Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

Другой способ сокрытия реальных IP-адресов – использование так называемых анонимных сетей, работающих поверх интернета и специально предназначенных для обеспечения анонимности соединений. В таких сетях используются шифрование трафика и распределенная структура сетевых узлов. Наиболее популярная анонимная сеть – TOR, всего же их существует несколько десятков. Недостатками данной технологии являются сниженная скорость передачи данных, увеличенное время отклика ресурсов и повышенные объемы сетевого трафика. Поэтому в преступной деятельности, связанной с эксплуатацией ботнетов и компьютерных вредоносных программ, анонимные сети используются реже, чем VPN. Однако к анонимным сетям иногда прибегают для выполнения каких-либо разовых действий, передачи сообщений, а в особо важных случаях могут использоваться комбинации разных технологий, например TOR-VPN, VPN-TOR и т. п.

Еще один любопытный способ сокрытия реальных IP-адресов и введения возможных преследователей в заблуждение – использование в качестве последнего звена в цепочке соединений (прокси) постороннего компьютера или сервера. Обычно таким прокси выступает случайный бот из собственного ботнета, если функционал вредоносной программы это позволяет. Также прокси могут быть куплены в розницу или оптом на любом специализированном сетевом ресурсе. Особенно неприятный для сотрудников правоохранительных органов вариант – использование прокси в моменты совершения хищений либо при осуществлении соединений с какими-либо значимыми ресурсами, информация о которых впоследствии может быть получена при проведении проверок и расследований. В подобных случаях в распоряжении сотрудников правоохранительных органов оказываются реальные IP-адреса посторонних лиц или организаций, которых необходимо проверять на причастность к совершенным хищениям.

Активное использование членами преступных групп сетевых систем связи и средств сокрытия доступа прямо влияет на рассматриваемую в следующей главе статистику выявленных преступлений. Иными словами, можно сказать, что непрозрачность действий преступников является одной из основных причин высокой латентности хищений денежных средств с использованием вредоносных программ.

5. Принципы управления рисками электронного банкинга[85]85
  Данная глава подготовлена на основе документа Базельского комитета по банковскому надзору «Принципы управления рисками для предоставления банковских услуг в электронной форме» (май 2001 г.).


[Закрыть]

Всякого рода беспринципная деятельность приводит к банкротству.

Иоганн Вольфганг Гёте, немецкий поэт, мыслитель и естествоиспытатель

Введение

Напрасно винит Нептуна тот, кто терпит кораблекрушение дважды.

Публий Сир, древнегреческий поэт

Банковские организации предоставляют клиентам обслуживание в электронной форме и дистанционное осуществление операций уже достаточно долго, чтобы перевод средств в электронной форме, включая малые платежи и использование корпоративных систем управления наличностью, равно как и самостоятельное управление своими счетами при помощи общедоступных банкоматов и терминалов, стали глобальными явлениями. В то же время ставшее распространенным во всем мире восприятие интернета в качестве канала предоставления банковских услуг и обслуживания открывает банкам новые возможности и преимущества. В данной главе интернет определяется как все веб-технологии и открытые телекоммуникационные сети, начиная с прямых модемных соединений, общедоступной World Wide Web (всемирной паутины) и заканчивая частными виртуальными сетями связи.

Продолжающийся технологический прогресс, конкуренция между банковскими организациями и появление новых участников рынка обеспечили возможности для расширения набора электронных банковских услуг, а также видов обслуживания для розничных и корпоративных банковских клиентов. В состав услуг входят как традиционные действия типа предоставления доступа к финансовой информации, выдачи ссуд и открытия депозитных счетов, так и относительно новые варианты и виды обслуживания: осуществление электронных платежей, персональные «финансовые порталы», агрегация счетов[86]86
  Службы агрегации счетов позволяют клиентам получать в одном месте консолидированную информацию об их финансовых и нефинансовых счетах. Агрегатор изначально действует как агент по предоставлению клиентам консолидированной информации об их счетах в различных финансовых учреждениях. Клиенты предоставляют агрегатору защитные пароли или персональные идентификационные номера для получения доступа и консолидации информации о состоянии счетов. В основном это реализуется через так называемое «считывание экранной информации» – процесс, включающий отбор данных с веб-сайтов других учреждений, зачастую без их оповещения или через контрактные отношения по прямому обмену данными между финансовыми учреждениями.


[Закрыть], работа на финансовых рынках и с валютой.

Несмотря на значительные достоинства технологических инноваций, быстрое развитие ЭБ несет с собой не только преимущества, но и риски. Банковским учреждениям важно распознавать данные риски и управлять ими пруденциальным образом. Из-за быстрых изменений в информационных технологиях никакое описание таких рисков не может считаться исчерпывающим. Тем не менее, риски, с которыми сталкиваются вовлеченные в ЭБ банки, в общем случае не являются новыми и входят в состав категорий, определенных Базельским комитетом по банковскому надзору (БКБН) в Основных принципах эффективного банковского надзора в сентябре 1997 г.

В этом документе указаны девять категорий риска: кредитный, страновой, трансфертный, рыночный, процентный, операционный, правовой и репутационный риски, а также риск ликвидности[87]87
  Указанные основные принципы размещены на веб-сайте Банка международных расчетов (Bank for International Settlements): http://www.bis.org.


[Закрыть]. Разработки такого рода обусловили предварительное изучение БКБН в 1998 г. значимости управления рисками ЭБ и использования электронных денег[88]88
  Документ Risk Management for Electronic Banking and Electronic Money Activities (март 1998 г.) размещен на веб-сайте Банка международных расчетов: http://www.bis.org.


[Закрыть]. В этом первоначальном исследовании продемонстрирована очевидная необходимость дополнительной работы в области управления рисками, связанными с ЭБ. Данная задача была поручена рабочей группе, сформированной в ноябре 1999 г. и составленной из работников банковского надзора и сотрудников центральных банков, – Electronic Banking Group (EBG).

В октябре 2000 г. БКБН выпустил Отчет EBG по управлению рисками, возникающими вследствие разработок в области ЭБ, и надзору за ними[89]89
  Документ Electronic Banking Group Initiatives and White Papers (октябрь 2000 г.) размещен на веб-сайте Банка международных расчетов: http://www.bis.org.


[Закрыть].

В этом отчете рассмотрены основные риски, ассоциируемые с ЭБ, а именно стратегический, репутационный, операционный (включая риск безопасности и правовой риск)[90]90
  В этой главе используется определение операционного риска, сформулированное Группой управления рисками БКБН, которое включает риск безопасности и правовой риск.


[Закрыть], кредитный, рыночный риски и риск ликвидности. EBG пришла к заключению, что деятельность в области ЭБ не приводит к возникновению рисков, которые не были идентифицированы в предыдущих работах БКБН. Однако ЭБ увеличивает и модифицирует некоторые из традиционных рисков, тем самым воздействуя на общий профиль риска банковского дела. В частности, из-за быстрого внедрения операций ЭБ и сопутствующего этому процессу усложнения технологий неизбежно повышаются стратегический, операционный и репутационный риски.

5.1. Проблемы, связанные с управлением рисками электронного банкинга

При прочих равных размер обычно играет решающую роль.

Но не всегда – ведь в противном случае победителя в тяжелом весе определяли бы на весах, а не на ринге.

Ли Чайлд.

Без второго имени

EBG отмечала, что фундаментальные характеристики ЭБ (и в более общем варианте – электронной коммерции) обусловливают ряд проблем, относящихся к управлению рисками:

– изменения, проявляющиеся как инновации в технологиях и обслуживании клиентов посредством ЭБ, реализуются с беспрецедентной скоростью. Исторически новые банковские технологии внедрялись в течение относительно продолжительных интервалов времени и только после тщательной проверки.

Сегодня же банки испытывают конкурентное давление, вынуждающее предлагать новые деловые механизмы в очень сжатые сроки: от разработки концепции до начала эксплуатации нередко проходит всего несколько месяцев. Эта конкуренция усиливает управленческие проблемы в части адекватного стратегического оценивания, анализа рисков и проверки безопасности до внедрения новых практических решений в области ЭБ;

– транзакционные веб-сайты и связанные с ними разнообразные комплексные бизнес-решения обычно интегрируются, насколько это возможно, с уже существующими компьютерными системами с целью достижения более «прямой» обработки электронных транзакций. Такая непосредственная автоматизированная обработка снижает вероятность человеческих ошибок и мошенничества, типичных для процессов, осуществляемых вручную, но также увеличивает зависимость от того, насколько правильны конструкция систем и их архитектура, равно как и от взаимного функционирования систем и операционной масштабируемости;

– ЭБ увеличивает зависимость банков от информационных технологий, тем самым повышая техническую сложность многих функциональных задач и обеспечения безопасности, а также усиливая тенденцию к появлению соглашений с третьими сторонами о совместной работе, сотрудничестве и предоставлении услуг, многие из которых не подпадают под какое бы то ни было регулирование. Такое развитие ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации: интернет-провайдеры, телекоммуникационные компании и другие технологические фирмы;

– интернет по своей сути имеет повсеместный и глобальный характер. Это открытая сеть связи, к которой можно получить доступ из любого места в мире, оставаясь неизвестным, с передачей сообщений через неидентифицируемые узлы и с использованием быстро совершенствуемых беспроводных устройств. Вследствие этого существенно повышается значимость средств контроля безопасности и механизмов аутентификации пользователей.

5.2. Основные принципы управления рисками электронного банкинга

В сегодняшнем понимании риск – это в первую очередь бездействие.

Роберт Кийосаки, американский предприниматель, инвестор

На основании проведенной EBG работы БКБН пришел к выводу, что традиционные принципы управления банковскими рисками применимы к деятельности в области ЭБ. Комплексные характеристики каналов доведения услуг через интернет вынуждают приспосабливать эти принципы ко многим банковским онлайновым операциям и сопутствующим проблемам управления рисками.

БКБН полагает, что банкам потребуется разработка процессов управления рисками, соответствующих их индивидуальному профилю риска, функциональной структуре и культуре корпоративного управления, наряду с учетом специфических требований и политик по управлению рисками, применяемых органами банковского надзора в рамках одной или нескольких юрисдикций.

Принципы управления рисками при осуществлении ЭБ делятся на три широкие и часто пересекающиеся тематические категории (рис. 38). Однако эти принципы не ранжируются по степени их приоритетности или значимости. Все зависит от приоритетов, которые устанавливаются в конкретной кредитной организации.

А. Наблюдение со стороны совета директоров и высшего руководства банка[91]91
  В данном документе БКБН считается, что структура управления состоит из совета директоров и высшего руководства. БКБН осознает, что в разных странах существуют значительные различия в законодательных и регулятивных схемах, касающихся функций совета директоров и высшего руководства банков. В некоторых странах такой совет обладает главной, если не исключительной, функцией надзора за исполнительным органом (высшим руководством, основным руководством) с точки зрения обеспечения выполнения последним своих обязанностей. По этой причине он иногда называется надзирающим советом. Напротив, в других странах компетенция такого совета шире и включает определение структуры основного руководства банков. Из-за различий такого рода сами термины «совет директоров» и «высшее руководство» используются для обозначения двух функций, связанных с принятием решений в банках, но не для определения узаконенных структур.


[Закрыть] (Принципы 1–3):

Рис. 38. Основные принципы управления рисками ЭБ

1. Эффективное наблюдение со стороны руководства за деятельностью в рамках ЭБ.

2. Организация полноценного процесса контроля безопасности.

3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

B. Средства обеспечения безопасности (Принципы 4-10):

4. Аутентификация клиентов в операциях ЭБ.

5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках ЭБ.

6. Должные меры по обеспечению разделения обязанностей.

7. Необходимые средства авторизации в СЭБ, базах данных и прикладных программах.

8. Целостность данных в транзакциях ЭБ, записях и информации.

9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.

10. Конфиденциальность важнейшей банковской информации.

C. Управление правовым и репутационным рисками (Принципы 11–14):

11. Правильное раскрытие информации для обслуживания в рамках ЭБ.

12. Конфиденциальность клиентской информации.

13. Планирование производительности, непрерывности операций, планирование на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках ЭБ.

14. Планирование реагирования на случайные события.

В последующих разделах каждый из перечисленных принципов обсуждается более подробно в той мере, в какой он относится к ЭБ и базовым принципам управления рисками. Там, где уместно, предлагаются дополнительные примеры правильной организации работы, которые могут рассматриваться как эффективные способы управления этими рисками.

Совет директоров (СД) и высшее руководство банка (ВРБ) отвечают за разработку деловой стратегии кредитной организации. Должны приниматься четкие стратегические решения относительно того, хочет ли СД, чтобы банк предоставлял обслуживание транзакций в рамках ЭБ, до начала предложения таких услуг. В частности, СД следует убедиться в том, что планы внедрения ЭБ точно соответствуют корпоративным стратегическим целям кредитной организации. Одновременно должны быть организованы процессы смягчения и мониторинга рисков. Также необходимо убедиться, что осуществляется текущий контроль для оценивания результатов деятельности в рамках ЭБ в сопоставлении с деловыми планами и целями кредитной организации.

Кроме этого, СД и ВРБ следует удостовериться, что факторы риска, относящиеся к функционированию и безопасности в части деловых стратегий учреждения в рамках ЭБ, рассматриваются и учитываются должным образом. Обеспечение финансовых услуг через интернет может существенно изменить и (или) даже увеличить традиционные банковские риски (например, стратегический, репутационный, операционный, кредитный риски и риск ликвидности). Поэтому следует принимать меры, чтобы существующие в банке процессы управления рисками, контроля безопасности, наблюдения и обеспечения выполнения обязательств в отношениях с третьими сторонами должным образом оценивались и модифицировались в интересах приспособления к видам обслуживания в рамках ЭБ.

Принцип 1: СД и ВРБ следует установить эффективное управленческое наблюдение над рисками, связанными с деятельностью в рамках ЭБ, включая организацию специального учета, политики и средств контроля для управления этими рисками.

Бдительное управленческое наблюдение принципиально важно для обеспечения эффективного внутреннего контроля деятельности в рамках ЭБ. В дополнение к специфическим характеристикам канала предоставления услуг через интернет к значительным проблемам с традиционными процессами управления рисками могут привести следующие аспекты ЭБ:

– основные компоненты канала предоставления услуг (собственно интернет и связанные с ним технологии) не поддаются непосредственному контролю со стороны банка;

– интернет открывает неограниченные возможности оказания услуг через множественные национальные юрисдикции, включая те страны, в которых учреждение физически не присутствует;

– вопросы, ассоциируемые с ЭБ и предполагающие использование концепций и описаний в терминах высоких технологий, во многих случаях оказываются незнакомыми для СД и ВРБ, имеющих традиционный опыт.

Ввиду уникальных характеристик ЭБ новые проекты в этой области, которые могут оказывать значительное влияние на профиль риска конкретного банка и его стратегию, должны изучаться СД и ВРБ и подвергаться стратегическому и затратно-доходному анализу. Без адекватного непредвзятого изучения и текущей деятельности по планированию процедур оценивания банки рискуют недооценить затраты и (или) переоценить доходы от своих инициатив в области ЭБ.

Помимо этого, СД и ВРБ следует удостовериться, что их банк не включается в новый бизнес в сфере ЭБ и не внедряет новые технологии без наличия компетенций, необходимых для обеспечения наблюдения за управлением рисками. Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых банком технологий ЭБ и соответствующих приложений.

Адекватная квалификация принципиально важна независимо от того, находятся ли СЭБ и соответствующие виды обслуживания под собственным управлением банка или эти функции переданы третьим сторонам. Процессы наблюдения со стороны ВРБ следует вести на динамической основе, чтобы осуществлять эффективное вмешательство и коррекцию любых материальных проблем с СЭБ или недостатков в обеспечении безопасности. Повышенный репутационный риск, связанный с использованием технологии ЭБ, приводит к необходимости непрерывного мониторинга системной функциональности и удовлетворения требований пользователей, как и должного информирования ВРБ о происшествиях.

Наконец, СД и ВРБ следует убедиться в том, что организованные ими процессы управления рисками для деятельности в рамках ЭБ интегрированы в общий подход банка к управлению рисками. Существующие в банке политика и процессы управления рисками должны быть оценены с точки зрения гарантии того, что они достаточно устойчивы, чтобы парировать новые риски, возникающие из-за текущей или планируемой деятельности в области ЭБ.

Дополнительные меры по наблюдению за управлением рисками, которые следует принять во внимание СД и ВРБ, включают:

– четкое определение приемлемого для данной банковской организации уровня риска в рамках ЭБ;

– определение ключевых механизмов распределения полномочий и предоставления отчетности, включая расширенные процедуры для тех случаев, которые влияют на безопасность, надежность или репутацию банка (к примеру, сетевое проникновение, нарушение правил безопасности со стороны работников и любое серьезное нарушение в использовании компьютерных средств)[92]92
  В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать подготовку необходимых отчетов для соответствующих надзорных органов.


[Закрыть];

– обращение внимания на любые особенные факторы риска, ассоциируемые с гарантиями безопасности, целостностью и доступностью услуг и видов обслуживания в части ЭБ и требующие принятия адекватных мер со стороны тех контрагентов, которым банк доверил обслуживание ключевых систем или прикладного программного обеспечения;

– обеспечение необходимого анализа выполнения обязательств и рисков до того, как банк начнет осуществление транзакционных операций в рамках ЭБ.

Интернет в значительной степени расширяет возможности банков по распространению услуг и видов обслуживания на виртуально безграничную географическую территорию, включая пересечение национальных границ. Такая трансграничная деятельность на основе ЭБ, особенно при осуществлении ее без какого-либо лицензированного физического присутствия в «стране дислокации», потенциально подвергает банки повышенным рискам – правовому, нормативному и страновому – ввиду значительных различий, которые могут иметь место между разными юрисдикциями в части требований к лицензированию банковской деятельности, надзора и защиты потребителей. Чтобы избегать непреднамеренного несоответствия законам и правилам зарубежных государств (в т. ч. с точки зрения управления факторами риска, относящимися к той или иной стране), банки, совершающие трансграничные операции посредством ЭБ, должны полностью изучить данные риски и организовать эффективное управление ими еще до практической реализации операций такого рода.

В зависимости от масштаба и сложности деятельности банка в рамках ЭБ охват и структура программ управления рисками будут различными. Ресурсы, требуемые для наблюдения за обслуживанием в части ЭБ, следует выделять в соответствии с транзакционной функциональностью и значимостью систем, уязвимостью сетей связи и важностью передаваемой по ним информации.

Принцип 2: СД и ВРБ следует проверять и утверждать ключевые составляющие процессов контроля безопасности банка.

СД и ВРБ следует наблюдать за разработкой и поддержанием инфраструктуры контроля безопасности, которая обеспечивает должную защиту СЭБ и данных как от внутренних, так и от внешних угроз. При этом следует установить соответствующие права авторизации, логические и физические средства контроля доступа, а также адекватную инфраструктуру обеспечения безопасности для поддержания должных возможностей и ограничений в отношении действий как внутренних, так и внешних пользователей.

Защита банковских активов является одной из областей ответственности ВРБ. В то же время защита банковских активов представляет собой одну из проблемных задач в условиях быстро развивающейся сферы ЭБ ввиду комплексного характера рисков для безопасности, связанных с работой через интернет и применением все новых и новых технологий.

Чтобы гарантировать наличие должных средств обеспечения безопасности для деятельности в рамках ЭБ, СД и ВРБ требуется удостовериться в существовании в их банке полноценного процесса обеспечения защиты, включая политику и процедуры, которые касаются потенциальных внутренних и внешних угроз безопасности как в части предотвращения инцидентов, так и в части реагирования на такие происшествия. Ключевыми компонентами эффективного процесса обеспечения безопасности ЭБ являются:

– установление однозначно определенной ответственности руководства/персонала за организацию и соблюдение корпоративной политики безопасности[93]93
  Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.


[Закрыть];

– наличие достаточно эффективных средств физического контроля для предотвращения несанкционированного физического доступа к компьютерному оборудованию;

– наличие достаточных средств логического контроля и процессов мониторинга[94]94
  Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.


[Закрыть] для предотвращения неавторизованного внутреннего[95]95
  Включая сотрудников, контрактников и тех, кто обладает правами доступа на основе контрагентских отношений.


[Закрыть] и внешнего доступа к прикладным программам и базам данных ЭБ;

– регулярный пересмотр и тестирование мер безопасности и средств контроля, включая постоянное отслеживание современных отраслевых разработок в области безопасности, инсталляцию обновленных версий соответствующего программного обеспечения и служебных пакетов, а также прочие необходимые меры[96]96
  Включая мониторинг сетевой активности, фиксацию попыток проникновения и получение сведений о серьезных недостатках в обеспечении безопасности.


[Закрыть].

Ниже приведены дополнительные примеры надежной организации при обеспечении безопасности операций ЭБ.

1. Следует разработать и соблюдать политику обеспечения безопасности, а также особые полномочия авторизации, назначаемые всем пользователям систем и прикладных программ в рамках ЭБ, включая всех клиентов, внутренних пользователей в банке и внешних провайдеров услуг. Также следует разработать средства контроля логического доступа для обеспечения должного разделения обязанностей[97]97
  Определение стандартов безопасности и качества, а также надежности схем сертификации может быть специфичным для отдельных учреждений или стандартизированным (т. е. в пределах национальной банковской отрасли в целях повышения уровня безопасности деятельности в рамках ЭБ). Также банки могут выбирать порядок назначения прав доступа – на централизованной или распределенной основе. Например, могут существовать единственный орган авторизации, ответственный за назначение прав доступа отдельным пользователям и группам пользователей, либо несколько органов авторизации, созданных для упорядочения работы по разным направлениям бизнеса.


[Закрыть].

2. Данные и системы, относящиеся к области ЭБ, следует классифицировать в соответствии с их значимостью и уязвимостью и обеспечить им адекватную защиту. Для защиты всех уязвимых и подверженных высокому риску систем, серверов, баз данных и прикладных программ, функционирующих в СЭБ, необходимо использовать соответствующие механизмы, такие как шифрование, управление доступом и планы восстановления данных.

3. Следует свести к минимуму хранение уязвимых или подверженных высокому риску данных на настольных и переносных компьютерах, а также должным образом защищать их с помощью шифрования, контроля доступа и планов восстановления данных.

4. Необходимо иметь достаточные физические средства контроля для предотвращения неавторизованного доступа[98]98
  Они должны включать средства защиты от неавторизованного доступа посторонних лиц, таких как посетители, контрактники или техники, которые могут иметь доступ в помещения, не будучи непосредственно вовлеченными в обслуживание, осуществляемое в рамках ЭБ.


[Закрыть] ко всем критичным системам, серверам, базам данных и прикладным программам, применяемым в системах ЭБ.

5. Следует применять должные методы парирования внешних угроз СЭБ, включая использование:

– программного обеспечения для обнаружения компьютерных вирусов во всех критических точках входа (к примеру, на серверах удаленного доступа, прокси-серверах электронной почты) и на каждой настольной системе;

– программного обеспечения для обнаружения проникновения и других инструментальных средств оценивания безопасности для периодической проверки сетей связи, серверов и брандмауэров на предмет наличия слабых мест и (или) нарушений политики и средств контроля безопасности;

– тестирования вариантов проникновения во внутренние и внешние сети связи.

Все сотрудники и провайдеры услуг, занимающие ключевые позиции, должны проходить тщательный процесс проверки надежности.

Принцип 3: СД и ВРБ следует внедрить полноценные и непрерывные процессы наблюдения и контроля выполнения обязательств для управления отношениями банка с провайдерами услуг и другими сторонами, обеспечивающими поддержку выполнения операций ЭБ.

Повышенная зависимость от партнеров и сторонних провайдеров услуг при осуществлении критических функций в рамках ЭБ снижает возможности непосредственного контроля над ними со стороны руководства банка. Соответственно, оказывается необходимым всеобъемлющий процесс управления рисками, ассоциируемыми с заказной обработкой и зависимостью от сторонних организаций. Этот процесс должен охватывать стороннюю деятельность партнеров и провайдеров обслуживания, включая субконтракты на заказную обработку, которые могут иметь материальные последствия для банка.

Исторически заказная обработка часто ограничивалась единственным провайдером обслуживания по заданному набору операций. Однако в последние годы масштаб и сложность связей банков в части заказной обработки значительно возросли, что явилось прямым результатом успехов в информационных технологиях и внедрения ЭБ. В дополнение следует учитывать тот факт, что внешнее обслуживание операций ЭБ может передаваться по субконтрактам иным провайдерам услуг и (или) осуществляться в другой стране. Кроме того, по мере технологического развития и роста стратегической важности приложений и видов обслуживания ЭБ определенные функциональные участки ЭБ оказываются зависимыми от небольшого числа специализированных сторонних поставщиков и провайдеров услуг. Эти разработки могут привести к повышенной концентрации рисков, которая оправдывает внимание как со стороны одного банка, так и со стороны отрасли в целом.

В совокупности все эти факторы подчеркивают необходимость всеобъемлющего и постоянного оценивания связей в рамках заказной обработки и других видов внешней зависимости, включая ассоциируемые с ними влияния на профиль риска конкретного банка и возможности надзора за управлением рисками[99]99
  При таком оценивании следует также учитывать степень контроля, реализуемого в отношении сторонних организаций. Основной акционер в совместном предприятии нередко может обладать более значительным контролем, чем в случае контрактных отношений с провайдером услуг. Однако из этого не следует, что акционерный контроль над совместным предприятием или товариществом всегда будет эффективным, особенно если технологии и обслуживание, необходимые для работы такой ассоциации, предоставляются акционером с малым числом акций. Подобные различения бывают полезны в основном для того, чтобы обосновать периодическое проведение оценивания.


[Закрыть]. Наблюдение со стороны СД и ВРБ за связями в части заказной обработки и зависимости от сторонних организаций следует особенно фокусировать на том, чтобы обеспечивались:

– полное понимание банком тех рисков, которые связаны с привлечением сторонних провайдеров услуг или партнеров в заказную обработку или партнерские отношения для работы с банковскими системами или прикладными программами;

– должная своевременная проверка компетентности и финансовой устойчивости любых сторонних провайдеров услуг или партнеров, проводимая до заключения контрактов на обслуживание в рамках ЭБ;

– точное определение контрактной подотчетности всех участников заказной обработки или партнерских отношений. К примеру, должны быть четко определены обязанности по предоставлению информации провайдеру услуг и получению информации от него;

– учет всех операций и СЭБ, связанных с заказной обработкой, в концепциях управления рисками, обеспечения безопасности и соблюдения конфиденциальности, которые соответствуют принятым в банке стандартам;

– проведение периодического независимого внутреннего и (или) внешнего аудита заказных операций, по меньшей мере в том же объеме, который требовался бы, если бы такие операции совершались в самом банке;

– наличие должных планов на случай непредвиденных обстоятельств для деятельности в рамках ЭБ, осуществляемой в заказном порядке.

Ниже приведены дополнительные примеры надежной организации работы при управлении внешними СЭБ и других случаях зависимости от сторонних организаций.

1. Банкам следует внедрить необходимые процессы для оценивания решений, принимаемых в отношении внешних (заказных) систем и видов обслуживания, в части ЭБ:

– руководство банка должно четко определить стратегические цели, выгоды и затраты, связанные с заключением соглашений с третьими сторонами на заказную обработку в рамках ЭБ;

– решения об использовании сторонней обработки для ключевых функций или видов обслуживания в части ЭБ должны быть согласованы с деловыми стратегиями банка, основываться на точно определенных деловых потребностях и учитывать специфические риски, обусловленные использованием заказной обработки;

– все заинтересованные стороны в банке должны понимать, каким образом провайдер(ы) услуг будет(ут) поддерживать стратегию банка в области ЭБ и обеспечивать соответствие его функциональной структуре.

2. Банкам следует проводить должный анализ рисков и выполнения обязательств до выбора провайдера услуг в части ЭБ и через соответствующие интервалы времени впоследствии:

– банки должны рассмотреть конкурентные предложения нескольких провайдеров услуг в области ЭБ и выработать критерии выбора;

– после определения потенциального провайдера услуг банку следует провести проверку обеспечения соблюдения обязательств, включая анализ риска в отношении финансовых ресурсов данного провайдера услуг, репутации, политики управления рисками и средств управления, а также способности выполнять обязательства;

– далее банк должен регулярно контролировать и при необходимости проводить проверку соблюдения провайдером обязательств по обслуживанию и связанных с ними обязательств по управлению рисками на протяжении всего срока действия контракта[100]100
  Масштаб проверок соблюдения обязательств следует определять, исходя из финансовой значимости заказных операций и степени изменений в системах и управлении рисками с течением времени, включая любые последующие субконтрактные отношения, которыми может быть связан данный провайдер услуг.


[Закрыть];

– банкам необходимо гарантировать, что для контроля соблюдения соглашений на заказную обработку в целях обеспечения операций ЭБ выделены адекватные ресурсы;

– обязанности по контролю соблюдения соглашений на заказную обработку в рамках ЭБ должны быть четко распределены;

– банк должен разработать правильную с точки зрения управления рисками стратегию выхода из договорных отношений по заказной обработке, если возникнет необходимость их прервать.

3. Банкам следует внедрить необходимые процедуры для обеспечения адекватности контрактов, в соответствии с которыми выполняются операции ЭБ. Например, контракты должны содержать[101]101
  Как и в случае с другими законными контрактами, которые заключает банк, его юрист или юридическое подразделение должны изучить все пункты и условия контрактов, определяющие соглашения по заказной обработке в рамках ЭБ.


[Закрыть]:

– четкое определение контрактных обязательств договаривающихся сторон, равно как и меры ответственности за принятие решений, включая любые субконтрактные отношения по предоставлению реальных услуг;

– четкое определение ответственности в части предоставления информации провайдеру услуг и получения информации от него. Информация от провайдера услуг должна быть своевременной и достаточно полной для того, чтобы банк имел возможность адекватно оценить уровни обслуживания и риски. Следует оговорить пределы затрат и процедуры, необходимые для уведомления банка о прерывании обслуживания, недостатках в обеспечении безопасности и других событиях, которые подвергают банк материальному риску;

– четкое определение резервов, предназначенных для страхового покрытия, прав собственности на данные, хранимые на серверах или в базах данных конкретного провайдера услуг, а также указание на право банка вернуть данные по истечении или прекращении контрактных отношений;

– определение предполагаемого функционирования как в нормальных условиях, так и в чрезвычайных обстоятельствах;

– определение адекватных мер и гарантий, в частности на основе аудиторских заключений, в обеспечение того, что провайдер услуг действует в соответствии с политикой банка;

– указание на возможности своевременного и уместного вмешательства и устранения ошибок в случае нестандартной работы провайдера услуг;

– в случае трансграничных соглашений о заказной обработке – определение того, законы и правила какой страны будут применимы, включая и те, которые относятся к обеспечению конфиденциальности и другим видам защиты прав клиентов;