Применение технологий электронного банкинга: риск-ориентированный подход - Л. Лямин

149

Детали модели OSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.

150

Media Access Control (MAC) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.

151

В зарубежной терминологии — penetration testing.

152

Терминология, используемая в зарубежных материалах по обеспечению информационной безопасности по аналогии со «следами», «отпечатками пальцев» и т. п.

153

В США существует специфическая форма банковской отчетности, называемая «Отчет

о подозрительной деятельности» (Suspicious Activity Report — SAR), которая может быть использована как аналог.

154

12 CFR (Code of Federal Regulations), Pt. 30 — SAFETY & SOUNDNESS STANDARDS (пункты E и F). Под «Программой обеспечения информационной безопасности» имеется в виду «Политика информационной безопасности».

155

Granmi-Leach-Bliley Act (GLBA) и Sarbanes-Oxley (SOX) Act 2002; Davis C., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets.

156

В отличие от, например, упоминавшейся ранее ситуации в США.

157

Лямин Л.В. Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 3. С. 109–120.

158

Risk Management Principles for Electronic Banking.

159

Framework for Internal Control Systems in Banking Organisations. Basel Committee on Banking Supervision, Basel, Bank for International Settlements, September 1998.

160

Large Bank Supervision. Comptroller’s Handbook. EP-LB.

161

Лямин Л.В. Пруденциальная организация и жизненный цикл внутреннего контроля в условиях электронного банкинга // Внутренний контроль. 2009. № 1. С. 82–92; № 2. С. 64–75; № 3. С, 90-100.

162

Это понятие введено без комментариев, вследствие чего не совсем ясно, имеет оно частный (интуитивно понятный) или общий характер, в последнем случае для каждой ТЭБ целесообразно проведение специального анализа подмножества источников компонентов банковских рисков.

163

The Institute of Internal Auditors, www.theiia.org. В России его представляет организация с аналогичным названием (НП «ИВА»), www.iia-ru.ru.

164

Information Systems Audit and Control Association (ISACA), www.isacs.org. Имеется отделение в России, www.isaca-russia.org.

165

В зарубежной терминологии — vulnerability assessment.

166

Certified Information Systems Auditor и Certified Information Systems Manager.

-’ Codeire D. Internal Audit; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets.

167

Эта работа продолжается постоянно, и одним из последних таких документов стало руководство БКБН, в котором содержится описание мер, которые следует принимать кредитным организациям — посредникам в проведении банковских операций, чтобы не оказаться вовлеченными в противоправную деятельность: Due diligence and transparency regarding cover payment messages related to cross-border wire transfers/ Basel Committee on Banking Supervision, Bank for International Settlements, May 2009.

168

В зарубежной терминологии — pattern.

169

Например, письма Банка России от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)», от 13 марта 2008 г. № 24-Т «О повышении эффективности работы по предотвращению сомнительных операций», от 3 сентября 2008 г. № 111-Т «О повышении эффективности работы по предотвращению сомнительных операций клиентов кредитных организаций» и др.

170

Bank for International Settlements, October 2004 (в дополнение к рекомендациям Customer due diligence for banks, выпущенным в октябре 2001 г.).

171

Consolidated KYC Risk Management. Basel Committee on Banking Supervision, Basel,

172

Определение этого риска БКБН не приводит, но из контекста можно сделать вывод, что этот риск образуется в том случае, если банк не отслеживает операции клиента в комплексе (проводимые через разные филиалы одним клиентом или в интересах одного выгодоприобретателя и т. п.), т. е. головной офис «не замечает» такой системный риск, но он существует в системе филиалов кредитной организации.

173

В случае необходимости использования специального ПИО ФМ потребуется распределить ответственность и обязанности по его применению, настройкам, модернизации, права и полномочия доступа, меры по исключению возможностей НСД к файлам логов и трейлов, сокрытия/подмены операций и т. п.

174

Много полезной информации в этом плане можно получить из обсуждений клиентами кредитных организаций различных инцидентов и их последствий, преимущественно негативных, на web-сайте www.banki.ru.

175

Название этого документа ориентировочное, предложено просто потому, что в большинстве кредитных организаций, предлагающих подобный вариант банковского обслуживания, документ такого рода отсутствует.

176

От термина phishing, обозначающего технологию введения в заблуждение клиентов кредитной организации, в которой используются специфические ложные сообщения электронной почты, имитирующее запрос от нее (в связи со сверкой данных, техническим перевооружением и пр. в качестве «объясняющей» причины), и возможно, своего рода «web-сайты — муляжи», разработанные таким образом, чтобы как минимум выманить личные регистрационные данные клиентов, с помощью которых осуществляется доступ к их счетам и финансовым средствам, а в ряде случаев — и для атак типа «посредник» с перехватом трафика клиента при его «перемещении» по web-сайтам.

177

По информации с web-сайта www.antiphishing.org, на котором публикуются различные материалы, касающиеся распространения и угроз фишинга.

178

Письмо Банка России от 25 июня 2009 г. № 76-Т «О рекомендациях по информированию клиентов о размещении на web-сайте Банка России списка адресов web-сайтов кредитных организаций».

179

Business Continuity Plan (ВСР) и Business Recovery Plan (BRP) соответственно.

180

От англ. outsourcing — в наиболее общем случае этот термин используется для обозначения стороннего обслуживания какого-либо учреждения, в банковском секторе он чаще всего употребляется для обозначения организации контрактных отношений в части компьютерной обработки данных, хранения их массивов на отчуждаемых носителях информации, предоставления телекоммуникационных услуг и т. п.

181

О необходимости ознакомления с финансовым состоянием провайдера и отчетами его внешнего аудита всегда говорится в материалах зарубежных органов банковского регулирования и надзора.

182

Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, October 2002.

183

Справедливости ради необходимо отметить, что в московском регионе (по наблюдениям автора) многие кредитные организации в последнее время пересматривают свою политику в отношении использования сервисов, предоставляемых провайдеров, вследствие чего нередки случаи смены этих организаций по причинам невыполнения ими обязательств относительно SLA, расширения банковского бизнеса или ввода новых услуг ДБО. Отдельной актуальной в последние три года проблемой стало привлечение провайдеров к участию в защите кредитных организаций от разного рода сетевых атак и его организационно-правовое обеспечение.

184

Речь идет о сетевых атаках Tima «отказ-в-обслуживании» и «распределенный-отказ-в-обслуживании»: DoS (Denial-of-Setvice) и DDoS (Distributed- Denial-of-Setvice).

185

Лямин Л.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в коммерческом банке. 2008. № 2. С, 20–31.

186

Термин образован от сочетания robot-net.

187

WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance.

188