Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

104

Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.

105

Risk Management Principles for Electronic Banking.

106

В соответствии с Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», хотя тематика ФМ в кредитных организациях должна трактоваться существенно шире (см. параграф 5.6).

107

Risk Management Principles for Electronic Banking.

108

Как будет показано ниже, понятие «безопасность» трактуется БКБН в широком смысле, включая, например, осуществление ФМ, на чем акцент в данном материале не сделан.

109

В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать также подготовку необходимых отчетов для соответствующих надзорных органов.

110

Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.

111

Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.

112

Включая сотрудников, работников по контракту и тех, кто обладает правами доступа на основе контрагентских отношений.

113

Включая меры по мониторингу сетевой активности, фиксации попыток проникновения и сведения о серьезных недостатках в обеспечении безопасности.

114

Мистификация (spoofing) — это имитация легитимного клиента за счет использования его/ее номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты.

115

«Вынюхиватель» (sniffer) — это устройство, которое способно просматривать поток данных, передаваемых по каналу связи, перехватывать пароли и данные при их передаче, из-за чего в итоге похищается конфиденциальная информация и совершаются мошенничества (с точки зрения ОИБ — происходит ее утечка).

116

В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации.

117

Кредитная организация может выдавать цифровые сертификаты, чтобы обеспечить безопасность связи, см. ниже комментарий к Принципу 5.

118

Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических (поведенческих) характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.

-’ Источниками аутентификационных данных могут быть электронные средства.

119

Источниками аутентификационных данных могут быть электронные средства.

120

В качестве примера можно привести две ситуации, в которых клиент рискует возникновением взаимного «непонимания» с кредитной организацией: неправильный ввод суммы в платежном поручении (500 ООО вместо 50 ООО, — «залипла» клавиша, был выпивши…) или проведение сеанса из интернет-кафе (кредитным организациям целесообразно официально — в договорах — предупреждать клиентов ДБО о нежелательности таких сеансов).

121

Либо должны присутствовать альтернативные компенсирующие средства контроля.

122

Кредитным организациям следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно их восстановление после нарушения целостности.

123

Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.

124

Письмо Банка России от 23 октября 2009 г. № 128-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет».

125

Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.

126

Risk Management Principles for Electronic Banking.

127

Их можно было бы назвать руководствами, поскольку в их преамбулах используется понятие «guidance», но они имеют рекомендательный характер.

128

Risk Assessment System (RAS).

129

Перевод наименований уровней унифицирован в соответствии с таблицей агрегированного риска на рис. 5.

130

Дополнительную информацию по этой тематике и ссылки можно найти в статье: Лямин Л.В. Принципы риск-ориентированного банковского контроля // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49.

131

В оригинале «Quantity of transaction risk indicators».

132

Community Bank Supervision. Comptroller’s Handbook. EP-CBS.

133

Подробную информацию о таких выводах можно найти также в работе Large Bank Supervision. Comptroller’s Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001. Общее представление о том, какого рода выводы предусмотрены в рейтинговых системах, используемых в банковском сообществе США, можно получить из краткого описания URSIT, приведенного ниже, в параграфе 5.3.

134

Сетевой протокол — это набор правил формирования пакетов данных и управления их передачей.

135

Цит. по: Запретная история / под ред. Д. Кэннона. М.: ACT, 2009.

136

Ctvme. J. Inside Internet Security. Addison Wesley, Pearson Education Ltd., 2000.

137

В зарубежных материалах органов банковского регулирования и надзора различие между ними проводится на основе того, что продает компания: товары или услуги.

138

Intrusion Prevention System (IPS) и Intrusion Detection System (IDS).

139

Federal Financial Institutions Examination Council (FFIEC).

140

УРСИТ используется также Управлением по надзору за сберегательными учреждениями (OTS).

141

В оригинале использован термин «качественное суммирование» — qualitative summarization.

142

Библия. Экклезиаст (1:11).

143

Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120.

144

Patch Management Policy.

145

Ctvme J. Inside Internet Security; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets. McGraw Hill Companies, USA, 2007.

146

Open System Interconnection (OSI).

147

Wack Cutler K., Pole J. Guidelines on Firewalls and Firewall Policy. National Institute of Standards and Technology. Special Publication 800-41, Gaithersburg, MD, USA, January 2002.

148

Transmission Control Protocol / Internet Protocol (протокол управления передачей / межсетевой протокол).

149

Детали модели OSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.

150

Media Access Control (MAC) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.