Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Чтобы повысить эффективность плана обеспечения непрерывности функционирования системы, мероприятия, направленные на обеспечение непрерывности ее функционирования, необходимо разрабатывать на основе результатов стресс-тестирования – процедур, позволяющих оценить качественное и количественное влияние наиболее вероятных источников рисков на основные показатели функционирования кредитной организации.
Процедуры стресс-тестирования могут учитывать функционирование как отдельных участков информационного контура СЭБ (например, внешних участков – аппаратных и программных средств клиентов кредитной организации или ее провайдеров; внутренних участков – автоматизированного рабочего места операциониста, контролера, администратора системы и т. д.), так и информационного контура в целом.
При этом в процедурах стресс-тестирования могут использоваться простейшие сценарии, когда анализируется воздействие одного или нескольких факторов (источников) рисков. Следует отметить, что использование простейших сценариев целесообразно в отношении отдельных сегментов или элементов информационного контура СЭБ, части ее функциональных возможностей.
Предпочтительно использовать комплексные сценарии, что значительно расширяет анализ потенциального воздействия источников рисков и позволяет получить более объективные результаты.
Достоверная оценка потенциального комплексного воздействия основных источников рисков на функционирование СЭБ значительно повышает качество разрабатываемых процедур реагирования на такое воздействие в целях обеспечения непрерывности или восстановления функционирования системы.
Договоры с клиентамиОтносительно разработки типовых договоров с клиентами на обслуживание посредством СЭБ следует отметить, что для минимизации правового и репутационного рисков целесообразно унифицировать договоры на подключение к СЭБ. При такой унификации нужно учитывать, что различным клиентам могут быть предоставлены неодинаковые права и возможности, что делает необходимой разработку соответствующих типовых договоров.
Помимо типовых форм договора могут быть разработаны типовые формы заявлений:
– на предоставление услуг посредством СЭБ;
– изменение вариантов обслуживания.
В общем случае договор на подключение и обслуживание в СЭБ между кредитной организацией и ее клиентом может содержать следующие положения:
– предмет договора;
– права и обязанности сторон;
– ответственность сторон;
– стоимость услуг;
– срок действия договора;
– прочие условия.
В разделе, раскрывающем предмет договора, могут оговариваться:
– перечень и объем предоставляемых услуг;
– возможность и порядок изменения вариантов обслуживания;
– порядок проведения расчетных операций в электронной форме по открытому клиентом в банке счету;
– способ передачи кредитной организацией клиенту необходимых программных или аппаратных средств, в том числе используемых для генерирования ключей электронной цифровой подписи, состав передаваемых программных и аппаратных средств;
– способы обмена электронными документами между кредитной организацией и клиентом.
В разделе, посвященном правам и обязанностям сторон, могут быть раскрыты:
– обязанность банка обеспечивать возможность передачи электронных документов в СЭБ по указанным клиентом адресам;
– перечень случаев, в которых банк имеет право не исполнять электронные документы клиента;
– порядок уведомления клиента об изменении размера и условий платы за использование СЭБ;
– обязанность клиента своевременно и надлежащим образом формировать и передавать электронные документы;
– обязанность клиента своевременно и надлежащим образом генерировать секретный ключ и не передавать его третьим лицам, а при его компрометации незамедлительно письменно известить банк для прекращения работы;
– порядок уведомления банка клиентом о намерении изменить вариант обслуживания в СЭБ.
В разделе, посвященном ответственности сторон, в рамках действующего законодательства детально раскрывается ответственность клиентов и кредитной организации. В том числе в раздел могут быть включены положения, согласно которым:
– в случае нарушения договора и других документов, определяющих правила взаимодействия банка и клиента посредством системы, ответственность за последствия несет сторона, которая допустила эти нарушения. При этом каждая сторона не несет ответственности за убытки, понесенные другой стороной не по вине первой в результате использования СЭБ, в том числе при исполнении ошибочных платежных электронных документов, если эти документы надлежащим образом клиентом оформлены и переданы, а кредитной организацией получены, проверены и признаны верными;
– клиент несет ответственность за правильность формирования документов, их достоверность и срочность передачи их банку;
– устанавливаются пределы ответственности кредитной организации за невыполнение своих обязательств по договору с клиентом вследствие ситуаций, влияние кредитной организации на которые ограничено (отключения напряжения в электросети, повреждения линий связи с провайдером и подобных), при этом должен быть приведен перечень таких ситуаций;
– разграничена ответственность в случае, если информация, передаваемая сторонами друг другу через электронную почту, стала доступна третьим лицам либо если ущерб возник из-за составляющей СЭБ, находящейся вне непосредственного контроля кредитной организации.
Проектная документацияВ отношении проектной документации, в соответствии с которой разрабатывается и монтируется СЭБ, следует иметь в виду, что на этапе разработки в изначальный проект системы по различным причинам могут вноситься изменения, связанные с усовершенствованием отдельных функций или технологических решений. Данные изменения должны сопровождаться корректировкой проектной документации, подготовленной на предыдущем этапе.
Все изменения, вносимые в проектную документацию, должны предварительно анализироваться комитетом по технологиям кредитной организации в рамках текущей работы по проекту СЭБ на предмет:
– выявления и парирования факторов рисков;
– совместимости, согласованности с технологическими решениями на других участках СЭБ;
– информационной безопасности;
– экономической целесообразности.
Все вносимые в проектную документацию изменения утверждаются решением комитета по технологиям или куратором по ИТ.
Эксплуатационная документацияНа этапе разработки СЭБ, как и на этапе ее проектирования, значительное внимание следует уделять качеству организации документарного обеспечения системы в части эксплуатационной документации.
На этапе планирования СЭБ должны быть определены специалисты или подразделения, ответственные за подготовку данной документации.
В целях систематизации эксплуатационной документации на этапе планирования составляется перечень документации, который утверждается решением комитета по технологиям либо куратором по ИТ.
К разрабатываемой эксплуатационной документации могут относиться:
– спецификация программных средств и модулей СЭБ;
– спецификация аппаратных средств СЭБ;
– инструкция по эксплуатации комплекса технических средств;
– руководство по установке и настройке компонентов СЭБ;
– руководство по сопровождению программного обеспечения СЭБ;
– руководство пользователей компонентов СЭБ.
Первые два документа аналогичны «Описанию комплекса технических средств» или иному подобному документу, разрабатываемому на этапе проектирования. Данные документы также представляют собой детальное описание перечня программных и аппаратных средств, фактически используемых в составе информационного контура СЭБ, с учетом всех доработок в проектной документации и информационном контуре, внесенных на этапе разработки.
Инструкция по эксплуатации комплекса технических средств представляет собой документ, содержащий в соответствии со спецификацией программных средств и модулей и спецификацией аппаратных средств СЭБ описание основных особенностей, допустимого режима работы программных и аппаратных средств в составе информационного контура СЭБ, требования к необходимым для данного программного обеспечения техническим средствам, общие характеристики входной и выходной информации, а также требования и условия организационного, технического, технологического характера и т. п.
Руководство(а) по установке и настройке представляет собой один или несколько документов, содержащих описание процессов:
– установки серверного программного обеспечения (формирования баз данных, программного обеспечения, обслуживающего работу баз данных о клиентах и об их операциях, и т. д.);
– установки и настройки программного обеспечения в части автоматизированных рабочих мест (АРМ) специалистов кредитной организации, в том числе операционных работников, контроллера операций, администратора СЭБ, администратора информационной безопасности СЭБ; программных модулей и комплексов, обеспечивающих взаимодействие информационного контура СЭБ с другими банковскими автоматизированными системами; другого специализированного программного обеспечения;
– настройки аппаратного обеспечения информационного контура.
Все особенности настройки программного и аппаратного обеспечения СЭБ, описываемые в данном документе, должны соответствовать положениям, отраженным в инструкции по эксплуатации комплекса технических средств.
Руководство по сопровождению программного обеспечения СЭБ – документ, представляющий собой перечень и описание инструкций
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!