Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов. Страница 21
Вследствие этого (в части противодействия возможной ППД) структуру управления кредитной организации целесообразно сформировать таким образом, чтобы как минимум были гарантированы:
Разделение обязанностей, то есть наличие средств, которые гарантировали бы, чтобы те, кто управляет активами, не отвечали за контроль над соответствующими действиями, целостность записей об этом и не были связаны с собственно осуществлением транзакций. Обычно для этого проверяются совместно идентификация, аутентификация и авторизация пользователей (независимо от того, о ком конкретно идет речь: клиентах, операторах, операционистах, администраторах и пр.). Речь идет о грамотном разделении функций управления и контроля, а их не всегда легко определить (как, к примеру, в случае разработки и эксплуатации ПИО в банках).
Компетентность и ответственность персонала, поскольку контроль будет эффективным, только если те, кто его осуществляют, будут иметь необходимую квалификацию и при этом еще будут честными. Это означает, что в современных условиях информатизации, обусловливающих наличие высокой степени риска, недостаточно просто назначить специалистов для исполнения обязанностей, но требуется понимать, что заложенные в автоматизированные системы средства контроля должны действовать именно так, как предполагалось (и к тому же их нельзя было «обойти»).
Должный уровень полномочий ввиду того, что как отмечалось выше, типичной ошибкой в управленческих структурах является чрезмерная концентрация полномочий. Полномочия должны распределяться исключительно в границах необходимости их наличия. Очевидно, это требует от тех должностных лиц, которые управляют распределением полномочий, понимания того, какие существуют уровни полномочий и какие из них требуются в каждом конкретном случае. Здесь также должно действовать ограничение типа «необходимо знать» (то есть не более, чем требуется).
Регистрируемость, которая означает требование наличия средств контроля для регистрации всех решений, транзакций и действий, которые позволят определить, кто, что, когда делал, с должным уровнем уверенности. Как правило, для этого используются специальные компьютерные журналы (файлы — так называемые системные логи и аудиторские трейлы). Само по себе поддержание таких компьютерных журналов ничего особенно не гарантирует, поскольку их наличие может создать в организации ложное чувство безопасности. Поэтому, для того чтобы такие записи оставались эффективными, они должны регулярно тщательно пересматриваться на предмет их адекватности с принятием необходимых корректирующих мер.
Наличие достаточных ресурсов, в число которых входят: персонал, финансирование, оборудование, материалы и методологии. Руководство часто недооценивает стоимость ресурсов, требуемых для осуществления контроля, особенно в условиях распределенных компьютерных систем и ДБО. Мало того, встречаются ситуации, когда руководство просто не понимает необходимости расходов на те или иные специфические аппаратно-программные решения и квалифицированный персонал, обусловленные требованием обеспечения надежности банковской деятельности.
Контроль и проверки, поскольку адекватный надзор соответствующего типа является фундаментальным фактором реализации надежного ВК [76]. При этом он должен быть адекватным именно применяемым кредитной организацией технологиям и архитектурам вычислительных сетей и систем, и это целесообразно отражать в соответствующих распорядительных документах.
Начинать применять описанную идеологию целесообразно с адаптации процесса УБР в кредитной организации. В наиболее общем случае переход организации к применению какой-либо ТЭБ и внедрение реализующей ее автоматизированной системы логично было бы сопровождать (точнее, как отмечает БКБН, предварять) принятием руководством этой организации решений относительно:
— анализа состава источников новых компонентов банковских рисков;
— внесения изменений в описания типичных банковских рисков;
— содержания адаптации УБР;
— модернизации внутрибанковских процессов, связанной с адаптацией УБР;
— выпуска новых редакций соответствующих внутрибанковских документов.
Организация процесса УБР в высокотехнологичной кредитной организации может быть оценена как пруденциальная, только если его реализация заложена во всей системе управления рисками в ней, к которой следует относить целый ряд ее структурных подразделений (а не только то подразделение, которое непосредственно должно, как говорится, «управлять рисками»). Такое управление целесообразно осуществлять обоснованно (в документах), согласованно, последовательно и контролируемо (со стороны высшего руководства банка) в отношении:
— общей методологии управления рисками, включая анализ формулировок банковских рисков на предмет адекватности изменяющимся способам и условиям банковской деятельности, определяемым конкретными ТЭБ и СЭБ;
— следующих из нее административных, технологических и организационно-технических решений;
— внутрибанковских распорядительных документов, отражающих решения такого рода;
— выработки и внедрения новых управленческих и контрольных функций, что обусловлено спецификой внедряемой ТЭБ;
— положений о структурных подразделениях организации и должностных инструкций менеджеров и исполнителей.
В определении, внедрении и эффективном контроле над выполнением таких новых функций и состоит процесс адекватной адаптации деятельности кредитной организации к условиям применения ТЭБ. По существу, необходим именно стратегический подход к управлению банковскими рисками, которые содержат компоненты, обусловленные угрозами возможного осуществления ППД, то есть к воздействию на источники этих компонентов. В совокупности требуется адаптация корпоративного управления в части управления рисками банковской деятельности при ДБО, политики ее информатизации, ОИБ, ВК, ФМ, правового обеспечения, отношений с провайдерами, претензионной работы, функций колл-центров [77] и т. д.
Говоря о процессе управления информационными технологиями (УНТ), целесообразно обращать внимание на то, что время от времени в связи с развитием бизнеса, внедрением ДБО и новых сервисов для клиентов банков, да и просто с обновлением АПО возникает необходимость в его замене. Такие процедуры должны осуществляться обоснованно и контролируемо, чтобы не происходило прерывания деловой активности и прежде всего — выполнения обязательств кредитной организации перед своими клиентами. В части предотвращения ППД это означает, что в процессе замены АПО не должно возникать новых возможностей для НСД, несанкционированной или непроверенной замены отдельных его компонентов, злонамеренного вмешательства в этот процесс и т. д. Целью таких мероприятий является обеспечение гарантий контролируемости структуры и уровней банковских рисков. Это означает, что все изменения:
— обоснованны;
— санкционированы;
— сделаны;
— учтены (документированы);
— экономически эффективны,
а также то, что сделаны только санкционированные изменения.
Указанный контроль требует скоординированных усилий руководства, менеджеров среднего звена, ИТ-персонала, специалистов по ИТ, ОИБ, ВК, ФМ и аудиторов информационных систем. Фактически речь должна идти о гарантированной безопасности БАС и СЭБ, а также протекающих в них процессов и проходящих сквозь них информационных потоков.
Вместе с тем следует помнить, что до настоящего времени идеальных способов и средств ОИБ в сетевых структурах не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, а мастерство тех, кто защищает банк и его клиентов от реализации компонентов рисков, связанных с инцидентами информационной безопасности, как раз и заключается в том, чтобы в совокупности «охватить» максимально возможное количество зон источников компонентов банковских рисков такими средствами защиты, недостатки которых не совпадают. Обычно в литературе пропагандируется принцип так называемой эшелонированной обороны, который реализуется как за счет полноты документарного ОИБ и «Политики обеспечения информационной безопасности», так и, например, за счет применения брандмауэров и других средств сетевой защиты различных видов, возможно, разных производителей или основанных на различных аппаратно-программных платформах. При этом желательно и разделение обязанностей по их настройке, использованию и контролю. В то же время целесообразно помнить о том, что хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки способны обнаруживать. Поэтому после них целесообразно устанавливать компоненты IPDS (Intrusion Protection and Detection System — система предотвращения и обнаружения проникновений).
76
R. Cascarino, “Auditor’s guide to information systems auditing”, John Wiley & Sons, Inc., Hoboken, New-Jersey, USA, 2007.
77
Лямин Л.В. Управление рисками в условиях применения электронного банкинга // Управление в кредитной организации. 2010. № 2. С. 82–92.