Книга: Применение технологий электронного банкинга: риск-ориентированный подход
Сноски из книги
· #1Coderre D. Internal Audit. Efficiency through automation. John Wiley&Sons Inc., Hoboken, NJ, USA, 2009.
· #2Сводная информация приведена в пресс-релизе Банка России, размещенном на его официальном web-сайте по адресу http://www.cbr.ru/press/Arcliive_get_blob.asp7doc_> · #3
PDA = Personal Digital Assistant — тип сверхлегкого миниатюрного персонального компьютера.
· #4WAP = Wireless Application Protocol — протокол беспроводного взаимодействия, служит для обеспечения беспроводного доступа к сервисам Интернет с помощью мобильного телефона. SMS = Short Message Setyice — служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения. GSM = Global System for Mobile communications — глобальная система мобильной связи. GPRS = General Packet data Radio Setyice — общая служба радиопередачи пакетированных данных, предназначенная для осуществления экономичного обмена данными с помощью мобильного телефона, включая обеспечение WAP-доступа к Интернету. Wi-Fi = Wireless Fidelity — обозначение некоторых типов беспроводных локальных вычислительных сетей (Wireless Local Ai'ea Network — WLAN), в которых используются спецификации протокола семейства 802.11. POS = Point-Of-Sale — пункт продаж, место продавца (кассира). POS-терминал — устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских пластиковых карт.
· #5Любые технологии электронного банкинга реализуются распределенными автоматизированными компьютерными системами, относящимися к системам «Банк — Клиент»; тем не менее для удобства классификации в главе 1 будет рассмотрена соответствующая обобщенная схема деления этих технологий, используемая в интересах банковского надзора, в частности. Банком Германии («Дойчебундесбанком»).
· #6Использована формулировка из Указания оперативного характера Банка России от 23 апреля 2004 г. № 70-Т «О типичных банковских рисках».
· #7Общепринятый термин в материалах зарубежных органов банковского регулирования и надзора.
· #8Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальное™ и т. п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.
· #9По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.
· #10Coderre D. Internal Audit. Efficiency through automation. John Wiley & Sons Inc., Hoboken, NJ, USA, 2009.
· #11См., например. Risk Management Principles for Electronic Banking. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, July 2003; Internet-Banking. Comptroller’s Handbook. I–IB. Office of the Comptroller of the Currency, Washington, DC, USA, October 1999; E-Banking. Federal Financial Institutions Examination Council, Washington, DC, USA, August 2003.
· #12Пруденциальный (англ. prudential от лат. prudens) — разумный, осторожный, отказывающийся от риска.
· #13Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.
· #14Письма Банка России от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»; от 30 января 2009 г. № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» и др.
· #15Статья 160 ГК РФ.
· #16См., например, такие документы, как Положение Банка России от 19 августа
2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; письма Банка России от 13 июля
2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; от 30 августа
2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем…“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 5 апреля 2007 г. № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)».
· #17Понятие «ордер клиента» введено и определено в Письме Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».
· #18В этой книге понятие аутсорсинга интерпретируется в наиболее широком смысле, а не в традиционном понимании, как передача кредитной организацией сторонней организации выполнения каких-либо функций, которые она могла бы выполнять сама, но ей самой невыгодно это делать по соображениям, например, финансового плана. Тем самым, по мнению автора, обеспечивается наиболее полный охват вариантов зависимости банковской деятельности от сторонних организаций, которые подлежат учету в управлении рисками банковской деятельности.
· #19WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance. Federal Deposit Insurance Corporation, National Credit Union Administration, Office of Thrift Supervision, Office of the Comptroller of the Currency, Washington, DC, April 23, 2003.
· #20Internet-Banking. Comptroller’s Handbook. I–IB.
· #21Coderre D. Internal Audit. Efficiency through automation.
· #22Guiding Principles in Risk Management for U.S. Commercial Banks. The Financial Services Roundtable, A Report of the Subcommittee and Working Group on Risk Management Principles; Washington, DC, USA, June 1999.
· #23Автор располагает материалами таких учреждений только из США, Канады, Западной Европы и Великобритании, а также Сингапура и Южной Кореи, однако это не умаляет общности рассмотрения.
· #24Например, Risk Management Principles for Electronic Banking.
· #25Цитируются материалы семинара, проводившегося для специалистов Банка России в 2004 г.
· #26Office of the Comptroller of the Currency — OCC, в составе которого служба банковского инспектирования была создана еще в 1863 г., а в 1874 г. — банковский надзор, этой истории посвящена книга Robertson R.M. The Comptroller and Bank Supervision. OCC, Washington, DC, USA, 1995.
· #27В терминологии документов ОСС.
· #28Large Bank Supervision. Comptroller’s Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001.
· #29Guiding Principles in Risk Management for U.S. Commercial Banks. June 1999.
· #30По аналогии с принципами «Знай своего клиента» и «Знай своего работника», которые часто фигурируют в литературе в связи с исследованиями банковских рисков.
· #31Это тем более справедливо в ситуациях территориального разнесения официально зарегистрированной кредитной организации или ее филиала и процессингового центра, а также в условиях так называемого «оффшоринга» — трансграничного аутсорсинга процессинга.
-’ Эти понятия подробно поясняются ниже.
· #32Эти понятия подробно поясняются ниже.
· #33Large Bank Supervision.
· #34Имея в виду интерпретацию банковского сектора страны как некой системы, состоящей из взаимодействующих кредитных организаций, их клиентов и контрагентов, функции которых известны и унифицированы за счет регламентации, которая, впрочем, охватывает лишь часть банковской деятельности.
· #35Risk Management Principles for Electronic Banking.
· #36В качестве примера можно привести принятый еще в 1962 г. Федеральный закон США «О компаниях, обслуживающих банки», в котором речь идет о контроле над провайдерами кредитных организаций.
· #37Risk Management Principles for Electronic Banking.
· #38Virtual Private Network — VPN.
· #39Как ни странно, в обширной литературе, посвященной банковским рискам, автору не удалось найти упоминания весьма важного акцента, значительно отличающего практическую интерпретацию понятия ликвидности в новых, высокотехнологичных условиях банковской деятельности от традиционно принятой.
· #40Internet-Banking. Comptroller’s Handbook.
· #41Здесь и далее в квадратных скобках приводятся слова, поясняющие контекст, поскольку полные переводные выдержки из текста документа, которые содержат необходимые в каждом случае пояснения, заняли бы слишком много места.
· #42В зарубежной терминологии — Electronic Funds Transfer.
· #43Как это определено в Письме Банка России от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».
· #44Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, BIS, Basel, July 2003.
· #45Risk Management Principles for Electronic Banking.
Наиболее «популярный» в последние годы вид сетевых атак — Distributed Denial of Service (DDoS), представляющий расширенный вариант DoS-атаки за счет задействования компьютеров, находящихся в сетевых структурах сторонних организаций за счет «заражения» их специальными вирусами-червями (см. ниже).
· #47Decision Support System/Management Information System.
· #48Интерпретируемой как свойство сохранять значения установленных параметров функционирования в определенных пределах, соответствующих заданным режимам и условиям в течение установленного времени.
· #49Это касается и практики так называемых «заплаток» (patches) для программного обеспечения.
· #50Это понятие определено Банком России в упоминавшемся ранее Письме № 36-Т.
· #51Приведенное разделение несколько условно, оно основано на различиях в моделях соответствующих угроз для БАС кредитной организации.
· #52Crume J. Inside Internet Security. Addison-Wesley, Pearson Education Ltd., 2000.
· #53От термина Packet Internet Groper.
· #54Комбинация из английских слов robot и net.
· #55Под этим понимается осуществление двойного параллельного независимого контроля (в том числе при принятии «ответственных» решений, т. е. значимых для финансового состояния кредитной организации).
· #56Лямин JI.B. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в кредитной организации. 2008. № 2. С. 20–31.
· #57Guiding Principles in Risk Management for U.S. Commercial Banks.
· #58Large Bank Supervision; Community Bank Supervision. Comptroller’s Handbook. EP-CBS. Office of the Comptroller of the Currency, Washington, DC, USA, July 2003.
· #59Лямин JI.B. Принципы риск-ориентированного банковского контроля в области интернет-банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49. Описанный подход справедлив для технологий электронного банкинга в целом.
· #60Например, в случае открытия банковского счета, оформления кредита, кассового обслуживания и др.
· #61Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С, 37–54.
· #62Это видно в первую очередь по данным, приводимым в формах банковской отчетности 0409070 «Сведения об использовании кредитной организацией интернет-технологий» и 0409251 «Сведения о счетах клиентов и платежах, проведенных через кредитную организацию (ее филиал)».
· #63По аналогии с упоминавшейся выше трактовкой понятия «надежность» устойчивость в традиционном понимании интерпретируется как способность восстанавливать свое состояние (режим) после какого-либо возмущения, проявляющегося в отклонениях значений параметров режима от исходных (начальных) значений (или от штатного функционирования).
· #64Это определение приведено в стандарте ISO 9001:2000.
· #65Control Objectives for Information and related Technology (руководство, разработанное Институтом управления информационными технологиями — ITGI (США), отражающее, как заявлено в материале, «хорошую практику управления информационными технологиями»).
· #66Или, иначе, «совершенства» процессов — более подходящий перевод английского слова maturity, которое в русскоязычной литературе чаще переводится как «зрелость» в отношении процессов, что соответствует первому буквальному значению этого слова, но не слишком удачно как их характеристика.
· #67См.: Лямин Л.В. Универсальная Рейтинговая Система для Информационных Технологий, применяемая органами банковского надзора США // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 5. С. 113–120; № 6. С. 114–124.
· #68По аналогии с рейтинговыми оценками в Large Bank Supervision и Community Bank Supervision.
· #69См.: Лямин Л.В. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора // Управление в коммерческом банке. 2006. № 6. С, 83–94; 2007; № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70.
· #70В зарубежной терминологии — non-repudiation, т. е. исключение ситуации, когда клиент предъявляет кредитной организации претензию относительно того, что не давал ордера, допустим, на перевод средств со счета, а эта организация предъявляет ему как бы его ордер и наоборот, когда клиент утверждает, что организация не выполнила его ордер, а та уверяет его в том, что такого ордера не поступало и т. п.
· #71Тому есть немало подтверждений, связанных в основном с содержанием договоров на ДБО и тех или иных приложений к ним в сопоставлении с текстами контрактов, в которых положения о требуемом уровне обслуживания с содержанием этих договоров никак не коррелируют.
· #72См., например: Management and Supervision of Cross-Border Electronic Banking Activities.
· #73В 2009 году и первой половине 2010 г. возможные изменения этого закона интенсивно обсуждались в Государственной Думе, и судьба этих изменений пока полностью не ясна.
· #74Setyice Level Agreement (SLA).
· #75Risk Management Principles for Electronic Banking.
· #76Имеется в виду оптимальный вариант обеспечения совокупной необходимой квалификации при анализе предметной области и принятии решений относительно внедрения варианта ДБО.
· #77По данным отчетности кредитных организаций, представляемой в Банк России в соответствии с формой 0409070, российскими кредитными организациями используется порядка 100 разновидностей систем только интернет-банкинга, половина из которых разработана различными компаниями и еще примерно столько же оригинальных разработок выполнены самими кредитными организациями.
· #78Речь идет, разумеется, не о названии внутрибанковских документов, а об их содержа-
· #79В этом случае понятие аутсорсинга используется в «максимально широкой» его трактовке, с учетом «множественности» вариантов образования внешней зависимости банковской деятельности кредитной организации в ИКБД.
· #80Имеются в виду варианты предварительного «внутреннего» тестирования автоматизированной системы подразделением ИТ, апробации ее небольшим количеством операторов на тестовых и отдельных практических примерах и передачи ее в опытную эксплуатацию, после чего принимается решение о проведении ПСИ для передачи системы в постоянную эксплуатацию.
· #81В устоявшейся терминологии зарубежных органов банковского регулирования и надзора под провайдерами обычно понимаются продавцы услуг (доступа в Интернет, каналов связи и пр.), а под вендорами — продавцы товаров (программного обеспечения, автоматизированных систем и т. п.). На самом деле такое разделение не существенно и используется только для удобства квалификации возникающих зависимостей кредитной организации от сторонних организаций и, соответственно, структурных компонентов типичных банковских рисков.
· #82Data Flow Diagram (D FD).
· #83Universal Rating System for Information Technologies. Federal Register. V. 64, № 12, 1999. Эта система разработана Федеральным советом по проверкам финансовых учреждений (Federal Financial Institutions Examination Council — FFIEC), который является своего рода общим методическим органом для учреждений США, выполняющих регулятивнонадзорные функции в банковском секторе. В описании этой системы указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». Разработками этой организации пользуются и коммерческие банки и другие финансовые учреждения в США.
· #84Robertson R.M. The Comptroller and Bank Supervision.
· #85Эта проблематика анализировалась в статье: Лямин Л.В. Концептуальные вопросы управления аутсорсингом в условиях применения технологий электронного банкинга // Управление в коммерческом банке. 2007. № 5. С. 109–118; 2008. № 1. С. 80–102.
· #86Например, распределение функций администрирования автоматизированных систем и вычислительных сетей и контроля реализации этого распределения (обязанностей, ответственности, прав и полномочий, порядков и должностных инструкций), проведения проверок службой внутреннего контроля и службой обеспечения информационной безопасности и т. п.
· #87В качестве одного из наиболее очевидных примеров можно привести определение требований к настройке брандмауэров (сетевых экранов) кредитной организации, которые являются основными средствами защиты ее вычислительных сетей. В этом случае необходима разработка корпоративной политики такой защиты (в том числе допустимых для использования сетевых протоколов, ограничений на доступное внешнее и внутреннее адресное пространство и т. п.), доведение ее до технических исполнителей и проверка соответствия выполненных настроек установленным требованиям специалистами подразделения ИТ, обеспечение информационной безопасности и внутреннего контроля, которые при их проведении должны руководствоваться соответствующими положениями о подразделениях и должностными инструкциями.
· #88Еще одним простым примером может являться формирование механизма доведения до менеджеров разных уровней информации о сетевых и вирусных атаках, случаях НСД, отказах серверного оборудования разного назначения и т. п. Известно, что если проблема не «докладывается», то она повторяется, причем в кредитных организациях это может продолжаться до тех пор, пока сокрытие негативной информации не приведет к весьма серьезным финансовым потерям их самих или их клиентов (чему немало примеров из российской и зарубежной банковской деятельности). Чтобы создать такие «механизмы» и контролировать их функционирование (допустим, через анализ содержания тех же системных логов и аудиторских трейлов), также необходима специальная квалификация.
· #89Совершенствование корпоративного управления в кредитных организациях // Вестник Банка России. 2001. № 46. 25 июля.
· #90http://www.oecd.org/dataoecd/57/18/32159669.pdf.
· #91Лямин Л.В. Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. № 3. С. 78–89; № 4. С, 70–83; № 5. С. 68–83.
· #92Enhancing corporate governance for banking organisations. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, February 2006.
· #93Здесь под распространением риска имеется в виду то, что реализация какого-то фактора или проявление источника риска может оказать влияние на выполнение различных процедур, входящих в состав внутрибанковских процессов. Особенно это касается ситуаций, в которых возможно нарушение целостности банковских или клиентских данных.
· #94Risk Management Principles for Electronic Banking.
· #95В число которых, как поясняется в документе, «входят надзор, правительство и вкладчики ввиду уникальной роли банков в национальной и локальной экономиках и финансовых системах, а также ассоциируемыми с ними явными и неявными гарантиями депозитов».
· #96Federal Deposit Insurance Corporation (FDIC).
· #97Учитывать следует как внешние, так и внутренние угрозы, которые могут инициироваться в различных информационных сечениях как между системой ДБО и БАС, так и самой БАС.
· #98Письмо Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которое требует, вообще говоря, практической интерпретации в каждом индивидуальном случае применения электронного банкинга.
· #99Как поясняется, предупредительному, ориентированному на создание необходимых условий для эффективного внедрения и поддержания, и это справедливо, однако отсутствие указаний на связь с жизненными циклами банковских информационных технологий и внутрибанковских процессов, что, казалось бы, в современном банковском деле «лежит на поверхности», исключает и необходимый акцент на них.
· #100В оригинале — Sound corporate governance principles.
· #101Факторы и источники компонентов банковских рисков, условия проявления и степень их влияния и т. п.
· #102От англоязычного понятия ATM — Automatic Teller Machine.
· #103По результатам разных исследований, проводившихся, например, в США совместно Федеральным бюро расследований и научно-техническими организациями, инсайдеры инициируют от 60 до 80 % противоправных действий — в зависимости от вида опрошенных учреждений и компаний.
· #104Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.
· #105Risk Management Principles for Electronic Banking.
· #106В соответствии с Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», хотя тематика ФМ в кредитных организациях должна трактоваться существенно шире (см. параграф 5.6).
· #107Risk Management Principles for Electronic Banking.
· #108Как будет показано ниже, понятие «безопасность» трактуется БКБН в широком смысле, включая, например, осуществление ФМ, на чем акцент в данном материале не сделан.
· #109В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать также подготовку необходимых отчетов для соответствующих надзорных органов.
· #110Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.
· #111Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.
· #112Включая сотрудников, работников по контракту и тех, кто обладает правами доступа на основе контрагентских отношений.
· #113Включая меры по мониторингу сетевой активности, фиксации попыток проникновения и сведения о серьезных недостатках в обеспечении безопасности.
· #114Мистификация (spoofing) — это имитация легитимного клиента за счет использования его/ее номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты.
· #115«Вынюхиватель» (sniffer) — это устройство, которое способно просматривать поток данных, передаваемых по каналу связи, перехватывать пароли и данные при их передаче, из-за чего в итоге похищается конфиденциальная информация и совершаются мошенничества (с точки зрения ОИБ — происходит ее утечка).
· #116В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации.
· #117Кредитная организация может выдавать цифровые сертификаты, чтобы обеспечить безопасность связи, см. ниже комментарий к Принципу 5.
· #118Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических (поведенческих) характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.
-’ Источниками аутентификационных данных могут быть электронные средства.
· #119Источниками аутентификационных данных могут быть электронные средства.
· #120В качестве примера можно привести две ситуации, в которых клиент рискует возникновением взаимного «непонимания» с кредитной организацией: неправильный ввод суммы в платежном поручении (500 ООО вместо 50 ООО, — «залипла» клавиша, был выпивши…) или проведение сеанса из интернет-кафе (кредитным организациям целесообразно официально — в договорах — предупреждать клиентов ДБО о нежелательности таких сеансов).
· #121Либо должны присутствовать альтернативные компенсирующие средства контроля.
· #122Кредитным организациям следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно их восстановление после нарушения целостности.
· #123Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.
· #124Письмо Банка России от 23 октября 2009 г. № 128-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет».
· #125Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.
· #126Risk Management Principles for Electronic Banking.
· #127Их можно было бы назвать руководствами, поскольку в их преамбулах используется понятие «guidance», но они имеют рекомендательный характер.
· #128Risk Assessment System (RAS).
· #129Перевод наименований уровней унифицирован в соответствии с таблицей агрегированного риска на рис. 5.
· #130Дополнительную информацию по этой тематике и ссылки можно найти в статье: Лямин Л.В. Принципы риск-ориентированного банковского контроля // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49.
· #131В оригинале «Quantity of transaction risk indicators».
· #132Community Bank Supervision. Comptroller’s Handbook. EP-CBS.
· #133Подробную информацию о таких выводах можно найти также в работе Large Bank Supervision. Comptroller’s Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001. Общее представление о том, какого рода выводы предусмотрены в рейтинговых системах, используемых в банковском сообществе США, можно получить из краткого описания URSIT, приведенного ниже, в параграфе 5.3.
· #134Сетевой протокол — это набор правил формирования пакетов данных и управления их передачей.
· #135Цит. по: Запретная история / под ред. Д. Кэннона. М.: ACT, 2009.
· #136Ctvme. J. Inside Internet Security. Addison Wesley, Pearson Education Ltd., 2000.
· #137В зарубежных материалах органов банковского регулирования и надзора различие между ними проводится на основе того, что продает компания: товары или услуги.
· #138Intrusion Prevention System (IPS) и Intrusion Detection System (IDS).
· #139Federal Financial Institutions Examination Council (FFIEC).
· #140УРСИТ используется также Управлением по надзору за сберегательными учреждениями (OTS).
В оригинале использован термин «качественное суммирование» — qualitative summarization.
· #142Библия. Экклезиаст (1:11).
· #143Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120.
· #144Patch Management Policy.
· #145Ctvme J. Inside Internet Security; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets. McGraw Hill Companies, USA, 2007.
· #146Open System Interconnection (OSI).
· #147Wack Cutler K., Pole J. Guidelines on Firewalls and Firewall Policy. National Institute of Standards and Technology. Special Publication 800-41, Gaithersburg, MD, USA, January 2002.
· #148Transmission Control Protocol / Internet Protocol (протокол управления передачей / межсетевой протокол).
· #149Детали модели OSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.
· #150Media Access Control (MAC) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.
· #151В зарубежной терминологии — penetration testing.
· #152Терминология, используемая в зарубежных материалах по обеспечению информационной безопасности по аналогии со «следами», «отпечатками пальцев» и т. п.
· #153В США существует специфическая форма банковской отчетности, называемая «Отчет
о подозрительной деятельности» (Suspicious Activity Report — SAR), которая может быть использована как аналог.
· #15412 CFR (Code of Federal Regulations), Pt. 30 — SAFETY & SOUNDNESS STANDARDS (пункты E и F). Под «Программой обеспечения информационной безопасности» имеется в виду «Политика информационной безопасности».
· #155Granmi-Leach-Bliley Act (GLBA) и Sarbanes-Oxley (SOX) Act 2002; Davis C., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets.
· #156В отличие от, например, упоминавшейся ранее ситуации в США.
· #157Лямин Л.В. Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 3. С. 109–120.
· #158Risk Management Principles for Electronic Banking.
· #159Framework for Internal Control Systems in Banking Organisations. Basel Committee on Banking Supervision, Basel, Bank for International Settlements, September 1998.
· #160Large Bank Supervision. Comptroller’s Handbook. EP-LB.
· #161Лямин Л.В. Пруденциальная организация и жизненный цикл внутреннего контроля в условиях электронного банкинга // Внутренний контроль. 2009. № 1. С. 82–92; № 2. С. 64–75; № 3. С, 90-100.
· #162Это понятие введено без комментариев, вследствие чего не совсем ясно, имеет оно частный (интуитивно понятный) или общий характер, в последнем случае для каждой ТЭБ целесообразно проведение специального анализа подмножества источников компонентов банковских рисков.
· #163The Institute of Internal Auditors, www.theiia.org. В России его представляет организация с аналогичным названием (НП «ИВА»), www.iia-ru.ru.
· #164Information Systems Audit and Control Association (ISACA), www.isacs.org. Имеется отделение в России, www.isaca-russia.org.
· #165В зарубежной терминологии — vulnerability assessment.
· #166Certified Information Systems Auditor и Certified Information Systems Manager.
-’ Codeire D. Internal Audit; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets.
· #167Эта работа продолжается постоянно, и одним из последних таких документов стало руководство БКБН, в котором содержится описание мер, которые следует принимать кредитным организациям — посредникам в проведении банковских операций, чтобы не оказаться вовлеченными в противоправную деятельность: Due diligence and transparency regarding cover payment messages related to cross-border wire transfers/ Basel Committee on Banking Supervision, Bank for International Settlements, May 2009.
· #168В зарубежной терминологии — pattern.
· #169Например, письма Банка России от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)», от 13 марта 2008 г. № 24-Т «О повышении эффективности работы по предотвращению сомнительных операций», от 3 сентября 2008 г. № 111-Т «О повышении эффективности работы по предотвращению сомнительных операций клиентов кредитных организаций» и др.
· #170Bank for International Settlements, October 2004 (в дополнение к рекомендациям Customer due diligence for banks, выпущенным в октябре 2001 г.).
· #171Consolidated KYC Risk Management. Basel Committee on Banking Supervision, Basel,
· #172Определение этого риска БКБН не приводит, но из контекста можно сделать вывод, что этот риск образуется в том случае, если банк не отслеживает операции клиента в комплексе (проводимые через разные филиалы одним клиентом или в интересах одного выгодоприобретателя и т. п.), т. е. головной офис «не замечает» такой системный риск, но он существует в системе филиалов кредитной организации.
· #173В случае необходимости использования специального ПИО ФМ потребуется распределить ответственность и обязанности по его применению, настройкам, модернизации, права и полномочия доступа, меры по исключению возможностей НСД к файлам логов и трейлов, сокрытия/подмены операций и т. п.
· #174Много полезной информации в этом плане можно получить из обсуждений клиентами кредитных организаций различных инцидентов и их последствий, преимущественно негативных, на web-сайте www.banki.ru.
· #175Название этого документа ориентировочное, предложено просто потому, что в большинстве кредитных организаций, предлагающих подобный вариант банковского обслуживания, документ такого рода отсутствует.
· #176От термина phishing, обозначающего технологию введения в заблуждение клиентов кредитной организации, в которой используются специфические ложные сообщения электронной почты, имитирующее запрос от нее (в связи со сверкой данных, техническим перевооружением и пр. в качестве «объясняющей» причины), и возможно, своего рода «web-сайты — муляжи», разработанные таким образом, чтобы как минимум выманить личные регистрационные данные клиентов, с помощью которых осуществляется доступ к их счетам и финансовым средствам, а в ряде случаев — и для атак типа «посредник» с перехватом трафика клиента при его «перемещении» по web-сайтам.
· #177По информации с web-сайта www.antiphishing.org, на котором публикуются различные материалы, касающиеся распространения и угроз фишинга.
· #178Письмо Банка России от 25 июня 2009 г. № 76-Т «О рекомендациях по информированию клиентов о размещении на web-сайте Банка России списка адресов web-сайтов кредитных организаций».
· #179Business Continuity Plan (ВСР) и Business Recovery Plan (BRP) соответственно.
· #180От англ. outsourcing — в наиболее общем случае этот термин используется для обозначения стороннего обслуживания какого-либо учреждения, в банковском секторе он чаще всего употребляется для обозначения организации контрактных отношений в части компьютерной обработки данных, хранения их массивов на отчуждаемых носителях информации, предоставления телекоммуникационных услуг и т. п.
· #181О необходимости ознакомления с финансовым состоянием провайдера и отчетами его внешнего аудита всегда говорится в материалах зарубежных органов банковского регулирования и надзора.
· #182Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, October 2002.
· #183Справедливости ради необходимо отметить, что в московском регионе (по наблюдениям автора) многие кредитные организации в последнее время пересматривают свою политику в отношении использования сервисов, предоставляемых провайдеров, вследствие чего нередки случаи смены этих организаций по причинам невыполнения ими обязательств относительно SLA, расширения банковского бизнеса или ввода новых услуг ДБО. Отдельной актуальной в последние три года проблемой стало привлечение провайдеров к участию в защите кредитных организаций от разного рода сетевых атак и его организационно-правовое обеспечение.
· #184Речь идет о сетевых атаках Tima «отказ-в-обслуживании» и «распределенный-отказ-в-обслуживании»: DoS (Denial-of-Setvice) и DDoS (Distributed- Denial-of-Setvice).
· #185Лямин Л.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в коммерческом банке. 2008. № 2. С, 20–31.
· #186Термин образован от сочетания robot-net.
· #187WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance.
· #188Под этим, как правило, в русскоязычных текстах понимается так называемая «гиперссылка», но в данном случае сохранен буквальный перевод англоязычного термина, употребляемого в рассматриваемых материалах.
· #189Недостатки в реализации этого и предыдущего пунктов являются основными причинами наличия ошибок и других недостатков в контенте web-сайтов, используемых кредитными организациями; в основном они относятся к взаимодействию подразделений по развитию бизнеса, маркетинга, связей с общественностью и информатизации (автоматизации) банковской деятельности.
· #190Если web-ресурсы создаются специалистами самой кредитной организации, и их хостинг обеспечивается ее собственными web- и почтовыми серверами, то речь идет о провайдерах Интернета и систем связи.
· #191Оптимальным в этом плане является принятие организационно-технических мер по их устранению.
· #192Включая ее неадекватность реальной ситуации из-за несвоевременного обновления контента.
· #193Случаи атак на web-сайты с искажением их контента, а также так называемой «недобросовестной конкуренции» с распространением в Сети ложных сведений о кредитных организациях (хотя последнее имеет косвенное отношение к рассматриваемой проблематике).
· #194WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance.
- Принятые сокращения
- Введение Актуальность и проблематика электронного банкинга
- Глава 1 Понятие и специфика технологий электронного банкинга
- Глава 2 Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга
- Глава 3 Жизненные циклы банковских автоматизированных систем и внутрибанковских процессов
- Глава 4 Особенности корпоративного управления в условиях электронного банкинга
- Глава 5 Модернизация основных внутрибанковских процессов, связанных с электронным банкингом
- Глава 6 Управление web-отношениями кредитной организации
- Перспективы развития электронного банкинга
- Литература
- Сноски из книги
- Содержание книги
- Популярные страницы