Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов

применяемых для оценки характеристик СЭБ, и контрольные примеры с детальным описанием тестов, осуществляемых в ходе испытаний системы.

Методики испытаний разрабатывают на основе описания постановки комплекса задач и утвержденных программ испытаний с использованием типовых методик испытаний (при наличии). Отдельные положения типовых методик испытаний могут уточняться и конкретизироваться в разрабатываемых методиках испытаний в зависимости от особенностей СЭБ и условий проведения испытаний. Содержание разделов методик устанавливается подразделением-разработчиком совместно с подразделением – заказчиком СЭБ.

Все перечисленные выше аспекты могут являться основой для оценки качества организации этапа испытаний, сдачи и приемки в эксплуатацию СЭБ службами внутреннего аудита и внутреннего контроля. Основными и минимально необходимыми вопросами являются следующие:

– разработаны ли «Программа и методика испытаний СЭБ» или иной подобный документ?

– разработан ли «Контрольный пример испытаний СЭБ» или иной подобный документ?

– назначен ли ответственный за организацию испытаний СЭБ?

– определены ли члены экспертной комиссии по проведению испытаний СЭБ?

– входит ли в состав экспертной комиссии представитель подразделения-разработчика?

– входит ли в состав экспертной комиссии представитель подразделения, ответственного за сопровождение СЭБ?

– входит ли в состав экспертной комиссии представитель организации – поставщика системы или модулей СЭБ?

– входит ли в состав экспертной комиссии представитель организации-провайдера?

– входит ли в состав экспертной комиссии представитель подразделения информационной безопасности?

– входит ли в состав экспертной комиссии представитель подразделения-заказчика?

– отражены ли в протоколе результаты испытаний, а также выявленные ошибки и сбои?

– согласован ли протокол испытаний членами экспертной комиссии?

– оформляется ли процедура передачи в эксплуатацию СЭБ или модулей СЭБ актом приемки-передачи?

– согласуется ли акт приемки-передачи подразделением-разработчиком, подразделением-заказчиком, куратором информационных технологий либо членами комитета по технологиям?

7.2.7. Организация (адаптация) процедур внутреннего аудита и контроля на этапе эксплуатации системы электронного банкинга

Качество организации процедур внутреннего аудита и контроля в части организационных мер предоставления услуг и выполнения операций посредством СЭБ зависит от следующих моментов:

– предусматривается ли проверка СВА соответствия перечня услуг и операций, которые предлагаются клиентам, перечню, заявленному в договорах с клиентами и технической документации;

– разработаны ли и утверждены ли внутренние документы, определяющие порядок предоставления и изменения доступа клиентов к услугам и операциям по технологии ЭБ;

– разработана ли и утверждена ли методика оценки и мониторинга источников рисков, связанных с использованием СЭБ.

Важной с точки зрения минимизации операционного и репутационного рисков кредитной организации является качественная организация информационного обеспечения СЭБ.

Целесообразной является разработка кредитной организацией внутреннего документа, регламентирующего процедуры изменения и дополнения публикуемой информации. Эффективность данного документа может зависеть от того, содержит ли он:

– порядок принятия решений о внесении изменений и дополнений в публикуемую информацию;

– порядок назначения сотрудников, ответственных за внесение изменений и дополнений в публикуемую информацию;

– порядок контроля своевременности и полноты внесения изменений и дополнений в публикуемую информацию.

В части правового обеспечения при организации соответствующих процедур внутреннего контроля следует обращать внимание:

– на наличие в договорах на банковское обслуживание клиентов положений, определяющих перечень предоставляемых услуг в рамках СЭБ и обязанности клиентов по соблюдению порядка предоставления услуг;

– наличие установленного порядка внесения изменений в договоры с клиентами, который регламентирует унификацию договоров на предоставление услуг посредством СЭБ.

Для повышения качества организации деятельности служб разработки и сопровождения СЭБ необходимо обращать внимание на то, регламентированы ли следующие моменты:

– статус руководителей служб разработки и сопровождения СЭБ, их подчиненность и подотчетность куратору информационных технологий;

– профессиональный уровень (профессиональная подготовка по технологии ЭБ) руководителей служб разработки и сопровождения СЭБ;

– организационно-штатная структура и персональный состав подразделений служб разработки и сопровождения СЭБ (численность, квалификация и др.);

– профессиональный уровень сотрудников служб разработки и сопровождения СЭБ (профессиональная подготовка по технологии ЭБ);

– закрепление обязанностей за сотрудниками служб разработки и сопровождения СЭБ;

– периодичность и формы отчетов о своей деятельности, представляемых службой автоматизации.

Для повышения качества планирования применения и развития СЭБ необходимы:

– наличие тактических планов развития СЭБ, их соответствие стратегическому плану развития технологий, применяемых кредитной организацией;

– своевременность (актуальность) разработки (корректировок) тактических планов развития СЭБ в соответствии с политикой управления электронными системами кредитной организации;

– определение статуса должностных лиц (куратора информационных технологий, членов комитета по технологиям), согласовывающих и утверждающих тактические планы (корректировки) развития СЭБ;

– наличие формализованных процедур внесения изменений (корректировок) в планы развития СЭБ;

– обеспечение своевременности и периодичности проведения совещаний комитета по технологиям, на которых рассматриваются вопросы управления и развития СЭБ;

– регулярность рассмотрения комитетом по технологиям отчетов о выполнении планов развития СЭБ.

Немаловажной с точки зрения организации процедур внутреннего контроля также является должная организация учета информационных активов (программных и аппаратных средств, других информационных ресурсов – источников данных), составляющих информационный контур СЭБ. Для этого необходимы:

– наличие реестра аппаратных средств в составе информационного контура СЭБ;

– наличие формализованных процедур внесения изменений в реестр аппаратных средств;

– наличие ответственного за ведение и внесение изменений в реестр аппаратных средств;

– проведение на периодической основе и наличие актов инвентаризации аппаратных средств в составе информационного контура СЭБ;

– наличие реестра программных средств в составе информационного контура СЭБ;

– наличие формализованных процедур внесения изменений в реестр программных средств;

– наличие ответственного за ведение и внесение изменений в реестр программных средств;

– проведение на периодической основе и наличие актов инвентаризации программных средств в составе информационного контура СЭБ;

– наличие реестра информационных ресурсов в составе информационного контура СЭБ;

– наличие формализованных процедур внесения изменений в реестр информационных ресурсов;

– наличие ответственного за ведение и внесение изменений в реестр информационных ресурсов;

– проведение на периодической основе и наличие актов инвентаризации информационных ресурсов в составе информационного контура СЭБ.

В части качества процессов контроля функционирования аппаратных и программных средств СЭБ необходимы:

– наличие процедур и средств контроля нагрузки и режимов функционирования аппаратных и программных средств кредитной организации;

– документарное отражение результатов контроля в специализированных электронных журналах и (или) на бумажных носителях;

– соблюдение своевременности и периодичности составления прогнозов будущих потребностей в аппаратных и программных средствах СЭБ;

– учет прогнозов при составлении и утверждении планов развития СЭБ.

В части качества организации процедур внутреннего контроля в отношении сопровождения и реагирования на инциденты (сбои) в процессе эксплуатации СЭБ целесообразно уделять внимание:

– обеспечению своевременности и регулярности технического обслуживания компьютерного, телекоммуникационного и прочих видов оборудования информационного контура СЭБ согласно рекомендациям производителей;

– определению процедур реагирования на инциденты (сбои) в процессе эксплуатации аппаратных и программных средств СЭБ;

– закреплению обязанностей сотрудников регистрировать и сообщать обо всех случаях сбоев функционирования;

– наличию порядка (рекомендаций) действий пользователей СЭБ при возникновении инцидентов (сбоев);

– наличию в службе автоматизации лиц, ответственных за устранение последствий инцидентов (сбоев);

– наличию порядка регистрации случаев инцидентов (сбоев) в процессе эксплуатации аппаратно-программных средств, а также выбору корректирующих мер по недопущению в дальнейшем потенциальных сбоев в СЭБ;

– учету результатов анализа произошедших инцидентов (сбоев) при составлении планов развития СЭБ.

В части качества организации процедур информационной безопасности целесообразно уделять внимание:

– наличию в высшем руководстве кредитной организации собственного куратора СИБ (рекомендуется, чтобы служба автоматизации и СИБ не имели общего куратора);

– назначению лица, ответственного за защиту основных информационных ресурсов СЭБ (администратора информационной безопасности СЭБ);

– регламентации деятельности администраторов информационной безопасности СЭБ нормативно-методическими документами, разработанными в кредитной организации;

– обеспечению своевременности и периодичности проведения специалистами СИБ или администраторами информационной безопасности СЭБ проверок обеспечения