Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

тот факт, что внешнее обслуживание операций ЭБ может передаваться по субконтрактам иным провайдерам услуг и (или) осуществляться в другой стране. Кроме того, по мере технологического развития и роста стратегической важности приложений и видов обслуживания ЭБ определенные функциональные участки ЭБ оказываются зависимыми от небольшого числа специализированных сторонних поставщиков и провайдеров услуг. Эти разработки могут привести к повышенной концентрации рисков, которая оправдывает внимание как со стороны одного банка, так и со стороны отрасли в целом.

В совокупности все эти факторы подчеркивают необходимость всеобъемлющего и постоянного оценивания связей в рамках заказной обработки и других видов внешней зависимости, включая ассоциируемые с ними влияния на профиль риска конкретного банка и возможности надзора за управлением рисками[99]. Наблюдение со стороны СД и ВРБ за связями в части заказной обработки и зависимости от сторонних организаций следует особенно фокусировать на том, чтобы обеспечивались:

– полное понимание банком тех рисков, которые связаны с привлечением сторонних провайдеров услуг или партнеров в заказную обработку или партнерские отношения для работы с банковскими системами или прикладными программами;

– должная своевременная проверка компетентности и финансовой устойчивости любых сторонних провайдеров услуг или партнеров, проводимая до заключения контрактов на обслуживание в рамках ЭБ;

– точное определение контрактной подотчетности всех участников заказной обработки или партнерских отношений. К примеру, должны быть четко определены обязанности по предоставлению информации провайдеру услуг и получению информации от него;

– учет всех операций и СЭБ, связанных с заказной обработкой, в концепциях управления рисками, обеспечения безопасности и соблюдения конфиденциальности, которые соответствуют принятым в банке стандартам;

– проведение периодического независимого внутреннего и (или) внешнего аудита заказных операций, по меньшей мере в том же объеме, который требовался бы, если бы такие операции совершались в самом банке;

– наличие должных планов на случай непредвиденных обстоятельств для деятельности в рамках ЭБ, осуществляемой в заказном порядке.

Ниже приведены дополнительные примеры надежной организации работы при управлении внешними СЭБ и других случаях зависимости от сторонних организаций.

1. Банкам следует внедрить необходимые процессы для оценивания решений, принимаемых в отношении внешних (заказных) систем и видов обслуживания, в части ЭБ:

– руководство банка должно четко определить стратегические цели, выгоды и затраты, связанные с заключением соглашений с третьими сторонами на заказную обработку в рамках ЭБ;

– решения об использовании сторонней обработки для ключевых функций или видов обслуживания в части ЭБ должны быть согласованы с деловыми стратегиями банка, основываться на точно определенных деловых потребностях и учитывать специфические риски, обусловленные использованием заказной обработки;

– все заинтересованные стороны в банке должны понимать, каким образом провайдер(ы) услуг будет(ут) поддерживать стратегию банка в области ЭБ и обеспечивать соответствие его функциональной структуре.

2. Банкам следует проводить должный анализ рисков и выполнения обязательств до выбора провайдера услуг в части ЭБ и через соответствующие интервалы времени впоследствии:

– банки должны рассмотреть конкурентные предложения нескольких провайдеров услуг в области ЭБ и выработать критерии выбора;

– после определения потенциального провайдера услуг банку следует провести проверку обеспечения соблюдения обязательств, включая анализ риска в отношении финансовых ресурсов данного провайдера услуг, репутации, политики управления рисками и средств управления, а также способности выполнять обязательства;

– далее банк должен регулярно контролировать и при необходимости проводить проверку соблюдения провайдером обязательств по обслуживанию и связанных с ними обязательств по управлению рисками на протяжении всего срока действия контракта[100];

– банкам необходимо гарантировать, что для контроля соблюдения соглашений на заказную обработку в целях обеспечения операций ЭБ выделены адекватные ресурсы;

– обязанности по контролю соблюдения соглашений на заказную обработку в рамках ЭБ должны быть четко распределены;

– банк должен разработать правильную с точки зрения управления рисками стратегию выхода из договорных отношений по заказной обработке, если возникнет необходимость их прервать.

3. Банкам следует внедрить необходимые процедуры для обеспечения адекватности контрактов, в соответствии с которыми выполняются операции ЭБ. Например, контракты должны содержать[101]:

– четкое определение контрактных обязательств договаривающихся сторон, равно как и меры ответственности за принятие решений, включая любые субконтрактные отношения по предоставлению реальных услуг;

– четкое определение ответственности в части предоставления информации провайдеру услуг и получения информации от него. Информация от провайдера услуг должна быть своевременной и достаточно полной для того, чтобы банк имел возможность адекватно оценить уровни обслуживания и риски. Следует оговорить пределы затрат и процедуры, необходимые для уведомления банка о прерывании обслуживания, недостатках в обеспечении безопасности и других событиях, которые подвергают банк материальному риску;

– четкое определение резервов, предназначенных для страхового покрытия, прав собственности на данные, хранимые на серверах или в базах данных конкретного провайдера услуг, а также указание на право банка вернуть данные по истечении или прекращении контрактных отношений;

– определение предполагаемого функционирования как в нормальных условиях, так и в чрезвычайных обстоятельствах;

– определение адекватных мер и гарантий, в частности на основе аудиторских заключений, в обеспечение того, что провайдер услуг действует в соответствии с политикой банка;

– указание на возможности своевременного и уместного вмешательства и устранения ошибок в случае нестандартной работы провайдера услуг;

– в случае трансграничных соглашений о заказной обработке – определение того, законы и правила какой страны будут применимы, включая и те, которые относятся к обеспечению конфиденциальности и другим видам защиты прав клиентов;

– четкое определение права банка на проведение независимых проверок и (или) аудита обеспечения безопасности, средств внутреннего контроля и непрерывности деловых операций, а также планов на случай непредвиденных обстоятельств.

4. Банкам следует обеспечить периодическое проведение внутренних и (или) внешних аудиторских проверок заказных операций, по меньшей мере в том же масштабе, который требовался бы, если бы такие операции проводились в самом банке[102]. В отношении внешних взаимодействий, включающих критичные или технологически сложные виды обслуживания/программные приложения, банкам может потребоваться организация других периодических проверок, выполняемых независимыми сторонними компаниями, которые обладают достаточной технической квалификацией.

5. Банкам следует разработать планы на случай непредвиденных обстоятельств, связанных с заказной деятельностью в области ЭБ:

– необходимо разрабатывать такие планы для всех критичных систем и видов обслуживания в рамках ЭБ, которые были возложены на сторонние организации, осуществляющие заказную обработку, и периодически тестировать эти планы;

– в планах на случай непредвиденных обстоятельств следует учитывать правдоподобные сценарии наихудшего развития событий с точки зрения обеспечения непрерывности обслуживания в рамках ЭБ, если произойдут нарушения в работе, влияющие на выполнение заказных операций;

– необходимо иметь точно определенную группу сотрудников, ответственную за обеспечение восстановления и оценивание физического результата в случае прерывания заказного обслуживания в рамках ЭБ.

6. Банкам, которые возлагают обслуживание в рамках ЭБ на сторонние организации, следует удостовериться в том, что их операции, ответственность и обязательства определены достаточно точно, так, чтобы обслуживаемые учреждения могли адекватно осуществлять эффективные проверки соблюдения обязательств и текущее наблюдение за действующими отношениями.

7. Банки несут ответственность за предоставление обслуживаемым учреждениям информации, необходимой для определения, контроля и мониторинга любых рисков, связанных с соглашениями по обслуживанию в рамках ЭБ.

5.2.2. Средства обеспечения безопасности (Принципы