

В настоящее время сложно представить банк, не использующий системы дистанционного банковского обслуживания (ДБО). Требования бизнеса, ориентация на удобство для клиентов и следование современным тенденциям побуждают кредитные организации внедрять новые информационно-коммуникационные технологии.
Задачи обеспечения защиты систем ДБО в банке ложатся на подразделения информационной безопасности, IT-службы и, частично, – на сотрудников финансового мониторинга. В большинстве случаев задачи по обеспечению информационной безопасности решаются стандартными подходами: внедрением технических средств защиты, межсетевым экранированием, разграничением доступа на сетевом уровне и управлением доступом.
Однако со временем топ-менеджмент банка начинает замечать – несмотря на принятые меры по снижению операционных рисков, всё равно возникают проблемы: инциденты, сбои, выход за рамки бюджета, нехватка ресурсов и т.д. Возникают закономерные вопросы, почему так происходит и что делать дальше?
Чтобы исчерпывающе ответить на эти вопросы, нужен цикл статей, шаг за шагом раскрывающих процесс управления рисками систем ДБО и его практическое осуществление в банке. Приведённые подходы и практические советы помогут выстроить процесс управления рисками не только в электронной коммерции, но и в целом, для любых бизнес-процессов банковской деятельности.
СТЕПЕНИ ИНТЕГРАЦИИ СИСТЕМ ДБО
Количество, характер и степень рисков в каждом конкретном случае зависит, в первую очередь, от того, в какой степени интернет-сервисы интегрированы в информационные системы и бизнес-процессы банка. Возможны 3 степени такой интеграции: низкая, средняя и высокая.
Низкая степень интеграции – сайт банка предоставляет общую информацию о самом банке, его продуктах и услугах банка. В таком случае финансовые риски минимальны. Нарушение целостности и доступности может привести к возникновению репутационных рисков, степень влияния которых менеджменту необходимо оценить в каждом конкретном случае.
Средняя степень интеграции – веб-портал банка предоставляет доступ к информации общего характера о клиенте, например, о движении на его банковском счёте. Риски в таком случае существенны и для клиента, и для банка. Данные о клиенте, его счёте оказываются под угрозой компрометации, а интернет-сайт, который должен быть связан с информационной системой банка, может быть использован как канал для атаки на неё.
Высокая степень интеграции – сайт банка предоставляет возможности полноценного интернет-банкинга. Тут риски максимальны, поскольку каждая из финансовых операций, которая может быть совершена посредством ДБО, несёт потенциальную угрозу для банка. Управление такими рисками становится особенно актуально после вступления в силу закона №161-ФЗ «О национальной платёжной системе России».
КАТЕГОРИИ РИСКОВ
При внедрении систем электронной коммерции банки в большей степени уделяют внимание операционным рискам. Однако для соответствия стратегии информационной безопасности и для уверенности, что внедряемая или существующая система ДБО отвечает долгосрочным требованиям руководства банка, должен быть принят во внимание целый ряд категорий рисков.
Основные категории рисков, которые следует рассмотреть при оценке потенциальных потерь при внедрении систем ДБО, таковы:
ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ
Перед руководством банка, в связи с активацией перечисленных рисков, возникает необходимость учитывать их в общей стратегии управления рисками. При этом для топ-менеджмента критически важно осуществлять соответствующий контроль за всей банковской деятельностью, связанной с запуском и поддержкой системы ДБО.
Типичной ошибкой, как показывает практика, является попытка полностью подчинить управление всеми категориями рисков, связанными с ДБО, ИТ-отделу и подразделению информационной безопасности. В свою очередь, упомянутые службы, со своей стороны, должны повышать осведомленность топ-менеджмента компании в вопросах управления рисками и делегировать им соответствующие функции принятия управленческих решений, вовлекать в процессы оценки возможных потерь.
Без чёткой поддержки топ-менеджментом инициатив ИТ- и ИБ-служб невозможно выстроить процесс управления рисками, полностью отвечающий требованиям бизнеса. Внедрение системы ДБО требует от руководства банка ясной постановки целей и путей их достижения, определения промежуточных задач, их ранжирования и установки последовательности выполнения.
Следует чётко определить планируемую выгоду, необходимые затраты, включая стоимость закупки, внедрения, эксплуатации и владения системы ДБО. Эти и другие ключевые показатели, связанные с запуском системы интернет-банкинга, помогут выработать эффективную стратегию управления рисками.
Полагается обязательно следить за тем, чтобы планы внедрения и развития электронной коммерции основывались на результатах оценки технологических ресурсов банка. Конечно, в той или иной степени банки интуитивно оценивают вышеназванные категории рисков. Однако, как показывает практика, в такой оценке нет системного и процессного подхода. Оценка угрозы возникает либо после её реализации, либо уже в процессе внедрения или функционирования системы.
БАЗОВЫЕ МЕХАНИЗМЫ КОНТРОЛЯ
Контроль со стороны служб информационной безопасности требует дополнительного внимания к аспектам аутентификации, невозможности опротестования и фиксации действий в системе ДБО. Внимание к аутентификации важно потому, что работа с банковскими системами через интернет требует проверки банком личности и прав доступа клиента, подтверждаемых с использованием различных технических средств (e-Token, SMS-паролей и других).
Наблюдаемый тренд минимизации процедур аутентификации, безусловно, повышает риск компрометации системы информационной безопасности банка в целом. Поэтому важно при изменении технологии аутентификации проводить соответствующую оценку возможного ущерба. Внедрять изменение в этом случае следует только после соответствующей оценки возможных потерь и принятия остаточного риска руководством банка.
Невозможность опротестовать совершённую транзакцию обеспечивается посредством современных средств защиты информации, например, использующих PKI-технологии. Средства инфраструктуры открытых "ключей существенно снижают вероятность того, что клиент успешно попытается снять с себя ответственность за якобы не совершённый им платёж.
Но последние изменения в российском законодательстве, всё тот же ФЗ-161, разворачивают ситуацию на 180°, в пользу клиентов, способных оказаться недобросовестными. Для страхования себя от подобных рисков банк должен разработать и задокументировать чёткую процедуру регистрации клиента, учитывающую все аспекты законодательства и полностью соответствующую реализованным процессам.
Жизненно важна для банка как можно более детальная фиксация всех действий клиента в системе ДБО, операций с его банковским счётом, в первую очередь – транзакций. Такая фиксация, которая ведётся автоматически информационной системой банка, облегчит выстраивание последовательности событий при расследовании инцидентов. Подобные журналы событий должны храниться банком таким образом, чтобы максимально обеспечить их конфиденциальность, целостность и доступность.
Следует отметить, что представленные в России системы ДБО в той или иной степени учитывают вышеназванные аспекты. Соответствующим службам остаётся только разработать регламенты использования упомянутых механизмов контроля.
ОСВЕДОМЛЕННОСТЬ И РЕПУТАЦИЯ
Наконец, важное место в стратегии управления рисками банка должны занять принципы управления сопутствующими правовыми и репутационными рисками. Речь идёт, прежде всего, о рисках, связанных с обеспечением конфиденциальности данных клиентов – персональных данных и банковской тайны.
Банки должны подробно информировать клиентов о своей политике в отношении такой информации: разъяснять цели, для которой эти данные необходимы, сообщать в общих чертах о средствах их защиты. Обработка клиентской информации должна проводиться только в информационных системах высокой степени защищённости.
Вместе с тем, от банка требуется обеспечивать постоянную доступность сервисов системы ДБО, как и осуществление поддержки пользователей в любое время. Служба информационной безопасности банка в каждый момент должна быть готова реагировать на любые инциденты, связанные с жизненно важными банковскими системами и процессами.
Как отмечает коммерческий директор ЗАО «Практика Безопасности» Дмитрий Скомаровский, в российских банках всё больше понимают необходимость риск-ориентированного подхода, но это достаточно новое для них направление, и практикуется привлечения специалистов, которые помогают поставить эту работу на должном уровне.
BIS-КОММЕНТАРИЙ
Василий ОКУЛЕССКИЙ,
начальник управления информационной безопасности департамента по обеспечению безопасности ОАО «Банк Москвы»:
– Тема риск-ориентированного подхода является как нельзя более актуальной, в первую очередь – к обеспечению информационной безопасности. В развитых странах Запада, где давно используются массовые электронные финансовые сервисы, такой подход применяется давно и повсеместно. В нашей стране электронные платежи начали активно внедряться с 1990-х годов, когда вопросы их безопасности зачастую сводились только к организационным мерам и техническим средствам защиты информации. Сейчас ситуация существенно изменилась: мы можем констатировать, что и к нам пришла пора применения риск-ориентированного подхода российскими банками в системах ДБО.
Такие требования заложены в ряде нормативных документов Банка России, описывающих операционные риски, которые тесно соприкасаются с обеспечением информационной безопасности. Однако для практического применения риск-ориентированного подхода нужна глубокая проработка целого ряда важных вопросов, создание методических рекомендаций. Лучше всего – на уровне Ассоциации российских банков и под её патронажем, аккумулируя опыт специалистов разных банков.
Описание и систематизацию существующих банковских рисков, в том числе в сфере ДБО, продуктивно вести на основе модели типичных угроз. Не сомневаюсь, что применение риск-ориентированного подхода к ДБО будет лейтмотивом V Уральского форума – межбанковской конференции по информационной безопасности в феврале 2013 года. Несмотря на некоторые дискуссионные моменты, нельзя не приветствовать вклад в эту работу, которую могут внести представители компаний-консультантов, примером чего может служить статья Павла Хижняка из компании «Практика Безопасности».
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных