга в отечественных банках оставляет желать лучшего. Системы внутреннего контроля в большинстве своем не учитывают изменение профиля рисков банков, вызванного использованием интернет-технологий.

    Осознание необходимости учета рисков интернет-банкинга  и соответствующего усиления внутреннего контроля в зарубежных банках, с момента его возникновения. При этом реализация угроз работы автоматизированной банковской системы в банках произошла еще раньше — в США, например, первое крупномасштабное компьютерное ограбление коммерческого банка на сумму в несколько десятков миллионов долларов.

    Управление контролера денежного обращения (США) выпустило справочник процесса проверки банков, использующих интернет-банкинг. Основные положения данного документа вошли впоследствии в методики и разработки по организации систем внутреннего контроля и риск-менеджмента, учитывающих специфику операций в среде Интернет, банков различных стран мира и национальных надзорных органов.

    Согласно документу, внутренний контроль над системами интернет-банкинга  должен быть соразмерен уровню риска учреждения. Как и в любой другой области банковского дела, руководство несет основную ответственность за разработку и реализацию надежной системы внутреннего контроля над технологией и услугами интернет-банкинга  в своей кредитной организации.

    Регулярный аудит систем интернет-банкинга  поможет гарантировать, что эти средства соответствуют назначению и функционируют должным образом.

    Контроль для технологии интернет-банкинга  какого-либо банка должен быть нацелен на:

    -              согласование технологического планирования и стратегических целей, включая эффективность и экономичность операций, а также соответствие корпоративной политике и законодательным требованиям;

    -              доступность данных, включая планирование восстановления деловых операций;

    -              целостность данных, включая обеспечение защищенности активов, должную авторизацию транзакций, а также надежность соответствующего процесса и результата;

    -              конфиденциальность данных и защищенность прав личности;

    -              надежность информационной системы управления.

    Руководство несет ответственность за внедрение адекватного внутреннего контроля и систем оценок средств контроля на предмет определения экономического эффекта от них. При этом необходимо учитывать эффективность каждого средства контроля в процессе, денежный эквивалент объема потока средств, задействованных в данном процессе, а также стоимость самих средств контроля.

    В соответствии с подходом Ассоциации Аудита и Контроля Информационных Систем (ISACA) в число базовых компонентов внутреннего контроля информационных технологий должны входить средства:

    -              контроля внутреннего учета — используются для обеспечения защиты активов и надежности финансовых записей. В число последних могут входить записи о транзакциях и промежуточные балансы;

    -              операционного контроля — используются для гарантии соответствия деловым целям. В их число могут быть включены операционные планы и бюджеты, чтобы сопоставить реальное функционирование с запланированным;

    -              административного контроля — используются для гарантирования операционной эффективности, а также соответствия политике и процедурам, принятым в банке. В их число может быть включен внутренний и внешний аудит.

    IS АС А разделяет средства внутреннего контроля на три общие категории.

    Эти категории средств контроля могут быть включены в состав базовых компонентов внутреннего контроля:

    1)            средства превентивного контроля — предотвращают какие либо события (часто — ошибки или незаконные деяния). Примером средства контроля такого типа является программное обеспечение логического доступа, которое разрешает доступ в компьютерную сеть только

    авторизованным лицам, использующее комбинацию идентификационного номера и пароля пользователя;

    2)            средства обнаружения — идентифицируют имевшее место действие. Примером может быть программное обеспечение обнаружения проникновения, которое инициирует оповещение или тревогу;

    3)            средства коррекции — исправляют ситуацию после ее обнаружения. Примером может быть программное обеспечение резервирования, которым можно воспользоваться для восстановления поврежденного файла или базы данных.

    Банкам или провайдерам услуг, предлагающим услуги интернет банкинга на транзакционной основе, необходимо располагать средствами контроля высокого уровня в помощь управлению банковским операционным риском.

    В качестве примеров средств контроля такого рода можно привести:

    -              мониторинг операционной деятельности на предмет аномалий в типах транзакций, объемах транзакций, суммах транзакций и времени предъявления;

    -              мониторинг нарушений регистрации в системе или попыток определения образов подозрительных действий, включая нетиповые запросы, нетипичные временные параметры или странные форматы;

    -              применение методов фиксации и прослеживания для идентификации источника конкретного запроса и сравнения его с данными по известным клиентам.

    Регулярная отчетность и постоянные проверки помогут идентифицировать проникновение неавторизованных агентов, ошибки ввода данных со стороны клиентов.

    Базельский комитет по банковскому надзору предполагает, что эффективность внутреннего контроля, в том числе банков, чья деятельность предполагает активное использование интернет-технологий, может быть достигнута посредством соблюдения ряда принципов, являющихся универсальными для организации внутреннего контроля в банке. Они могут быть адаптированы к современным изменениям в технологиях банкинга.

    Основополагающими принципами являются ответственность Совета директоров за утверждение и периодическую проверку общей бизнес-стратегии и наиболее важных политических решений для банка, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков.

    Совет директоров является, в конечном счете, ответственным j за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля. Совету директоров банка рекомендуется включить в свою деятельность регулярное обсуждение с Правлением эффективности системы внутреннего контроля, запрашивать оценки ее средств со стороны внутренних и внешних аудиторов, периодически контролировать выполнение Правлением рекомендаций аудиторов и надзорных органов по устранению  недостатков внутреннего контроля, проверять следование стратегии банка и ограничению рисков.       

    В помощь Совету директоров может быть создан дополнительный контрольный орган — аудиторский комитет, состоящий из независимых директоров, имеющих представление о финансовой отчетности и средствах внутреннего контроля. В обязанности этого комитета должны входить контроль финансовой отчетности и наблюдение за функционированием системы внутреннего контроля.

    Правление банка должно нести ответственность за реализацию стратегии и политики, утвержденных Советом директоров, разработку процессов идентификации, измерения, мониторинга и контроля рисков, принимаемых на себя банком, поддержание организационной структуры, обеспечивающей четкое распределение ответственности, полномочий и подотчетности, гарантирование эффективного выполнения делегированных полномочий, внедрение надлежащей политики внутреннего контроля, а также мониторинг адекватности и эффективности системы внутреннего контроля.

    В условиях обслуживания клиентов через интернет-банкинг, технологии которого основываются на специальном программном обеспечении в самом банке (которое может быть как собственной, так и заказной разработкой, либо просто покупным), с учетом интенсивной деятельности провайдеров в информационном контуре банка, выполнение указанного выше принципа становится чрезвычайно сложным. Необходимо определить ответственность за договоры с провайдерами и их содержание, включая распределение полномочий в случае прерывания банковских операций по техническим причинам или форс-мажорным обстоятельствам, документирование отношений с поставщиками банковского и системного программного обеспечения и соответствующие информационные каналы в самом банке, организацию взаимоотношений с провайдерами, и это далеко не все. Следует прописать в нормативных документах разделение обязанностей и функциональное взаимодействие между службой внутреннего контроля и службой информационной безопасности банка, определить требования к подготовке и квалификации всех ответственных лиц и их подотчетность.

    Устанавливается необходимость ответственности Совета директоров и Правления за поддержание высоких стандартов этики, внедрение такой культуры в организации, которая подчеркивала бы и демонстрировала важность внутреннего контроля для персонала всех ее уровней. Все сотрудники банковской организации должны понимать свою роль в процессе внутреннего контроля и быть полностью вовлечены в этот процесс. Применительно к системам контроля интернет-банкинга  это означает, что каждый сотрудник должен пользоваться технологиями для выполнения своих должностных обязанностей с необходимой долей осмотрительности, не допускать утечки информации.

    Должны распознаваться и постоянно оцениваться те материальные риски, которые могут негативно повлиять на достижение целей банка. Это оценивание должно охватывать все риски, с которыми сталкивается банк (а именно, кредитный риск, страновой риск, рыночный риск, риск ликвидности, операционный риск, правовой риск и репутационный риск). Может потребоваться пересмотр средств внутреннего контроля в интересах правильного реагирования на новые или ранее неконтролируемые риски.

    Принципиально важно, чтобы в рамках системы внутреннего контроля эти риски распознавались и оценивались на постоянной основе. При этом использование интернет-технологий предполагает появление так называемого «взаимного влияния рисков». Например, отказ банковской автоматизированной системы или системы интернет-банкинга  вследствие реализации какого-то фактора операционного риска может привести к возникновению факторов правового и (или) репутационного риска. Причем это явление существует и на системном уровне: перегрузка банковской автоматизированной системы, приобретенной у некоего поставщика, отказ оборудования у провайдера, выход из строя канала связи, утечка информации у провайдера и т.п. точно так же приведут к негативным последствиям для банка.

    Выявление рисков следует осуществлять и по отдельным направлениям бизнеса, и по деятельности организации в целом, и на консолидированной основе в случае разветвленных организаций. Для банка, применяющего дистанционное банковское обслуживание нескольких видов, для внутреннего контроля в рамках каждого канала электронного банкинга требуются свои ориентиры, которые требуют своего методического описания.

    В связи с усложнившимся профилем рисков, служба внутреннего контроля должна располагать специалистами высокого профессионального уровня, что обусловливается технологичностью процессов. К примеру, специфика интернет-банкинга, ориентированного на «персональную компьютеризацию» клиентов, отличается от wap-банкинга, ориентированного на мобильную связь, что требует наличия специалистов, свободно разбирающихся в тенденциях того и другого направления, не говоря уже об особенностях технологических решений.

    Вводится еще один компонент эффективности — структура контроля, с определением контрольных мероприятий для каждого уровня бизнеса. В их число следует включить: проверки со стороны руководства, надлежащую контрольную деятельность для различных департаментов и подразделений, средства физического контроля, проведение проверок на предмет соответствия ограничениям на уязвимость и последующий контроль устранения несоответствий, систему утверждения и авторизации, а также систему подтверждения и выверки.

    В качестве примеров контрольной деятельности Базельский комитет по банковскому надзору приводит:

    -              проверки высшего уровня — Совет директоров должен знакомиться с отчетами о работе, позволяющими проверять, насколько текущая деятельность в банке соответствует поставленным целям. При этом имеет место его интенсивное взаимодействие с менеджерами среднего звена, в ходе которого могут выявляться проблемы типа недостатков в контроле, ошибок в отчетности или мошенничества;

    -              средства оперативного контроля — получение и проверка стандартизованных отчетов о текущей работе на ежедневной, еженедельной или ежемесячной основе в зависимости от особенностей бизнес направлений. Собственно контроль реализуется при взаимодействии руководства с отчитывающимся персоналом типа «вопрос — ответ»;

    -              средства физического контроля — ограничение доступа к активам, включая наличные и ценные бумаги. В собственно деятельность включены физические ограничения, двойная защита и периодическая инвентаризация;

    -              соблюдение установленных ограничений — установление лимитов для заемщиков (в плане кредитного риска) и диверсификация профиля риска;

    -              утверждение и авторизация в отношении конкретных транзакций — информирование руководства соответствующего уровня, утверждающего антикризисные действия, о том, что рисковые случаи имеют место.

    Эти и другие, менее существенные действия в случае интернет-банкинга  ставят перед внутренним контролем весьма серьезные задачи. К примеру, необходимо убедиться в том, что формируемые из виртуального пространства банковской автоматизированной системы финансовые отчеты содержат достоверную информацию. Службе внутреннего контроля в этом случае необходимо располагать и внедренными в систему средствами подтверждения целостности записей в центральной базе данных, и собственными средствами проверки, при необходимости, выполнения правил бухгалтерского учета и составления регламентной банковской отчетности. Другой пример: если какой то клиент осуществляет какие либо крупные транзакции, подпадающие под юрисдикцию службы финансового мониторинга, то, в общем случае, необходимы средства автоматизированного программного контроля, а, следовательно, необходимо их проектировать, разрабатывать, проверять, равно как определить возможности контроля их функционирования, заложить в систему соответствующие «контрольные точки» и индикаторы, сообщающие о подозрительных операциях, и многое другое. При этом руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно состоит главная роль функции внутреннего аудита.

    Важным компонентом эффективности системы внутреннего контроля банка является принцип надлежащего разделения обязанностей и исключение конфликта интересов. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.

    Смысл данного принципа применительно к интернет-технологиям заключается в том, чтобы те, кто осуществляет управление финансовыми потоками, не могли тайно воспользоваться средствами банка в личных целях, а лица, отвечающие за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Такие технологии, как электронный банкинг, предполагают в основном работу через «виртуальное пространство», что принципиально осложняет разделение обязанностей и осуществление контрольных функций. Службе внутреннего контроля целесообразно с самого начала активно участвовать во внедрении и эксплуатации технико-экономической безопасности, с тем, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей банковской автоматизированной системы и системы интернет-банкинга вместе с порядками их внедрения, сопровождения, изменения и т.п. Тем самым служба внутреннего контроля сможет содействовать требуемому разделению обязанностей со своего, «контрольного» уровня. Процедуры защиты и контроля информации могут осуществляться администраторами сетевых систем и информационной безопасности, однако к ним, равно как и к их должностным обязанностям, должно быть привлечено пристальное внимание службы внутреннего контроля.

    Реализация принципа эффективности системы внутреннего контроля связана с необходимостью разработки и внедрения процедур для поддержания и сохранения финансовой, операционной и правовой информации, равно как и внешней рыночной информации о событиях и условиях, которые следует учитывать при принятии решений. Информация должна быть надежной, своевременной, доступной и предоставленной в требуемом формате.

    Для того чтобы система внутреннего контроля была эффективной, требуется также наличие надежных информационных систем, охватывающих все важные направления деятельности банка. Эти системы, включая те, в которых данные хранятся и используются в электронной форме, должны быть защищены, независимо контролируемы и поддержаны адекватными мерами на случай непредвиденных обстоятельств.

    Как известно, критическим компонентом банковской деятельности является организация и сопровождение информационных систем управления, которые охватывают всю деятельность банка. Банки должны уделять особое внимание требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством. Необходимо принимать меры для обеспечения бесперебойной работы электронных информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и передачу данных организаций-провайдеров, число источников риска существенно увеличилось, и, соответственно, могут значительно возрасти уровни рисков, связанных не только с внутрибанковскими системами, но и с контуром интернет-банкинга  в целом. Пропорциональное расширение сферы ответственности внутреннего контроля также неизбежно, поскольку, несмотря на решения части задач подразделением информационных технологий и службой безопасности, первое из них, как правило, уделяет больше внимания банковской автоматизированной системе, а второе — вопросам физической безопасности банка. При этом критично важным становится ведение внутрисистемных аудиторских журналов, фиксирующих операции пользователей автоматизированных систем и интернет-банкинга . Вместе с тем даже при полном охвате этими службами всех функциональных участков электронного банкинга все равно необходим внешний по отношению к их деятельности контроль, который является прерогативой службы внутреннего контроля.

    Контроль над информационными системами и технологиями должен включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, главным компьютерам, взаимодействию клиент — сервер, а также к рабочим станциям) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры резервирования и восстановления, политику разработки и приобретения программного обеспечения, процедуры сопровождения (контроля изменений), а также средства контроля безопасности физического (логического) доступа. Прикладные средства имеют вид встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы. При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки, подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования.

    Помимо изложенного, существуют неизбежные факторы риска, связанные с возможностями прерывания корпоративной деятельности или обслуживания клиентов и обусловленные обстоятельствами, которые банк не может контролировать. Из-за этого повышаются, как минимум, операционный, репутационный и стратегический риски. Наличие таких факторов вынуждает банки разрабатывать планы возобновления деловых операций и действий в случае непредвиденных обстоятельств. В этих случаях организуются запасные места размещения резервных мощностей, включая поддержку работы критично важных систем со стороны сторонних провайдеров услуг. Планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями. Что касается собственно упомянутых планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.

    Следующий принцип построения эффективной службы внутреннего контроля — организация эффективных каналов взаимодействия, обеспечивающих полное понимание и приверженность персонала политике и процедурам, определяющим их обязанности и ответственность, а также доведение информации, имеющей к ним отношение, до соответствующих специалистов банка.

    Иными словами, информация бесполезна, если отсутствуют средства ее эффективного доведения. В обязанности руководства вменяется использование таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это относится к информации как о принятых политике и процедурах банка, так и о его реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков «сверху вниз, снизу вверх и по горизонтали». Главное — Совет директоров и Правление должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала.

    Следует осуществлять на постоянной основе мониторинг эффективности средств внутреннего контроля банка. Мониторинг основных рисков должен быть составной частью повседневной деятельности в банке так же, как и периодическое оценивание направлений бизнеса, и внутренний аудит.

    При этом руководство банка должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе, исходя из состава наблюдаемых рисков, частоты и характера изменений в «операционной среде». В части внедрения и развития технологий безопасности, безусловно, целесообразно вовлечение службы внутреннего контроля в эти процессы, поскольку невозможно контролировать применение новых технологий, не будучи знакомым с ними. Это тем более важно, что современные аппаратно-программные комплексы развиваются столь быстро, что не всегда компании-разработчики успевают полно и качественно провести даже альфа-тестирование, не говоря уже о бета-тестировании. Не менее важно участие внутреннего контроля в процедурах «стыковки» новых банковских систем с уже действующими, так как это всегда связано с проблемами обеспечения совместимости аппаратно-программного оборудования разных версий и степеней сложности или даже разных операционных систем. Даже если специалисты внутреннего контроля не обладают всей полнотой технологических и (или) технических знаний (а их профессиональная переподготовка должна быть регулярной), все равно им следует требовать от специалистов технического плана подтверждения достаточности встроенных или дополнительных средств контроля функционирования вновь внедряемых систем и проведения полноценных приемосдаточных испытаний.

    Должен быть организован эффективный и полноценный внутренний аудит системы внутреннего контроля, осуществляемый функционально независимым, прошедшим должную подготовку и компетентным персоналом. Те, кто осуществляет функцию внутреннего аудита как часть мониторинга системы средств внутреннего контроля, должны отчитываться непосредственно перед Советом директоров или его аудиторским комитетом и перед  Правлением.

    Независимая от рабочих подразделений банка функция внутреннего аудита, имеющая доступ ко всей его банковской деятельности, включая филиалы, считается важной частью текущего мониторинга системы средств внутреннего контроля, поскольку она обеспечивает независимое оценивание соответствия установленным политике и процедурам. Оценка работы этой службы должна делаться Советом директоров или Правлением, определяющими также ее финансирование, причем независимо от руководителей контролируемых подразделений.

    О недостатках во внутреннем контроле независимо от того, выявлены они по направлениям бизнеса, внутренним аудитом или другим персоналом, выполняющим контрольные функции, следует своевременно и адресно докладывать на соответствующем управленческом уровне. О значимых недостатках во внутреннем контроле следует докладывать высшему руководству и Совету директоров.

    Последний принцип затрагивает вопрос надзора за службой внутреннего контроля, в том числе в условиях использования интернет банкинга. Так, органам надзора следует требовать, чтобы все банки независимо от их размера имели систему средств внутреннего контроля, соответствующую характеру, сложности и риску, присущему их балансовым и вне балансовым операциям, которая адаптировалась бы к изменениям в самом банке и внешних условиях. В тех случаях, когда надзорным органом устанавливается, что система внутреннего контроля банка не является адекватной или эффективной с точки зрения конкретного профиля риска банка (например, учитывает не все принципы, изложенные в настоящем документе), им должны приниматься соответствующие меры.

    Адекватность и эффективность службы внутреннего контроля, а также реакция руководства банка на результаты ее функционирования должны оцениваться органами банковского надзора в ходе текущей надзорной деятельности на основе риск фокусированного подхода. При этом должны оцениваться средства контроля в областях повышенного риска (например, деятельность, характеризующаяся необычной доходностью, быстрым развитием, новыми бизнес решениями, географической удаленностью от головного офиса). Изменения в условиях работы банка следует подвергать специальному рассмотрению. К ним относят: изменения в операционных условиях, прием нового персонала, внедрение новой или модернизацию действующей информационной системы, быстрое развитие, какой либо области деятельности, внедрение новых технологий, появление новых услуг, видов обслуживания или деятельности, корпоративную реструктуризацию, слияния и приобретения, внедрение или расширение зарубежных операций.

    Банкам следует интегрировать в свою систему управления рисками те риски, которые могут оказаться связаны с трансграничным банковским обслуживанием через каналы электронного банкинга. Все процедуры управления такими рисками, как риск ликвидности, операционный, правовой, репутационный, страновой и стратегический риск необходимо адаптировать с позиций обеспечения выполнения обязательств перед клиентами, адекватного раскрытия информации о банковской деятельности и организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий интернет-банкинга.

    Трансграничная активность в рамках интернет-банкинга  постоянно увеличивается, в последнее время и Россия не является исключением. Причем наблюдается стабильный рост пользователей сетью Интернет, которые охотно используют эту разновидность электронного банкинга ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.

    В целом подходы к организации и обеспечению банковского обслуживания, внутреннему контролю и банковскому надзору не должны зависеть от среды, через которую это обслуживание осуществляется, применяемых технологий и реализующего их аппаратно-программного обеспечения. Очевидно, что новые технологии не привносят в банковскую деятельность, каких либо новых рисков, но меняют состав их компонентов и влияют на форму этого профиля и динамику его изменения с течением времени. В то же время необходимо отчетливо понимать и то, что каждый из перечисленных факторов имеет свою специфику, вследствие чего простое следование указанным выше принципам не может считаться достаточным, и если на сегодняшний день существует около десятка различных схемотехнических решений дистанционного банковского обслуживания, то и при адаптации общих принципов по осуществлению контроля за их применением и анализе результатов этого применения банк должен такую специфику учитывать.

    Особенности организационного и методического обеспечения внутреннего контроля в среде интернет-технологий

    Специфика новых технологий, ставших неотъемлемой частью современного банковского дела, привнесла и новые подходы к системе организации внутреннего контроля, который теперь вынужден рассматривать так называемый информационный контур банковской деятельности (ИКБД), формирующийся при каждом факте удаленного взаимодействия между клиентом и банком. Отличительной особенностью ИКБД в условиях применения систем интернет-банкинга  является его фактическая виртуальность, поскольку ИКБД в качестве совокупности конкретных физических объектов (определенных каналов связи, маршрутизаторов, коммуникационных систем различных провайдеров, сетевых шлюзов и т.д.) каждый раз складывается заново в рамках взаимодействия клиента с кредитной организацией посредством открытой глобальной сети Интернет.

    До последнего десятилетия основными средствами автоматизации банковской деятельности являлись та или иная автоматизированная банковская система (АБС) и некое соединенное с ней автоматизированное рабочее место (АРМ). В простейших случаях обслуживания клиента в самой кредитной организации или ее филиале этот контур описывается элементарно: «Клиент — АРМ операциониста — АБС банка», при этом АРМ соединялся с АБС через локальную или, гораздо реже, через зональную вычислительную сеть, фактически являвшуюся собственностью банка. В более сложном случае заказного дистанционного банковского обслуживания взаимодействие между клиентом и кредитной организацией осуществлялось через систему «Клиент — Банк», в состав которой входили специально организуемый специалистами банка АРМ клиента, АБС, те или иные устройства доступа к каналам связи со стороны АБС и АРМ (например, модемы) и собственно каналы связи. Эти каналы принадлежали уже не банку, а тем организациям, которые фактически выполняли функции провайдеров связи для кредитной организации (это могли быть проводные, оптоволоконные, радиорелейные или спутниковые каналы), но они могли являться собственностью банка только в редких случаях. Виртуальность в таком информационном контуре банковской деятельности могла возникать только в тех случаях, когда маршрутизация ордеров клиента и ответной информации для него от кредитной организации осуществлялась через коммутируемые и (или) маршрутизируемые линии связи, а в случаях наиболее дорогостоящих вариантов дистанционного банковского обслуживания по прямым каналам связи между клиентом и его банком какая либо виртуальность практически отсутствовала. Однако развитие систем дистанционного банковского обслуживания привело к тому, что среда, через которую проходят потоки данных между клиентами и кредитными организациями, постоянно «расширялась», вариативность средств доведения информации в любом направлении повышалась, что до определенного времени не привлекало к себе существенного внимания руководства кредитных организаций. Во всяком случае, появление в составе электронного банкинга технологий интернет-банкинга , wap-телефонии, gsm и sms-банкинга для владельцев мобильных телефонов, теле-банкинга и др.„ вплоть до банкоматов, подключаемых через Интернет, поставило вопрос о необходимости принятия во внимание компьютеризации не только выполнения банковских операций, но банковской деятельности в целом, учета перевода ее в виртуальную реальность, а вместе с этим и сопутствующих проблем контроля над самой банковской деятельностью.

    Информационный контур банковской деятельности изменился. В нем появились новые участники, — провайдеры услуг  новые элементы (каналы связи), новый тип клиента, который уже не приходит в банк для того, чтобы осуществить те или иные банковские операции. Мало того, в случаях интернет-банкинга  и wap-банкинга (а также его вариантов) виртуальность значительно повысилась и стала практически предельной ввиду того, что каналы связи между клиентами и кредитными организациями формируются стохастически и не могут быть известны ни тем, ни другим. Последнее обстоятельство связано с тем, что при каждом сеансе взаимодействия маршруты прохождения потоков данных определяются задействуемыми видами, узлами и линиями компьютерной связи, промежуточными маршрутизаторами разных провайдеров, структурами локальных вычислительных сетей провайдеров и т.д. С точки зрения контроля за деятельностью банка необходимо признать, что в этой связи становится важен учет достаточно большого числа дополнительных новых компонентов в рассматриваемом контуре, которых ранее в нем вообще не существовало. Это целесообразно потому, что сами процессы управления банковской деятельностью и контроля за ней должны оставаться адекватными вне зависимости от состава и характера нововведений в ИКБД, используемом конкретными банковскими учреждениями.

    Следует отметить, что явления виртуальности в практике банковского дела начались еще с внедрения сетевых внутрибанковских архитектур и появления первых систем дистанционного банковского обслуживания типа «Банк — Клиент», Уже тогда на первый план стали выходить автоматизированные банковские системы, которые применялись и применяются для выполнения всех или, по меньшей мере,  большинства банковских операций, связанных с учетом и расчетами, а также для подготовки регулярной отчетности и обслуживания клиентов. Сегодня такие внутрибанковские системы стали во многих вариантах дистанционного банковского обслуживания доступны извне, а учет в работе служб внутреннего контроля целого ряда новых факторов, обусловленных интенсивной автоматизацией и территориальной «распределенностью» банковской деятельности (в том числе, межрегиональной и трансграничной), во многих случаях недостаточен.

    Для того чтобы установить адекватные и достаточные (т.е. минимальные) требования к организации внутреннего контроля в банке в условиях применения технологий интернет-банкинга, необходимо определить, какие этапы жизненного цикла автоматизированной банковской системы, рассматриваемой в единстве с технологиями электронного банкинга, касаются специалистов внутреннего контроля и какие роли эти специалисты должны играть на каждом из таких этапов.

    Как видно из приведенной схемы, жизненный цикл АБС состоит из нескольких этапов: 

    -              обоснование — решение о внедрении новых банковских технологий в соответствии с его стратегическим планом деятельности;

    -              проектирование (в случае приобретения готовой системы «под ключ» данный этап отсутствует);

    -              разработка — интерпретация поставленных задач программными средствами;

    -              испытания («отладка») на «альфа-версии» программного обеспечения, в результате чего создается «бета-версия», предъявляемая для испытаний как «рабочий прототип», но это может быть и готовая рабочая версия программы;

    -              сдача/приемка — проверка функционального соответствия предъявленной системы заданным требованиям;

    -              эксплуатация — представляет собой повседневное использование системы в предусмотренных штатных режимах работы, реализующих заданные для нее функции;

    -              сопровождение — относится к решению текущих проблемных вопросов, связанных с поддержанием работоспособности принятой в эксплуатацию системы, которые могут быть связаны с незначительными доработками, резервированием, заменой оборудования;

    -              модернизация системы в соответствии с ее моральным износом.

    Очевидно, что для того чтобы создать контролируемую АБС, руководство кредитной организации должно заранее определить, какие именно банковские данные требуют постоянного контроля и соответственно какие протекающие во внутрибанковских системах вычислительные и другие процессы, в которых участвуют эти банковские данные, также должны находиться под контролем. В оптимальном варианте принципы, определяющие все подлежащие контролю данные и процедуры, равно как и сами объекты контроля должны быть документированы в политике внутреннего контроля банка, которая доводится до сведения персонала. Все контролируемые данные и процедуры описываются также и во внутри-банковском документе — меморандуме информационной безопасности. В нем объекты контроля ранжируются по значимости для банка (возможных компонентов рисков, связанных с нарушением целостности или утечкой данных). Для каждого объекта определяются уровни или степени защиты, средства защиты, права и полномочия доступа в соответствии с должностными обязанностями сотрудников банка. Подобная информация должна быть доступной службе внутреннего контроля, поскольку в ее задачи входят выявление, анализ, мониторинг рисков и управление ими.

    Руководство банка совместно с ответственным за внутренний контроль специалистом приступают к определению совокупности способов и средств контроля, а также к выбору так называемых «контрольных точек» в АБС, реализующей, в том числе функции электронного банкинга. В зависимости от того, разрабатывается система интернет-банкинга  силами самой кредитной организации или заказывается у сторонней фирмы, выбранный подход к реализации контроля может отражаться в проектной документации самого банка или детализироваться в исходных данных или техническом задании на разработку.

    На этапе разработки, которая представляет собой в основном создание технического проекта и прикладное программирование, участие внутреннего контроля, как и представителей руководства банка, обычно не требуется. Что же касается этапа испытаний, то участие представителей службы внутреннего контроля будет желательным. Более того, от них потребуется также участие в подготовке и утверждении таких документов, как программа и методика испытаний. В противном случае не удастся гарантировать, что действительно будет произведена проверка наличия и функционирования всех предусмотренных в проекте системы средств контроля.

    На этапе приемосдаточных испытаний специалисты службы внутреннего контроля должны будут проверить, все ли предусмотренные ими процессы и процедуры контроля реализованы в полном объеме и работают ли так, как предусмотрено — имеется ли возможность фиксировать в контрольных точках те компоненты данных, с помощью которых можно убедиться в правильной расшифровке и отработке ордеров клиентов, точном выполнении заказанных ими банковских операций, включая адекватность записей в базе бухгалтерских данных, целостности клиентских и банковских данных и достоверности внутри-банковской отчетности, в которую сводятся данные из системы интернет-банкинга. В процессе эксплуатации систем специалисты внутреннего контроля пользуются средствами контроля АБС и системы электронного банкинга для достижения заданных целей, одновременно предоставляя руководству банка информацию о функционировании контролируемых систем, при необходимости предоставляя возможность воспользоваться предусмотренными механизмами контроля. Аналогичным образом предполагается участие службы внутреннего контроля и в процессах сопровождения и модернизации внутрибанковских систем.

    На этих этапах внутренний контроль должен отслеживать все изменения в системах, которые могут привести к появлению белых пятен в контролируемых процессах. Примером может служить такая ситуация, когда в ходе доработки операционного программного обеспечения при внедрении новых видов дистанционного банковского оборудования какие то контрольные функции окажутся ошибочно заблокированы или же не будут встроены новые контрольные процедуры, связанные с новыми видами обслуживания, а значит, возникнут и новые источники рисков. Кроме того, в современных компьютерных системах, характеризуемых повышенной сложностью алгоритмистики и программного обеспечения, возможно наличие так называемых «дыр», сквозь которые могут «проникать» злоумышленники, стремящиеся нанести ущерб банку или его клиентам. Такие недостатки могут иметь место из-за ошибок в программировании, недостатков инструментальных средств, с помощью которых разрабатывались программные комплексы, дефектов операционных систем, под управлением которых работают компьютеры или сетевые устройства, включая средства сетевой защиты и их настройку, управление базами данных и пр. Компьютеризованные средства внутреннего контроля должны позволять обнаруживать случаи несанкционированного вмешательства во все автоматизированные внутрибанковские процессы (хранение данных, расчеты, платежи) и выявлять результаты таких действий. Причем это относится и к возможным мошенническим действиям персонала банка, и к атакам хакеров и других нарушителей штатных режимов работы АБС и систем электронного банкинга. Считается, что специалисты внутреннего контроля должны понимать и учитывать в своей деятельности проблемы такого рода. Сказанное относится и к ситуации, когда банк приобретает программно-технический комплекс «под ключ». Данное явление типично для банковских учреждений, которые не имеют возможности осуществлять какие-либо собственные разработки или заказывать разработку специальных систем, будь то АБС или система электронного банкинга. В этой ситуации возникает необходимость привлечения службы внутреннего контроля (равно как и службы информационной безопасности) к анализу функциональных возможностей приобретаемой системы по целому ряду вопросов. В том числе участие специалистов внутреннего контроля в изучении гарантий полноты контроля над функционированием приобретаемой системы, отсутствия каких-либо встроенных «программных закладок», предназначенных для осуществления нештатных операций (связанных, например, с хищениями финансовых средств или конфиденциальной информации), надежности функционирования в критических ситуациях, «горячего» резервирования данных в обеспечение целостности банковских данных после восстановления работоспособности, прерванной теми или иными форс-мажорными обстоятельствами. Все это в оптимальном случае должно иметь место не только в ходе приемосдаточных испытаний систем, но и в процессе их эксплуатации и модернизации.

    Очевидно, что компьютеризация банковской деятельности неизбежно приводит к значительному усложнению процедур внутреннего контроля, поскольку речь идет о сложных программно-технических комплексах банка и массовом обслуживании. Особенно актуальным это становится, когда количество клиентов, использующих технологии интернет-банкинга, составляет тысячи и десятки тысяч, а число осуществляемых ими операций исчисляется десятками и сотнями тысяч, причем это происходит в реальном масштабе времени и в режиме так называемой «сквозной обработки». При этом следует учитывать необходимость поддержания адекватности бухгалтерского учета в виртуальном пространстве, достоверности банковской отчетности, а также противодействия противоправной деятельности через дистанционное банковское обслуживание. В условиях массового обслуживания в онлайновом режиме службе внутреннего контроля необходимо предусматривать в программном обеспечении АБС кредитной организации наличие специальных автоматических процедур, «реагирующих» на признаки подозрительных операций, наряду со специальной диагностикой таких операций. В США, например, банковские учреждения обязаны заполнять и предоставлять в органы банковского надзора так называемые «отчеты о подозрительной деятельности» (SAR — Suspicious Activity Report), имеющие унифицированную форму, частично ориентированную на компьютерную обработку. Эта отчетная форма время от времени совершенствуется, на сегодняшний день она включает информацию как о возможных нелегитимных или подозрительных операциях и сделках, так и об атаках из киберпространства, которым подвергаются финансовые учреждения, нанесенном ущербе, результатах расследований.

    Сложность современных внутрибанковских систем, систем дистанционного банковского обслуживания и многообразие реализуемых ими процедур неизбежно приводит к повышению требований к организации, составу и рабочим планам службы внутреннего контроля. Соответственно аналогичные требования будут транслироваться и в другие подразделения банка. Поэтому от его руководства требуется особое внимание к условиям применения информационных технологий, и прежде всего в плане их легитимности, надежности и защищенности.

    Многие упущения в организации и функционировании службы внутреннего контроля могут оказаться обусловлены недостаточным вниманием руководства банка к профессиональному составу сотрудников, работающих в этой системе. Существует одна старая, но, тем не менее, неустаревающая выдержка из «Обзора по компьютерному мошенничеству и злоупотреблениям» Комиссии по аудиту Великобритании выпуска, которая гласит: «Аудиторам всех организаций следует иметь подготовку в области компьютерных технологий — особенно руководителям аудиторских служб, при этом многим организациям потребуется наличие профессионалов в области компьютерных технологий в их подразделениях внутреннего аудита для регулярного формирования рекомендаций по вопросам информационных технологий». Раз уж банки оказались в зависимости от своих компьютерных информационных технологий, то, по всей вероятности, кто то должен наблюдать за этой зависимостью, оценивать ее степень и не допускать того, чтобы она оказалась фатальной. Поэтому хорошо известные принципы «знай своего клиента» и «знай своего работника» для специалистов, занятых в системе внутреннего контроля, уместно было бы дополнить принципом «знай свои технологии». При этом здесь ни в коем случае нельзя забывать о необходимости реализации «принципа четырех глаз», что дополнительно усложняет состав и организацию службы внутреннего контроля, равно как и мониторинг ее деятельности со стороны руководства и службы внутреннего аудита банка.

    Совершенно очевидно, что для того чтобы служба внутреннего контроля была эффективной, ее персонал должен иметь полное и адекватное представление о бизнес модели банка, направлениях его деятельности, технологическом обеспечении этих направлений, аппаратно-программном обеспечении, АБС и электронном банкинге, рисках, связанных с каждым из видов банковской деятельности, включая те, компоненты которых имеют технологический характер, их возможных источниках, в том числе специализированном программном обеспечении. Следовательно, в банке неизбежно должен быть организован процесс «адаптации» внутреннего контроля к развитию контролируемых им внутрибанковских систем и процессов, особенно при внедрении новых технологий дистанционного банковского обслуживания. В службе внутреннего контроля должны присутствовать специалисты, имеющие серьезную информационно-техническую подготовку по таким направлениями, как бухгалтерский учет, расчеты и платежи, подготовка и аудит банковской отчетности, информационная безопасность и защита информации, тестирование автоматизированных систем управления, риски автоматизированной банковской деятельности, их выявление, анализ и мониторинг. Однако это не все — каждый из таких специалистов службы внутреннего контроля должен проходить регулярное повышение квалификации, связанное с введением, как новых видов банковской деятельности, так и новых банковских технологий и реализующих их систем.

    К сожалению, одними возможными внутрибанковскими проблемами, связанными с АБС и системами электронного банкинга, в современных условиях сфера интересов специалистов службы внутреннего контроля не может быть исчерпана. В зарубежной практике в обязанности служб внутреннего контроля кредитных организаций входит поддержание постоянных и весьма тесных отношений с организациями — провайдерами тех услуг, которые необходимы для реализации дистанционного банковского обслуживания.

    Во-первых, это регулярные рабочие контакты представителей службы внутреннего контроля с менеджерами того или иного провайдера на его территории. Такое взаимодействие предусматривает получение информации о финансовом состоянии провайдера (поскольку важно убедиться в его финансовой состоятельности на перспективу), сведений о программно-технических комплексах, через которые проходят потоки данных банка и его клиентов, их надежности и защищенности (с позиций гарантий непрерывности функционирования и невозможности компрометации данных), а также об организации внутренних процессов и процедур.

    Во-вторых, это контроль содержания контрактов на те или иные виды обслуживания в интересах четкого разделения ответственности в случаях реализации, каких либо поддающихся прогнозу факторов риска или возникновения форс-мажорных обстоятельств. В этой части специалисты внутреннего контроля изучают описания предусмотренных процедур судебного разбирательства и решения возможных спорных вопросов, организацию резервирования средств вычислительной техники, от которых зависит работа провайдера, а через него — данной кредитной организации, планов на случай непредвиденных обстоятельств, содержание договоров с суб-провайдерами, если они есть, и пр.

    В-третьих, изучается организация работы собственной службы контроля провайдера. По сути, заключая контракты на предоставление услуг третьими сторонами, служба внутреннего контроля банка превращается для них в своего рода мини проверяющего. К примеру, в законодательстве США предусмотрено, что банки обязаны в месячный срок уведомлять орган банковского надзора о заключении контракта с конкретным провайдером или об использовании услуг провайдера. Нарушение данного требования и других, связанных с ним, карается санкциями.

    Что касается России, то, как некоторый аналог такого порядка можно рассматривать пока только выпущенное по результатам работ в направлении интернет-банкинга, указание Банка России  № 1390У «О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий». Обработка сведений, содержащихся в отчетной форме, введенной этим документом, ориентирована на формирование общей картины распространения технологии интернет-банкинга  в банковском секторе России, зависимости кредитных организаций от провайдеров интернет-услуг в различных аспектах, условиях применения данной технологии, ее интеграции с действующими автоматизированными банковскими системами, а также обеспечении ее штатного функционирования, включая

    Проведение проверки информационной безопасности

    Типовая проверка систем информационной безопасности специалистами службы внутреннего контроля может быть выстроена согласно ряду последовательных этапов, соответствующих в целом этапам проведения комплексного аудита информационных технологий и автоматизированных систем, в частности:

    -              инициирование процедуры проверки;

    -              сбор информации;

    -              анализ данных;

    -              выработка рекомендаций;

    -              подготовка отчета по проверке.

    Первый этап — инициирование процедуры проверки службой внутреннего контроля проводится по инициативе руководства банка, поддержка которого является необходимым условием для проведения проверки. Проверка представляет собой комплекс мероприятий, в которых помимо самого специалиста службы внутреннего контроля, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы.

     Поэтому на этапе инициирования процедуры проверки должны быть решены следующие организационные вопросы:

    -              права и обязанности должны быть четко определены и документально закреплены в должностных инструкциях, а также в положении о системе внутреннего контроля;

    -              специалистом службы внутреннего контроля должен быть подготовлен и согласован с руководством план проведения проверки;

    -              в положении о службе внутреннего контроля (внутреннем аудите) должно быть закреплено, в частности, что сотрудники банка обязаны оказывать содействие и предоставлять всю необходимую для проведения проверок информацию.

    На этапе инициирования процедуры проверок должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными, и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для проверок из-за соображений конфиденциальности.

    Границы проведения обследования определяются в следующих терминах:

    -              список обследуемых физических, программных и информационных ресурсов;

    -              площадки (помещения), попадающие в границы обследования;

    -              основные виды угроз безопасности, рассматриваемые при проведении проверки;

    -              организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).

    План и границы проведения проверки обсуждаются на рабочем собрании, в котором участвуют специалисты службы внутреннего контроля, руководство банка и руководители структурных подразделений.

    Второй этап — сбор информации для проверки — является наиболее сложным и длительным. Это связано с тем, что в большинстве российских банков необходимая документация на информационную систему отсутствует, кроме того, специалист службы внутреннего контроля должен плотно взаимодействовать со многими должностными лицами организации.

    Компетентные выводы относительно положения дел в компании с информационной безопасностью могут быть сделаны специалистом службы внутреннего контроля только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии информационной системы осуществляется контролером в ходе специально организованных интервью с ответственными лицами, путем изучения технической и организационно-распорядительной документации, а также исследования автоматизированной банковской системы с использованием специализированного программного инструментария.

    Обеспечение информационной безопасности организации — это комплексный процесс, требующий четкой организации и дисциплины. Он должен начинаться с определения ролей и распределения ответственности среди должностных лиц, занимающихся информационной безопасностью. Поэтому первый пункт проверки начинается с получения информации об организационной структуре пользователей информационной системы и обслуживающих ее подразделений. В связи с этим в пакет информации, запрашиваемой контролером, как минимум, должны входить такие документы, как схема организационной структуры пользователей и схема организационной структуры обслуживающих подразделений. Контролеру необходимо ответить на вопросы: кто является владельцем информации? кто является пользователем (потребителем) информации? кто является провайдером услуг?

    Назначение и принципы функционирования информационной системы во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе контролера интересует информация о назначении и функционировании информационной системы. Контролер задается вопросами: какие услуги и каким образом предоставляются конечным пользователям, какие основные виды приложений функционируют в автоматизированной банковской системе (АБС)? каково количество пользователей различных видов, использующих эти приложения?

    Ему понадобится также следующая документация, конечно, если таковая вообще имеется в наличии, что в российских банках случается нечасто:

    1)            функциональные схемы;

    2)            описание автоматизированных функций;

    3)            описание основных технических решений;

    4)            другая проектная и рабочая документация на информационную систему.

    Далее, контролеру требуется более детальная информация о структуре АБС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования системы.

    Типовые вопросы, на которые должен найти ответ контролер, включают в себя:

    -              из каких компонентов (подсистем) состоит информационная система?

    -              функциональность отдельных компонент?

    -              где проходят границы системы?

    -              какие точки входа имеются?

    -              как информационная система взаимодействует с другими системами?

    -              какие каналы связи используются для взаимодействия с другими информационными системами?

    -              какие каналы связи используются для взаимодействия между компонентами системы?

    -              по каким протоколам осуществляется взаимодействие?

    -              какие программно-технические платформы используются при построении системы?

    На этом этапе контролеру необходимо запастись следующей документацией:

    1)            структурная схема информационной системы;

    2)            схема информационных потоков;

    3)            описание структуры комплекса технических средств информационной системы;

    4)            описание структуры программного обеспечения;

    5)            описание структуры информационного обеспечения;

    6)            размещение компонентов информационной системы.

    Когда все необходимые данные по информационной системе, включая документацию, подготовлены и собраны, контролеру можно переходить к их анализу. Используемые контролерами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.

    Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, контролер определяет для обследуемой АБС индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности данной информационной системы, среды ее функционирования и существующие в данной среде угрозы безопасности. Данный подход является наиболее трудоемким и требует наивысшей квалификации контролера. На качество результатов проверки в этом случае сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу информационной системы.

    Второй подход, самый практичный, опирается на использование стандартов информационной безопасности. Стандарты определяют базовый набор требований безопасности для широкого класса информационных систем, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований безопасности, в зависимости от уровня защищенности информационной системы, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленность, связь и т.п.). От контролера в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной информационной системы. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения проверки уже заранее определен стандартом) и надежности (стандарт есть стандарт и его требования никто не попытается оспорить) описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита АБС). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии информационной системы банка.

    Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований безопасности, предъявляемых к информационной системе, определяется стандартом (Банка России или международными рекомендациями). Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной информационной системы, формируются на основе анализа рисков. Этот подход является намного проще первого, так как большая часть требований безопасности уже определена стандартом, и в то же время он лишен недостатка второго подхода, заключающегося в том, что требования стандарта могут не учитывать специфики обследуемой информационной системы.

    Анализ рисков — это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АБС, с целью определения того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам информационной системы в случае реализации угрозы безопасности.

    Анализ состоит в том, чтобы выявить существующие риски и оценить их величину (дать им качественную либо количественную оценку).

    Процесс анализа рисков можно разделить на несколько последовательных этапов:

    -              идентификация ключевых ресурсов информационных систем;

    -              определение важности тех или иных ресурсов для организации;

    -              идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;

    -              вычисление рисков, связанных с осуществлением угроз безопасности.

    В свою очередь ресурсы информационной системы можно разделить на такие категории, как информационные, программное обеспечение, технические средства (серверы, рабочие станции, активное сетевое оборудование и т.п.) и людские ресурсы. В каждой категории ресурсы делятся на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность информационной системы и существенны с точки зрения обеспечения безопасности.

    Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности.

     Обычно рассматриваются следующие виды ущерба:

    -              данные были раскрыты, изменены, удалены или стали недоступны;

    -              аппаратура была повреждена или разрушена;

    -              нарушена целостность программного обеспечения.

    Ущерб может быть нанесен организации в результате успешного осуществления следующих видов угроз безопасности:

    -              локальные и удаленные атаки на ресурсы информационной системы;

    -              стихийные бедствия;

    -              ошибки либо умышленные действия персонала подразделений информационных технологий;

    -              сбои в работе информационной системы, вызванные ошибками в программном обеспечении или неисправностями аппаратуры.

    Величина риска определяется на основе стоимости ресурса, вероятности осуществления угрозы и иногда величины уязвимости. Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба.

    Если для проведения аудита безопасности выбран подход, базирующийся на анализе рисков, то на этапе анализа данных аудита обычно выполняются следующие группы задач:

    -              анализ ресурсов АБС, включая информационные ресурсы, программные и технические средства, а также людские ресурсы;

    -              анализ групп задач, решаемых системой, и бизнес-процессов;

    -              построение (неформальной) модели ресурсов АБС, определяющей взаимосвязи между информационными, программными, техническими и людскими ресурсами, их взаимное расположение и способы взаимодействия;

    -              оценка критичности информационных ресурсов, а также программных и технических средств;

    -              определение критичности ресурсов с учетом их взаимозависимостей;

    -              определение наиболее вероятных угроз безопасности в отношении ресурсов АБС и уязвимостей защиты, делающих возможным осуществление этих угроз;

    -              оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого организации в случае успешного осуществления угроз;

    -              определение величины рисков для каждой тройки: угроза — группа ресурсов — уязвимость.

    Перечисленный набор задач является достаточно общим. Для их решения могут использоваться различные формальные и неформальные, количественные и качественные, ручные и автоматизированные методики анализа рисков. Однако суть подхода от этого не меняется.

    Оценка рисков может даваться с использованием различных как качественных, так и количественных шкал. Главное, чтобы существующие риски были правильно идентифицированы и про ранжированы в соответствии со степенью их критичности для банка. На основе такого анализа может быть разработана система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

    В случае проведения аудита безопасности на соответствие требованиям стандарта, аудитор, полагаясь на свой опыт, оценивает применимость требований стандарта к обследуемой АБС и ее соответствие этим требованиям. Данные о соответствии различных областей функционирования АБС требованиям стандарта обычно представляются в табличной форме. Затем делаются соответствующие выводы и даются рекомендации по реализации в системе механизмов безопасности.

    Рекомендации, выдаваемые контролером по результатам анализа состояния АБС, определяются используемым подходом, особенностями обследуемой информационной системы, состоянием дел с информационной безопасностью и степенью детализации, используемой при проведении аудита. При этом мероприятия по обеспечению защиты организационного уровня практически всегда имеют приоритет над конкретными программно-техническими методами защиты.

    Отчет службы внутреннего контроля о состоянии информационной безопасности банка является основным результатом проведения проверки. Его качество характеризует качество работы контролера. Структура отчета может существенно различаться в зависимости от характера и целей проводимой проверки. Однако определенные разделы должны обязательно в нем присутствовать. Он должен содержать описание целей проведения проверки, характеристику обследуемой АБС, указание границ проведения обследования и используемых методов, результаты анализа данных, выводы, обобщающие эти результаты и содержащие оценку уровня защищенности автоматизированной системы или соответствие ее требованиям стандартов, и, конечно, рекомендации контролера по устранению существующих недостатков и совершенствованию системы защиты.



    тема

    документ Коммерческие банки
    документ Банковская система
    документ Банковские риски, надежность и эффективность коммерческих банков
    документ Валютные операции банков
    документ Валютные операции коммерческих банков
    документ История развития, виды и современное состояние банковских систем
    документ Доходы, расходы и прибыль коммерческого банка



    назад Назад | форум | вверх Вверх

  • Управление финансами

    важное

    1. ФСС 2016
    2. Льготы 2016
    3. Налоговый вычет 2016
    4. НДФЛ 2016
    5. Земельный налог 2016
    6. УСН 2016
    7. Налоги ИП 2016
    8. Налог с продаж 2016
    9. ЕНВД 2016
    10. Налог на прибыль 2016
    11. Налог на имущество 2016
    12. Транспортный налог 2016
    13. ЕГАИС
    14. Материнский капитал в 2016 году
    15. Потребительская корзина 2016
    16. Российская платежная карта "МИР"
    17. Расчет отпускных в 2016 году
    18. Расчет больничного в 2016 году
    19. Производственный календарь на 2016 год
    20. Повышение пенсий в 2016 году
    21. Банкротство физ лиц
    22. Коды бюджетной классификации на 2016 год
    23. Бюджетная классификация КОСГУ на 2016 год
    24. Как получить квартиру от государства
    25. Как получить земельный участок бесплатно


    ©2009-2016 Центр управления финансами. Все права защищены. Публикация материалов
    разрешается с обязательным указанием ссылки на сайт. Контакты