Главная » Экономисту »
Подходы к организации банковского надзора в области интернет-банкинга в системе банка России
Подходы к организации банковского надзора в области интернет-банкинга в системе банка России
Статью подготовила ведущий эксперт-экономист по бюджетированию Ошуркова Тамара Георгиевна. Связаться с автором
С точки зрения отечественного банковского надзора, внедрение и развитие дистанционного банковского обслуживания (ДБО), одним из направлений которого является интернет-банкинг, обусловило появление как минимум трех важных проблем системного характера:
Не забываем поделиться:
1) используемые кредитными организациями инновации в информационно-технологической сфере приводят к постоянному отставанию нормативно-методической базы в области регламентации банковской деятельности;
2) с точки зрения Банка России, использование высоких технологий для сопровождения банковских операций клиентов может вызвать снижение надежности и устойчивости кредитных организаций;
3) информационно-технологические инновации в банковской сфере могут негативно отразиться на эффективности контроля, осуществляемого Банком России за деятельностью кредитных организаций.
Тем самым, естественно возникает необходимость в организации определенного надзорного регулирования применяемого кредитными организациями ДБО.
Согласно наиболее распространенной сегодня среди специалистов точке зрения (которой придерживается и Банк России, судя по выступлениям его представителей), внедрение ДБО не приводит к появлению каких либо принципиально новых видов рисков, поскольку, например, очевидно, что интернет-банкинг не является совершенно новым видом банковских операций, а представляет собой одну из технологий предоставления банковских услуг. Вместе с тем специфика данной технологии приводит в общем случае к серьезным сдвигам в конфигурации (внутренней структуре) основных банковских рисков (расширению состава источников или факторов рисков и степени их влияния на уровень рисков), к которым (в контексте рассмотрения проблемы использования ДБО) относятся, прежде всего, операционный, стратегический, правовой, репутационный и риск ликвидности.
Поскольку новых видов риска не возникает, нет необходимости и во введении в управление рисками каких либо дополнительных элементов помимо тех трех, что уже имеются в распоряжении кредитных организаций (выявление, оценка и мониторинг рисков). Вместе с тем кредитным организациям следует уделять пристальное внимание проблемам, возникающим в связи с повышением уровня определенных видов риска, а регулирующим органам — выработать принципы банковского надзора, учитывающие специфику электронных банковских услуг.
Применительно к технологиям интернет-банкинга основными причинами, обусловливающими изменения в структуре банковских рисков, обычно считают:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
- «виртуальный» характер банковского обслуживания, приводящий к отсутствию непосредственного физического взаимодействия банка с клиентом;
- «открытость» телекоммуникационных систем передачи информации, посредством которых осуществляется обмен электронными данными с клиентами кредитных организаций;
- «глобальность» взаимодействия клиента с банком, предоставляющая возможность доступа к банковским услугам практически из любой точки земного пространства, где возможен выход во всемирную сеть Интернет;
- широкое участие сторонних организаций — провайдеров услуг в предоставлении клиентам банковского обслуживания;
- оперативность осуществления транзакций, выполняемых кредитными организациями по поручениям, полученным от своих клиентов.
Учет влияния перечисленных факторов на уровень банковских рисков представляет собой сложный и нетривиальный процесс, требующий применения специальных методов по пруденциальному управлению рисками. С позиции современных международных подходов к организации надзора самим кредитным организациям, внедряющим «высокие» технологии, следует выявлять, оценивать и минимизировать возникающие в связи с этим риски. Вместе с тем функции надзора расширяются путем реализации соответствующих риск ориентированных подходов, предполагающих постоянное изучение новых банковских технологий и анализ сопутствующих им источников банковских рисков (включая инспекционные процедуры — проверки деятельности банков непосредственно на месте), а регулирование банковской деятельности дополняется разработкой специальных рекомендаций в адрес кредитных организаций по организации управления рисками, возникающими в связи с внедрением данных технологий.
В современных условиях Банк России в рамках организации указанного процесса банковского регулирования и надзора, с одной стороны, осуществляет изучение и анализ внедрения и использования кредитными организациями технологий интернет-банкинга, а с другой стороны, предпринимает определенные шаги в области создания методической базы управления рисками при использовании технологий интернет-банкинга.
Необходимо отметить, что на сегодняшний день в системе Банка России, по всей видимости, еще продолжается формирование единого подхода к проблеме регулирования и надзора в области применения кредитными организациями технологий электронного банкинга (это касается как дистанционного банковского надзора, так и инспектирования кредитных организаций)1. Данное обстоятельство естественным образом обусловлено сложностью, многофакторностью и нетривиальностью изучения проблемы рисков, связанных с системами электронного банкинга, особенно имеющими, как при интернет-банкинге, распределенный характер. Проблему усугубляет уникальность построения созданных в каждой кредитной организации АБС и других информационных систем (включая архитектуру построения систем и важность для банка и его клиентов информации, которой эти системы функционально оперируют), в значительной степени определяющая специфику и многообразие факторов рисков. При этом наличие на сегодняшний день в современных кредитных организациях минимум десятков разнообразных программно-технических решений в области реализации систем интернет-банкинга (разработанных как сторонними коммерческими организациями, так и собственными силами банковских сотрудников-программистов) также обусловливает известную сложность комплексного изучения и системного анализа рассматриваемой предметной области.
В качестве одного из первых шагов к изучению ситуации в области становления и развития отечественного интернет-банкинга Банком России в течение проводилось сплошное (участвовали все 78 территориальных учреждений Банка России, ответы на вопросы анкеты были получены от 1285 кредитных организаций, или 96,7% действовавших на момент опроса) анкетирование кредитных организаций по тематике интернет-банкинга, в результате которого было установлено, что интернет-технологии использует (как минимум, имеют собственные web-сайты) 551 кредитная организация (42,9%, здесь и далее по тексту абзаца — от общего количества проанкетированных банков) в 65 регионах страны. При этом 96 банков (7,5%) на момент опроса уже производили то или иное обслуживание своих клиентов посредством сети Интернет (из них 56 — в Москве и области), а еще 104 (8,1%) планировали внедрение таких услуг до середины следующего года (анкетирование показало, что обслуживание клиентов в большинстве отечественных кредитных организаций посредством сети Интернет включает тот или иной из двух основных типов банковских услуг: предоставление сведений о состоянии банковского счета клиента и осуществление расчетных операций по его поручению). Из упомянутых 96 кредитных организаций 90 предоставляли услуги по обслуживанию юридических, а 36 — физических лиц (при этом доля клиентов, прибегающих к услугам интернет банкинга, в целом являлась незначительной — 3,1% и 0,9% соответственно от общего количества клиентов кредитных организаций — юридических и физических лиц).
Было проведено выборочное анкетирование кредитных организаций по тематике интернет-банкинга в шести регионах страны. По результатам обработки полученных данных было, в частности, установлено, что в этой группе регионов за два года количество юридических лиц, пользующихся доступом к банковским услугам через Интернет, выросло в три раза, причем счет перешел с тысяч на десятки тысяч, а количество физических лиц увеличилось в два раза, достигнув нескольких тысяч человек, при этом количество самих банков, предоставляющих такие услуги, выросло в среднем в 2,5 раза. Кроме того, данные, полученные уже еще по одной группе регионов, свидетельствовали о том, что интернет-банкинг получил свое развитие, как минимум, в двух десятках регионов России, и, безусловно, процесс развития высокими темпами продолжается и по сегодняшний день (согласно некоторым данным, более 400 отечественных кредитных организаций предлагали своим клиентам услуги интернет-банкинга, а имели представительство в сети Интернет почти 950 банков, или более 80% от общего количества кредитных организаций, зарегистрированных в России).
Полученные в ходе проведенных анкетировании данные, свидетельствующие о бурном развитии отечественного интернет-банкинга, вероятно, обусловили предпринятые Банком России мероприятия по организации постоянного наблюдения за процессами расширения и модернизации данного вида банковского обслуживания было введено в действие указание Банка России, устанавливающее порядок информирования кредитными организациями Банка России об использовании в своей деятельности интернет-технологий. В данном документе предусмотрен сбор посредством специально разработанной отчетной формы определенных сведений как о самих применяемых банками интернет-технологиях, так и об их организационном обеспечении, а также об условиях применения (как правило, конкретные условия внедрения и использования технологий во многом определяют те или иные факторы риска и, тем самым, уровни рисков, принимаемых кредитными организациями в ходе своей операционной деятельности). При этом данная отчетная форма представляет собой вариант анкеты, с помощью Банком России проводилось анкетирование кредитных организаций, переработанный и дополненный с учетом предложений кредитных организаций, высказанных в ходе предварительной апробации отчетной формы, осуществленной.
Указанием Банка России предусмотрено первоначальное представление отчетности кредитными организациями (в течение одного месяца со дня его вступления в силу), а дальнейшее ее представление должно производиться банками на нерегулярной основе в следующих случаях: ввод web-сайта в эксплуатацию, изменение функционального назначения или функциональных возможностей web-сайта, изменение места нахождения web-сайта, прекращение использования web-сайта. В случае использования кредитной организацией нескольких web-сайтов (а также отдельных от главного сайта web-сайтов филиалов банка) отчет следует представлять по каждому из сайтов отдельно.
Отчетная форма содержит следующие основные разделы:
- общие сведения (в том числе: адрес web-сайта и его функциональное назначение; наличие внутреннего документа, регламентирующего порядок использования или прекращения использования web сайта; место нахождения главной страницы сайта; организация, осуществляющая поддержку web-сайта; наличие договоров с владельцем web-сервера и провайдером интернет-услуг; наличие внутреннего документа, регламентирующего порядок предоставления услуг интернет-банкинга; название программного продукта интернет-банкинга и фирмы-разработчика; количество филиалов банка, использующих интернет-технологии);
- сведения о клиентском обслуживании (перечисляются операционные услуги, предоставляемые посредством интернет-банкинга, например открытие банковских счетов, переводы денежных средств в рублях или иностранной валюте, пополнение и переводы средств со счетов держателей банковских карт, покупка (продажа) иностранной валюты или ценных бумаг и ряд других; перечисляются информационные и коммуникационные услуги, в том числе, оформление кредитных договоров, обмен электронными документами, предоставление выписок по счетам или операциям, наличие интерактивного консалтингового сервиса);
- обеспечение интернет-банкинга (наличие структурного подразделения информационных технологий, системного администратора и администратора безопасности; количество сотрудников, обеспечивающих функционирование системы интернет-банкинга; наличие внутреннего документа, регламентирующего порядок сетевого мониторинга и системного аудита; наличие документов по методическому обеспечению и результатам контроля за рисками в области интернет банкинга; наличие ограничений на объем операций с использованием интернет-банкинга; документирование процедур внутреннего контроля за технологиями интернет-банкинга; наличие плана обеспечения непрерывности функционирования системы интернет-банкинга; наличие регламента действий при обнаружении сетевых атак; имеется ли сетевая связь системы интернет-банкинга с АБС; наличие двухуровневой системы межсетевой защиты; использование одноразовых идентификаторов клиентов или средств электронной цифровой подписи; использование стандартных интернет-браузеров, а также специализированных компонентов, не входящих в их состав, например средств защиты информации и пр.).
На основе аналитической обработки информации, поступающей в соответствии с представленной формой, Банк России получает сведения о текущем развитии технологий интернет-банкинга в отечественной кредитно-финансовой сфере, одновременно формируя представление о круге возможных проблем в данной области, требующих определенного регулирования. В частности, данная информация, очевидно, используется при разработке Банком России ряда рекомендаций кредитным организациям, предлагающих определенный набор общих стандартизированных условий, соблюдение которых при использовании технологий интернет-банкинга, по мнению регулятора, создает предпосылки эффективного управления рисками, возникающими в связи с использованием кредитными организациями технологий ДБО посредством сети Интернет.
Примером такого рода рекомендаций со стороны Банка России являются впервые опубликованные переизданные рекомендации по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет, содержащие основные понятия предметной области (ДБО, информационные технологии, интернет-технологии, web-сервер, web-сайт), состав сведений, подлежащих размещению на информационных web сайтах КО, а также некоторые особенности организации банковских операционных web-сайтов.
В данном документе Банк России рекомендует размещать на принадлежащих кредитным организациям или арендуемых ими web-сайтах следующие сведения:
- установочные (в том числе полное и сокращенное наименование банка, его регистрационный номер, платежные реквизиты, перечень видов выданных банку лицензий, юридический и фактический адреса, номера телефонов, адреса сайтов в Интернете, официальные адреса электронной почты, перечень филиалов и дополнительных офисов банка, режим работы, сведения об учредителях и руководителях, перечень основных направлений деятельности, сведения о нахождении в системе страхования вкладов и др.);
- функциональные (в частности, перечень услуг и тарифов для юридических и физических лиц, в том числе предлагаемых в рамках интернет-банкинга, типовые формы договоров на оказание банковских услуг, демонстрационные версии интерфейсов системы ДБО, краткое описание технологий и средств обеспечения информационной безопасности при интернет-банкинге, описание условий страхования банковских услуг и др.);
- отчетные (бухгалтерская и финансовая отчетность за два последних года, сведения об эмиссии ценных бумаг, эмиссии и эквайринге платежных карт и др.).
При размещении информации на web-сайтах банкам следует обеспечивать ее достоверность, полноту и актуальность, а также соответствие сведениям, представляемым в Банк России и публикуемым в средствах массовой информации.
В рассматриваемом документе подчеркивается, что функционирование операционных web-сайтов кредитных организаций вызывает необходимость обеспечения безопасности совершения клиентами операций в рамках ДБО, в связи, с чем приводится ряд Конкретных рекомендаций по снижению связанных с данным видом ДБО рисков, например обеспечение конфиденциальности адреса операционного web сайта, применение процедур идентификации и аутентификации пользователей при входе на операционный web-сайт, использование средств шифрования на всех этапах информационного обмена банка со своим клиентом, применение средств аутентификации электронных сообщений (в том числе средств электронной цифровой подписи) в ходе обмена электронными документами с клиентом. Особо подчеркивается обязательность применения межсетевых экранов (брандмауэров) в случае технологически предусмотренного непосредственного информационного взаимодействия web-сервера и АБС кредитной организации.
В декабре Банком России в адрес своих территориальных учреждений было направлено письмо, посвященное отдельным вопросам управления рисками при ДБО и отражающее обеспокоенность регулирующего органа рядом негативных явлений и инцидентов, затрагивающих сайты российских финансово-кредитных учреждений. К такого рода явлениям Банком России были отнесены сетевые атаки на банковские web-сайты и web-серверы (прежде всего распределенные атаки типа «отказ в обслуживании», или DDOS-атаки), а также попытки неправомерного получения персональной конфиденциальной информации о зарегистрированных пользователях систем ДБО (в частности, пароли, секретные ключи используемых криптографических средств шифрования и электронной цифровой подписи, номера и ПИН коды банковских карт и другие персональные данные). Попытки несанкционированного доступа к персональным данным пользователей могут осуществляться посредством DDOS-атак общей продолжительностью несколько суток, в течение которых доступ к предоставляемым кредитной организацией услугам ДБО является полностью блокированным, что может являться причиной понесения прямого ущерба, как самой кредитной организацией, так и ее клиентами.
В этой связи Банк России счел необходимым рекомендовать представителям отечественного банковского сообщества предусматривать в договорах с провайдерами интернет-услуг принятие ряда специальных мер по восстановлению работоспособности webресурсов1 кредитной организации в случае возникновения чрезвычайных ситуаций, оговорив обязательства сторон и ответственность контрагентов за несвоевременное их исполнение.
В качестве другого примера распространенных попыток несанкционированного доступа к персональной информации в письме Банка России приведена схема действий, известная как «фишинг» и заключающаяся в перенаправлении клиента банка (с помощью, например, направленного якобы от имени банка сообщения электронной почты, содержащего фальшивую ссылку на web-сайт банка) по ложному «подставному» адресу в сети Интернет (например, на специально созданный сайт — дубликат или прототип, внешний вид, которого имитирует вид web-сайта кредитной организации) с целью получения введенных пользователем данных, например своих идентификатора и пароля (после чего «ловушка» захлопывается).
Также в документе приводятся случаи неправомерных действий при использовании банкоматов и телефонного мошенничества с целью получения несанкционированного доступа к конфиденциальной информации о клиентах (в частности, номера и ГШН-коды банковских карт).
На основании указанных фактов Банк России обратил внимание кредитных организаций на необходимость:
- оперативного оповещения своих клиентов о возможных попытках получения их персональных данных с описанием соответствующих способов мошеннических действий;
- доведения до сведения клиентов официально принятых в кредитной организации способов и средств взаимодействия с ними;
- описания и ознакомления клиентов со списком рекомендуемых банком мер предосторожности, которые следует предпринимать клиентам, к которым могут, в том числе относиться сохранение конфиденциальности персональных сведений (в тайне от посторонних лиц), использование (при ее наличии) услуги SMS-оповещения о проведенных посредством ДБО банковских операциях, осуществление клиентом информационного взаимодействия с кредитной организацией только посредством официально доведенных до него реквизитов банка — адресов web-сайтов и электронной почты, номеров телефонов и т.п.
Следует отметить, что в соответствии с общепринятой международной практикой, в частности, рекомендациями Базельского комитета по банковскому надзору, Банк России уделяет определенное внимание роли внутреннего контроля кредитной организации в обеспечении ее безопасности в информационной сфере, что нашло свое отражение в Положении Банка России, посвященном организации внутреннего контроля в кредитных организациях и банковских группах, вступившем в силу Указанным документом закреплен ряд обязательных организационных и других мер в области обеспечения и контроля за информационной безопасностью кредитно-финансовых учреждений.
Также в рамках продолжающейся в отечественном надзорном органе работы в области методического обеспечения деятельности кредитной организаций в сфере интернет-банкинга, было опубликовано письмо Банка России, содержащее Рекомендации по организации управления рисками, возникающими при осуществлении операций с применением систем интернет-банкинга, в котором подчеркивается, что обеспечение эффективного управления банковскими рисками является одной из целей внутреннего контроля, в связи, с чем Банком России направляются для использования в работе данные Рекомендации. В указанном документе, пожалуй, наиболее полно изложено, каким принципам и подходам, с точки зрения отечественного банковского надзора, необходимо следовать кредитным организациям в целях эффективного управления рисками, возникающими при использовании систем интернет-банкинга. Ниже более детально рассмотрены основные положения указанного документа.
В пункте 1.1 раздела 1 Рекомендаций приводится ряд определений и понятий предметной области (интернет-банкинг, провайдер, система интернет-банкинга, риски интернет-банкинга, ордер клиента). Вводится также понятие информационного контура интернет-банкинга как «совокупности взаимосвязанных компьютерных систем, устройств и каналов связи, используемых при обслуживании клиента (передаче информации от кредитной организации к клиенту и обратно с использованием сети Интернет, а также при обработке и хранении данной информации)».
Далее перечисляются цели разработки рекомендаций, достижение которых позволяет минимизировать угрозы, связанные с использованием систем интернет-банкинга, оптимизировав уровни сопутствующих рисков, т.е. излагается в известной степени оптимальная модель пруденциального подхода надзорного органа к применению интернет банкинга в кредитных организациях, которая сводится к обеспечению:
- надежности интернет-банкинга с точки зрения клиента кредитной организации в части доступности, функциональности и защищенности операций и данных;
- соответствия систем интернет-банкинга требованиям действующего законодательства и нормативным актам Банка России в области банковской деятельности и управления банковскими рисками;
- информационной безопасности систем интернет-банкинга (включая защиту информационных ресурсов от несанкционированного доступа с применением интернет-технологий);
- полноценного контроля за банковскими операциями, проводимыми посредством интернет-банкинга, в рамках системы внутреннего контроля банка;
- выполнению требований законодательства в области легализации («отмывания») преступных доходов, а также противодействие использованию клиентами систем интернет-банкинга в противоправных целях;
- достоверности, полноты и своевременности учета данных о банковских операциях, произведенных в рамках интернет-банкинга;
- минимизации уровней банковских рисков, возникающих при использовании интернет-банкинга, и поддержания их в установленных банком пределах.
Второй раздел Рекомендаций посвящен основным банковским рискам, связанным с применением интернет-банкинга, к которым отнесены операционный, правовой, стратегический и репутационный риски, а также риск потери ликвидности. Достаточно детально рассмотрены причины возникновения каждого из указанных видов рисков при использовании интернет-банкинга. Подчеркивается, что при использовании сразу нескольких систем интернет-банкинга необходимо учитывать возможную взаимосвязь и взаимное влияние факторов рисков, характерных для каждой из применяемых систем (например, недостаточная защищенность одной из систем может создать угрозу конфиденциальности данных другой системы, несмотря на предпринятые весьма эффективные, на первый взгляд, меры по защите данных последней).
В третьем, самом объемном разделе Рекомендаций описываются основные принципы, на которых следует строить систему управления рисками интернет-банкинга. Управление рисками должно обеспечивать контроль за ДБО клиентов в целом, охватывая в том числе контроль за функционированием программно-аппаратного комплекса системы интернет-банкинга (включает комплекс мер по обеспечению непрерывности работы систем и сохранению целостности данных, а также парирования попыток несанкционированного доступа к банковской информации), отдельными операциями и базами банковских данных (предполагающий контроль правильности и корректности поступающей информации, обеспечение ее целостности и непротиворечивости).
Далее описывается ряд объективных процессов (явлений), которые рекомендуется учитывать при организации управления рисками интернет-банкинга (и разработке соответствующих внутренних документов в данной области), в том числе:
- высокие темпы технологических инноваций в сфере ДБО с использованием интернет-банкинга. Начавшееся более десяти лет назад внедрение и развитие в отечественных кредитных организациях систем интернет-банкинга бурными темпами продолжается и сегодня — по некоторым данным, число разработок в области интернет банкинга уже составляет около ста (включая собственные разработки коммерческих банков, а также системы иностранного происхождения, которыми пользуются отечественные кредитные организации).
Естественно, что создатели систем в ходе их разработки используют, например, технологии создания web-приложений, которые постоянно обновляются и совершенствуются, а также создаются.
Вместе с тем использование новых технологий, с одной стороны, ставит задачу обеспечения совместимости с имеющимися программно-аппаратными платформами (как в кредитной организации, так и у ее клиентов), а с другой стороны, в общем случае требует более тщательной проработки вопросов обеспечения безопасности систем, поскольку уязвимости новых технологий и методы их нейтрализации, как правило, становятся общедоступными по прошествии некоторого времени;
- существенный рост зависимости кредитных организаций от используемых информационных технологий и эффективности построения информационных систем. Можно сказать, что ключевым звеном современной кредитной организации является ее АБС (одна или несколько), аккумулирующая и концентрирующая все клиентские и банковские информационные потоки (а также средства их передачи, обработки и хранения информации), что увеличивает концентрацию факторов рисков и умножает негативные последствия возможной реализации угроз (например, сбой в работе АБС может привести к модификации или уничтожению клиентской информации, искажению учетных данных, ошибкам в формируемой банком отчетности и т.п.). Таким образом, построение автоматизированных банковских систем, в том числе распределенных (продуманность архитектуры, тщательный выбор аппаратно-программных средств, а также средств обеспечения безопасности и т.д.), должно быть адекватным характеру и масштабам деятельности банка, т.е. обеспечивать эффективное достижение его бизнес-целей;
- интеграция используемых системой интернет-банкинга технологий в действующие автоматизированные системы банка. Использование принципиально новой системы в рамках сложившегося программно-аппаратного комплекса банка обусловливает необходимость решения, в частности, задач совместимости форматов входных и выходных данных, обеспечение их верификации, согласования работы различных приложений и других аппаратно-программных средств, а также обеспечения информационной безопасности (что особенно важно для систем интернет-банкинга, предполагающих взаимодействие с клиентами посредством открытой сети Интернет) и ряда других. При этом быстродействие и отказоустойчивость интегрированных систем напрямую зависит от точности и гармоничности построения и настроек шлюзов между ними;
- повышенная степень риска осуществления посредством интернет-банкинга легализации («отмывания») преступных доходов. Внимание к данному вопросу’ обусловлено, в частности, тем, что технологии обслуживания посредством открытых телекоммуникационных сетей предполагают известную анонимность взаимодействия кредитной организации и ее клиента. Тем самым возникает возможность «подмены» официального контрагента в обоих конечных точках фактически виртуального информационного обмена (после нередко виртуального открытия счета клиентом для банка возникает проблема определения, осуществляет ли операцию официальный владелец счета; с другой стороны, технологии фишинга направлены на «выманивание» сведений о клиенте путем его взаимодействия с фальшивым ресурсом, имитирующим работу официального). Известно, что технологии интернет-банкинга зачастую используются в противоправных целях, в частности в целях «отмывания» доходов, полученных преступным путем, поскольку используемые при реализации ДБО технологические инновации создают для криминалитета благоприятную почву для анонимного и скрытого перевода крупных сумм денежных средств (например, согласно некоторым данным, только 1% клиентов, прибегающих к услугам ДБО посредством, в том числе интернет-банкинга, «обеспечивает» около половины всех сообщений о подозрительных операциях клиентов, направляемых отечественными кредитно-финансовыми учреждениями в соответствующий официально уполномоченный орган — Федеральную службу по финансовому мониторингу);
- совершенствование процессов управления банковской деятельностью и внутреннего контроля с учетом применения интернет-банкинга. Сегодня представляется достаточно очевидным, что возрастающая сложность используемых банками технологий ДБО должна быть компенсирована адекватными механизмами управления и внутреннего контроля.
Во-первых, внедрение современных систем интернет-банкинга должно быть санкционировано высшим руководством банка, которому следует четко определить бизнес-цели, реализация которых возможна путем использования систем ДБО, и обеспечивать функционирование системы управления сопутствующими рисками, в том числе:
1) адекватно оценивать общий уровень угроз, обусловленных применением распределенных технологий банковского обслуживания,
2) управлять разработкой и реализацией мер по минимизации рисков, включая политику информационной безопасности кредитной организации,
3) осознавать уровень остаточных рисков, принимаемых после реализации выбранных защитных мер.
Во-вторых, система внутреннего контроля кредитной организации должна охватывать все этапы жизненного цикла систем интернет-банкинга, учитывать сложность и многофакторность сопутствующих рисков, обеспечивать подконтрольность используемых технологий на всех этапах взаимодействия с клиентами и манипулирования (приема, обработки, передачи и хранения) данными. Например, отсутствие в составе программного обеспечения ДБО достаточно функциональных средств внутреннего контроля (обеспечивающих верификацию личности клиента, идентификацию и, возможно, контроль за его точкой доступа в открытую сеть, а также мониторинг и журнализацию действий удаленного клиента, инициирующего проведение онлайновых транзакций) может привести к практической невозможности отследить какую либо информацию о произошедших в виртуальном пространстве событиях противоправного характера;
- повышение квалификации сотрудников банка и совершенствование управления рисками интернет-банкинга. Очевидно, что постоянное обучение персонала кредитной организации как навыкам и приемам выполнения функциональных операций, так и принятым в банке процедурам обеспечения безопасности является необходимым условием успешного внедрения и безопасного использования современных информационных технологий. Важно также понимать, что в современных условиях бурного развития «высоких» технологий, обусловливающего постоянное видоизменение существующих и появление новых угроз и уязвимостей, управление рисками следует рассматривать и организовывать как непрерывный циклический процесс, условно представленный в виде следующей модели: «выявление и оценка рисков => выработка контрмер => реализация защитных мер => мониторинг и контроль соответствия =Ф выявление и оценка рисков...».
Процесс управления рисками в области интернет-банкинга следует организовывать и определять органам управления банка (к которым относятся Совет директоров, председатель (президент) и Правление кредитной организации), которым рекомендуется:
- обеспечивать соответствие планов обслуживания клиентов посредством интернет-банкинга стратегическим целям, т.е. принимать решение о внедрении и развитии системы ДБО только при наличии ясного понимания целей, достижение которых возможно с помощью интернет-банкинга, а также контролировать степень полученного соответствия достигнутых результатов поставленным целям;
- разрабатывать и внедрять процедуры мониторинга операций, осуществляемых посредством интернет-банкинга, четко понимая, что контролировать информационный поток следует на всех этапах прохождения данных — от запроса (ордера), отправленного удаленным клиентом, до окончательной обработки транзакции с отражением операции в учетных записях кредитной организации;
- осуществлять контроль за обслуживанием клиентов с применением интернет-банкинга, ориентированный на снижение рисков, что может быть достигнуто, прежде всего, на основе регулярного информирования органа управления, т.е. организации системы сбора, обработки и периодического (либо немедленного в случае чрезвычайных ситуаций) доведения до органов управления информации о результатах мониторинга и контроля уровня рисков в области интернет-банкинга, что предполагает, в свою очередь, «адекватное документирование основных показателей, источников данных и процедур, используемых для оценки и наблюдения за уровнем банковских рисков, осуществление проверки их надежности, обоснованности и достоверности на непрерывной основе, а также отражение их в управленческой отчетности»;
- внедрять процессы управления рисками интернет-банкинга на основе выявления, анализа и мониторинга новых факторов рисков, обусловленных усложнением автоматизированных систем и появлением в ИКБД новых участников, например провайдеров, что предполагает регулярное проведение по результатам внутреннего контроля и мониторинга событий, определяющих уровень рисков, их переоценки на основе выявления новых угроз и уязвимостей, при этом взаимоотношения с провайдерами услуг следует подвергать более тщательному анализу, учитывая «распределенный» характер обусловленных этими взаимоотношениями рисков;
- учитывать:
1) особенности применения систем интернет-банкинга в целом наряду со специфичными для них факторами рисков,
2) виды и масштабы банковских операций в рамках ДБО,
3) применяемые способы контроля за ордерами клиентов,
4) состав клиентской базы в целом (с учетом возможностей легализации преступных доходов),
5) организационную структуру банка и распределение функций в области обеспечения функционирования интернет-банкинга;
- осуществлять мониторинг процессов управления интернет-технологиями в целом, на основе которого обеспечивать упреждающее повышение производительности автоматизированных систем в рамках интернет-банкинга по мере увеличения клиентской базы кредитной организации, развития банковских услуг и расширения потребностей клиентов, т.е. осуществлять комплекс мероприятий, парирующих угрозу своевременности предоставления информации;
- разрабатывать планы действий на случай чрезвычайных обстоятельств, в том числе восстановления обслуживания клиентов в случае неожиданного прекращения предоставления услуг провайдерами либо сбоев в системе интернет-банкинга, а также проводить регулярное тестирование разработанных планов;
- устанавливать принципы и правила использования систем интернет-банкинга на всех этапах их жизненного цикла (обоснование и проектирование, разработка, приобретение, документирование, приемочные испытания, ввод в эксплуатацию, эксплуатация, сопровождение, модернизация, вывод из эксплуатации), а также порядок выполнения процедур предоставления банковских услуг посредством данных систем.
Процесс управления рисками интернет-банкинга рекомендуется организовать при участии следующих структурных подразделений кредитной организации:
- подразделения информатизации, а также подразделения, отвечающего за взаимодействие с провайдерами информационно-коммуникационных услуг;
- подразделения, обеспечивающего ведение бухгалтерского учета, реализацию алгоритмов учета в программном обеспечении и подготовку банковской отчетности;
- подразделения информационной безопасности;
- подразделения правового обеспечения деятельности кредитной организации;
- подразделения, реализующего операционное взаимодействие с клиентами;
- служащего (подразделения), ответственного за соблюдение правил внутреннего контроля в целях противодействия легализации («отмыванию») доходов, полученных преступным путем;
- подразделения, отвечающего за справочно-информационное взаимодействие с клиентами кредитной организации (call-center).
Общее руководство управления рисками интернет-банкинга целесообразно соответствующим образом разграничивать в целях обеспечения:
- непрерывности управления, при котором передача организационно-управленческих функций охватывает все процессы и процедуры обслуживания клиентов и обеспечения надежности такого обслуживания за счет минимизации уровней банковских рисков, включая
адекватный характеру и масштабам операций с использованием интернет-банкинга порядок разработки и согласования внутренних документов в области управления рисками, возникающими в связи с использованием интернет-банкинга ;
- доступности систем интернет-банкинга, которая обеспечивает непрерывное выполнение всех функций, закрепленных в договорах с клиентами;
- защищенности операций и данных путем реализации соответствующих мероприятий, включая адекватное организационно-техническое обеспечение.
Распределение функциональных обязанностей в рамках системы управления рисками интернет-банкинга должно обеспечивать непрерывность, своевременность, полноту и адекватность доведения до органов управления банка следующих сведений:
- актуальное состояние и текущие характеристики аппаратно-программного обеспечения систем интернет-банкинга ;
- выявленные недостатки в функционировании систем интернет-банкинга, включая взаимодействие с удаленными пользователями систем;
- источники (факторы) рисков, возникающие в связи с использованием систем интернет-банкинга;
- результаты выполнения принятых решений в области управления рисками;
- процедуры реагирования на возможные негативные события (с точки зрения воздействия на информационную безопасность, финансовую устойчивость либо деловую репутацию кредитной организации) и результаты их фактического выполнения.
Управление рисками интернет-банкинга должно обеспечивать:
- согласованное с клиентами непрерывное предоставление услуг интернет-банкинга;
- идентификацию клиентов, выгодоприобретателей и других лиц, уполномоченных распоряжаться хранимыми на счетах средствами, а также аутентификацию и авторизацию осуществленных ими банковских операций;
- контроль физического и логического доступа к аппаратно-программному обеспечению интернет-банкинга;
- обеспечение информационной безопасности, включая соблюдение установленных пользователям систем интернет-банкинга соответствующих прав и полномочий;
- целостность выполняемых операций и записей баз данных, а также информации, поступающей или отправляемой в процессе информационного обмена с пользователями;
- журнализацию всех осуществляемых в рамках интернет-банкинга операций;
- соблюдение конфиденциальности клиентской и внутри-банковской информации, а также банковской тайны;
- полноту и достоверность информации, предоставляемой в рамках информационного обмена с удаленными клиентами;
- адекватное реагирование на сбои и чрезвычайные ситуации в обслуживании клиентов и осуществление банковских операций посредством интернет-банкинга;
- эффективную организацию защиты от вредоносного программного обеспечения;
- предотвращение несанкционированного доступа к информационным ресурсам с целью возможных хищений крупных сумм денежных средств;
- консультационную и методологическую поддержку клиентам кредитной организации, включая их ознакомление с принимаемыми ими рисками, минимизацию которых обеспечивает предлагаемый банком комплекс мер, обеспечивающих ИБ.
Кредитным организациям, оказывающим своим клиентам трансграничные банковские услуги с помощью интернет-банкинга, рекомендуется выявлять возможные дополнительные источники рисков, возникающих в связи с нарушением законодательства зарубежных государств или территорий, а также дополнительные факторы рисков, относящихся к иным юрисдикциям, в том числе на основе рекомендаций 8—10 Сорока рекомендаций ФАТФ (FATF 40 Recommendations), в соответствии с которыми кредитным организациям рекомендуется:
- уделять особое внимание угрозам «отмывания» денежных средств, которые обусловлены применением новых технологий (в том числе создающих условия возможной анонимности обслуживания), и применять соответствующие меры в целях противодействия рискам, возникающим при осуществлении сделок с отсутствием непосредственного контакта между контрагентами;
- в случае разрешенного (со стороны надзорных либо других официальных структур) использования третьей стороны (посредника) при идентификации и проверке сведений о клиенте, кредитной организации необходимо удостовериться в доступности услуг третьей стороны, которая должна своевременно предоставлять копии идентификационных данных запрошенных клиентов, а также в том, что деятельность третьей стороны подлежит соответствующему регулированию и надзору;
- сохранять минимум в течение пяти лет сведения о внутренних и трансграничных операциях (достаточные для предоставления всей информации об отдельных операциях), а также данные по идентификации клиентов, движению по их счетам и деловую переписку с ними, которые могут быть использованы в целях оперативного информирования компетентных органов в ответ на запросы последних о предоставлении интересующей их информации и (или) в качестве доказательств в случае судебных разбирательств в отношении противоправной деятельности.
Взаимодействие с провайдерами информационно-технологических услуг целесообразно осуществлять, производя анализ возникающих рисков, в том числе:
- четко определить и закрепить в договоре обязательства провайдеров (в том числе в случае невыполнения провайдерами условий обслуживания);
- учитывать все операции и системы интернет-банкинга, зависящие от провайдеров, с точки зрения выполнения обязательств перед клиентами банка, обеспечения информационной безопасности (доступности, целостности и конфиденциальности данных, циркулирующих в информационном контуре систем интернет-банкинга), выявления и контроля уровней сопутствующих банковских рисков;
- предъявлять к провайдерам документированные требования по обеспечению информационной безопасности и организации внутреннего контроля;
- производить непрерывное наблюдение и контроль за выполнением провайдерами закрепленных в договоре с банком условий;
- разработать резервные варианты обслуживания клиентов в случае нарушения провайдерами своих обязательств перед кредитной организацией;
- осуществлять периодический внутренний и (или) внешний аудит качества выполнения провайдерами своих функций, предусмотренных договором.
Внутренними документами кредитной организации, устанавливающими порядок управления рисками интернет-банкинга , которым посвящен четвертый раздел Рекомендаций, следует предусмотреть регламентацию операций на всех технологических участках информационного контура интернет-банкинга, организационное и информационное взаимодействие с клиентами и провайдерами услуг, а также режимы функционирования аппаратно-программного обеспечения системы. В целом разработка и реализация каждого внутри-банковского процесса должна сопровождаться созданием документов, регламентирующих данный процесс и определяющих его содержание, имеющих конкретный официальный статус и доведенных до всех заинтересованных лиц, принимающих участие в реализации процесса либо контроле за ним.
Внутренними документами рекомендуется определить следующее:
1. Роли (обязанности и ответственность) органов управления и конкретных структурных подразделений кредитной организации, в том числе:
- распределение полномочий между органами управления банка (совета директоров, председателя (президента) и правления кредитной организации);
- права и обязанности, ответственность, подчиненность и подотчетность как структурных подразделений банка, так и отдельных сотрудников, обеспечивающих функционирование системы интернет-банкинга;
- реализацию учетной политики в автоматизированных системах, организующих обслуживание клиентов посредством интернет-банкинга;
- определение допустимых (остаточных) уровней банковских рисков, возникающих в связи с внедрением и применением систем интернет-банкинга;
- порядок информирования органов управления банка о выявлении угроз или факторов банковских рисков, а также порядок выбора и реализации, защитных мер.
2. Организацию непрерывности управления, в частности:
- порядок проведения испытаний и тестирования автоматизированных систем на соответствие требованиям, которые предъявляются к системам интернет-банкинга ;
- комплекс мер по обеспечению надежности функционирования систем (внутрибанковских автоматизированных систем, а также аппаратно-программных комплексов провайдеров);
- взаимосвязанные внутренние процессы и процедуры, обеспечивающие функционирование обслуживания клиентов в рамках интернет-банкинга;
- планы действий на случай чрезвычайных обстоятельств с учетом специфики интернет-банкинга, включая меры по восстановлению обслуживания клиентов;
- документальный мониторинг и анализ сведений о сетевых и других атаках, нарушениях функционирования систем, включая информирование органов управления о выявленных атаках и нарушениях, а также о результатах проведенного анализа;
- действия сотрудников при нарушениях штатного режима работы систем интернет-банкинга (включая умышленные и непреднамеренные повреждения со стороны сотрудников банка, различные виды атак), а также комплексов провайдеров (включая требования по выявлению и защите от внешних и внутренних атак, а также порядок информирования кредитной организации о произошедших событиях такого рода).
3. Порядок и процедуры управления рисками интернет-банкинга, в частности:
- назначение лица, ответственного за реализацию управления рисками в области интернет-банкинга;
- перечень наиболее вероятных как внешних, так и внутренних источников (факторов) рисков интернет-банкинга (соответствующих угроз и уязвимостей);
- порядок разработки способов оценки рисков и определения, защитных мер по минимизации данных рисков.
4. Организационное обеспечение управления рисками интернет банкинга, в том числе порядок:
- разработки и внедрения, ведения (обновления) и сопровождения (обеспечение штатного функционирования), модернизации и закрытия (отказ от использования) web-сайта, используемого для осуществления обслуживания клиентов посредством интернет-банкинга, с соответствующим распределением обязанностей и ответственности, подотчетности и подконтрольности лиц, осуществляющих указанные процедуры;
- использования сети Интернет персоналом кредитной организации;
- разграничения прав и полномочий доступа сотрудников к автоматизированным системам интернет-банкинга;
- технического описания автоматизированных систем интернет-банкинга, включая требования к созданию схем вычислительной сети банка, совмещенных со схемами потоков данных (их передачи, обработки и хранения);
- создания (включая требования к содержанию) инструктивно-распорядительных документов (инструкций, правил, руководств и т.п.) для операторов АБС, администраторов систем и информационной безопасности, обслуживающего системы персонала;
- поддержания в актуальном состоянии документации на технические средства, а также мер контроля за их модификацией (включая меры по предотвращению внесения несанкционированных изменений в аппаратно-программные средства и базы данных автоматизированных систем интернет-банкинга );
- установления договорных отношений с клиентами, использующими услуги интернет-банкинга, включая меры контроля за выполнением сторонами своих обязательств;
- установления договорных отношений с провайдерами услуг интернет-банкинга, включая меры контроля за выполнением сторонами своих обязательств.
5. Меры по обеспечению информационной безопасности, включая:
- политику обеспечения информационной безопасности с учетом специфики интернет-банкинга, внешних и внутренних угроз, соответствующих уязвимостей, а также способов противодействия угрозам целостности, конфиденциальности и доступности данных;
- методическую и консультационную помощь клиентам, информирование клиентов о принимаемых рисках и мерах по их минимизации, включая типичные признаки противоправных действий и необходимые мероприятия в области защиты информации.
6. Порядок осуществления внутреннего контроля, в том числе:
- состав системы внутреннего контроля за операциями интернет-банкинга, включая описание встроенных в автоматизированные системы средств программного контроля, используемых в целях противодействия легализации преступных доходов (как в части операций, подлежащих обязательному контролю, так и подозрительных сделок);
- порядок действий по выявлению нарушений и недостатков при осуществлении банковских операций посредством интернет-банкинга;
- порядок действий по устранению (включая контроль результатов устранения) нарушений и недостатков, выявленных службой внутреннего контроля.
7. Процедуры осуществления противодействия легализации («отмыванию») доходов, полученных преступным путем, и финансированию терроризма, в том числе порядок:
- взаимодействия подразделений информатизации, информационной безопасности, службы внутреннего контроля и служащего (подразделения), ответственного за противодействие легализации преступных доходов;
- и установления и идентификации выгодоприобретателей, а также личностей отдельных лиц, уполномоченных клиентом распоряжаться денежными средствами, находящимися на его счете, с использованием аналогов собственноручной подписи, кодов, паролей и других средств подтверждения указанных полномочий;
- идентификации клиентов интернет-банкинга и изучения их деятельности в рамках принципа «Знай своего клиента».
Наконец, пятый, заключительный раздел Рекомендаций рассматривает информационное обеспечение управления рисками интернет-банкинга, в состав которого рекомендуется включать следующие сведения.
1. Обслуживание посредством интернет-банкинга, а именно:
- предлагаемые банковские услуги и виды банковского обслуживания посредством сети Интернет;
- объем и состав, а также динамику клиентской базы;
- объемы денежных средств на счетах клиентов, осуществляющих управление средствами через Интернет, обороты по этим счетам, динамика проведенных операций, в том числе операций с клиентами, находящимися за рубежом (резидентами и нерезидентами);
- перечень и численность сотрудников обособленных (филиалы, представительства и др.) и внутренних подразделений кредитной организации (включая подразделения информатизации), обеспечивающих функционирование системы интернет-банкинга;
- результаты внедрения и функционирования системы интернет-банкинга в сопоставлении с показателями бизнес-плана кредитной организации.
2. Техническое обеспечение системы интернет-банкинга:
- состав и эксплуатационные характеристики аппаратно-программного обеспечения системы и соответствующих АБС;
- структурную схему локальной вычислительной сети и каналов связи с сетью Интернет, в том числе состав и характеристики сетевых и прочих аппаратно-программных средств, обеспечивающих функционирование сети;
- описание внесенных в АБС изменений и дополнений в связи с использованием системы интернет-банкинга;
- перечень и характеристики средств обеспечения непрерывной работы системы интернет-банкинга, включая средства резервного копирования клиентской информации и данных об осуществленных банковских операциях;
- состав средств защиты клиентских и банковских данных.
3. Взаимоотношения с провайдерами услуг интернет-банкинга, в том числе:
- перечень провайдеров и поставщиков программного обеспечения;
- условия договоров, заключенных с провайдерами и вендорами;
- состав и описание услуг, предоставляемых провайдерами, а также функций (операций или процедур), делегированных им;
- сведения о провайдерах, на основании которых представляется возможным произвести оценку их способности должным образом выполнять взятые на себя обязательства;
- перечень и характеристики аппаратно-программных и телекоммуникационных средств, посредством которых провайдеры выполняют взятые на себя обязательства.
4. Условия функционирования системы интернет-банкинга, включая:
- перечень процедур и распределение обязанностей и ответственности, а также прав операторов АБС в части интернет-банкинга (включая распределение полномочий доступа сотрудников к информационным ресурсам системы);
- описание процедур администрирования системы, документальную фиксацию их результатов, включая данные электронных журналов действий администраторов;
- описание процедур администрирования информационной безопасности с документальной фиксацией их результатов;
- состав и характеристики (включая полученные лицензии и сертификаты) средств криптографической защиты информации, обрабатываемой посредством интернет-банкинга;
- порядок подготовки и содержание планов действий на случай чрезвычайных ситуаций, а также результаты их периодического тестирования;
- методические материалы внутреннего контроля (в частности, методики управления рисками, связанными с интернет-банкингом), а также результаты проверок, осуществленных службой внутреннего контроля;
- описание процедур противодействия возможному противоправному использованию системы интернет-банкинга, а также результаты их реализации.
5. Документальное фиксирование сведений о нештатных ситуациях функционирования аппаратно-программных средств интернет-банкинга (отказы, сбои, попытки НСД, сетевые и вирусные атаки и т.п.), включая автоматизированные системы провайдеров услуг интернет банкинга, с выявлением их причин, описанием последствий, документированием принятых защитных мер, а также формирование информации в целом об источниках (факторах) рисков интернет-банкинга (выявленных угрозах и существующих уязвимостях), обусловливающих повышение уровня основных банковских рисков.
На сегодняшний день подход Банка России к организации банковского надзора в области интернет-банкинга в значительной мере сводится к наблюдению за процессами, происходящими в этой сфере деятельности отечественного банковского сектора, выявлению основных факторов, или источников рисков, сопутствующих применению интернет-банкинга, а также разработке методического обеспечения управления рисками интернет-банкинга, рекомендуемого кредитным организациям в качестве общего подхода, практическая реализация которого является прерогативой каждого конкретного кредитно-финансового учреждения.
Вместе с тем, следует выделить ряд концептуальных положений, которые, согласно рекомендациям Банка России, в значительной степени способствуют безопасному и эффективному предоставлению клиентам банковских услуг, связанных с применением как технологий интернет банкинга, так и вообще информационных технологий в целом, а значит, и эффективному управлению сопутствующими рисками, что находится в рамках оптимальной модели пруденциальной организации дистанционного банковского обслуживания, предлагаемой Банком России:
- квалифицированная политика информатизации, в том числе внедрения и развития «высоких» технологий в части интернет-банкинга, проводимая руководством кредитной организации (в том числе обеспечивающая полно функциональность системы, т.е. выполнение всех предполагавшихся функций банковского обслуживания);
- адекватные меры обеспечения информационной безопасности по всему информационному контуру интернет-банкинга (гарантирующие доступность и непрерывность обслуживания, а также защиту информации от НСД, модификации либо уничтожения);
- организация внутрибанковских процессов и процедур, соответствующая масштабу и сложности предоставляемого обслуживания посредством интернет-банкинга;
- отлаженная система внутреннего контроля, охватывающая всю технологическую цепочку интернет-банкинга и организационную структуру, начиная с руководства банка;
- эффективная система финансового мониторинга, оказывающая противодействие попыткам использования системы интернет-банкинга в противоправных целях;
- содержательное и всеобъемлющее организационное, информационное, методическое и консультационное обеспечение клиентов;
- оптимальные с точки зрения минимизации сопутствующих рисков взаимоотношения кредитной организации со своими провайдерами и вендорами.
Как сдвинуть с места бетонную плиту размером 50 метров в высоту, 100 метров в длину и весом 202 тонны, не применяя никаких механизмов и приспособлений?