Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов. Страница 24

Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:

— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;

— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;

— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;

— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,

или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного [87]. Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.

В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.

Мошенничество в платежной сфере. Бизнес-энциклопедия - i_020.png

Рис. 3.5. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления ВК

Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.

В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем [88]. При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода [89]. Можно отметить, что на рынке программно-информационных продуктов, предлагаемых банкам, уже появилась целая линейка средств обнаружения и предотвращения противоправной деятельности (модули, называемые «антифрод», «антидроп» и им подобные [90]).

В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:

— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;

— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;

— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;

— политика подбора надежного персонала;

— порядок ограничения использования мобильных носителей информации;

— порядок сбора информации о совершении компьютерных мошенничеств;

— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;

— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;

— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;

— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;

— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);

— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;

— порядок ведения, использования и защиты компьютерных журналов;

— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);

— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;

— порядок ведения претензионной работы с удаленными клиентами;

— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;

— порядок мониторинга профилей операционной деятельности клиентов;

— порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;

— порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.

Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.

Суммируя сказанное выше касательно технических мероприятий, необходимо также:

— разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;

— применение средств обнаружения сетевого мониторинга (sniffing’a);

— применение межсетевых экранов при соединении сегментов сетей;

— применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;

— применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;

— проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;

— ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;

вернуться

87

По имеющейся у автора информации, их пока еще менее 400 на всю страну.

вернуться

88

Компьютерное мошенничество. Битва байтов / Под ред. Д.Т. Уэллса. — М.: Маросейка, 2010.

вернуться

89

Лямин Л.В. Особенности управления финансовым мониторингом в условиях электронного банкинга // Банковское дело. 2011. № 1. С. 70–74; № 2. С. 70–74.

вернуться

90

От англ, anti-fraud, anti-drop и т. п.