Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Кибербезопасность в условиях электронного банкинга. Практическое пособие читать книгу онлайн
В книге рассматриваются вопросы, связанные как с обеспечением кибербезопасности в условиях применения систем электронного банкинга, так и с анализом источников рисков, возникающих при использовании технологии дистанционного банковского обслуживания.
Описаны основные принципы управления рисками электронного банкинга. Рассмотрены риски, возникающие в кредитных организациях при внедрении систем интернет-банкинга, и риски легализации преступных доходов при использовании электронных денег (включая описание вариантов использования интернет-трейдинга как инструмента отмывания денежных средств на фондовых биржах). Даны рекомендации по организации внутреннего контроля в банках и обеспечению кибербезопасности в условиях применения систем электронного банкинга.
Представлены практические рекомендации по обеспечению защиты информации при использовании систем электронного банкинга, проанализировано влияние «теневого интернета» на безопасность электронного банкинга и дана характеристика хищений денежных средств с использованием вредоносных компьютерных программ неправомерного доступа к информации.
Издание предназначено для банковских специалистов, практикующих консультантов и аудиторов, преподавателей, аспирантов и студентов, обучающихся финансовым и техническим специальностям, а также может быть полезно всем, кто интересуется тематикой обеспечения кибербезопасности в условиях применения систем электронного банкинга.
В формате PDF A4 сохранен издательский макет.
Также в части каждой выходной формы приводятся перечень программных модулей, в которых она используется, и перечень функций и процедур, вызывающих данную форму. Указываются назначение каждого элемента выходной формы, действия по управлению ими и результаты такого управления.
4. Описание технологии взаимодействия с банковской автоматизированной системой или иной подобный документ. Как правило, разработка данного документа обусловлена сложной архитектурой внутрибанковских автоматизированных систем и необходимостью описать правила и технологические решения по их взаимодействию.
Интегрирование СЭБ в работу внутрибанковских автоматизированных систем требует раскрытия следующих основных моментов:
– перечень информационных ресурсов и данных, подлежащих передаче в другие внутрибанковские автоматизированные системы;
– перечень информационных ресурсов других внутрибанковских автоматизированных систем, подлежащих использованию в СЭБ;
– перечень аппаратных ресурсов информационного контура СЭБ, используемых в целях взаимодействия с другими внутрибанковскими автоматизированными системами;
– выбор (разработка) формата файлов для обмена данными СЭБ с другими внутрибанковскими автоматизированными системами;
– процедуры защиты информации и обеспечения целостности данных на участках обмена с другими внутрибанковскими автоматизированными системами (могут быть также приведены в описании системы защиты).
5. Описание комплекса технических средств или иной подобный документ. Представляет собой детальный перечень аппаратных средств, входящих в состав информационного контура СЭБ.
Помимо состава оборудования описываются:
– необходимые настройки аппаратных средств;
– условия эксплуатации каждого средства;
– варианты проверки работоспособности средства.
Документ может также содержать информацию об оборудовании других марок или модификаций, которое может быть использовано для замены применяемого аппаратного обеспечения.
6. Схема функциональной структуры информационного контура СЭБ – обобщающий проектный документ. Подобные схемы зачастую документируются при разработке автоматизированных комплексов и систем.
Документ представляет собой графическое отображение и соответствующее описание совокупности аппаратных и программных средств и каналов связи, при помощи которых программные и аппаратные средства взаимодействуют между собой.
Такой документ должен содержать информацию:
– о технологическом решении вычислительной сети, на которой основывается СЭБ.
В случае наличия альтернативных вариантов взаимодействия элементов информационного контура такие варианты должны быть отражены и описаны;
– об аппаратных и программных средствах на стороне кредитной организации;
– об аппаратных и программных средствах на стороне клиента кредитной организации;
– об аппаратных и программных средствах на стороне провайдера кредитной организации. При этом следует представить описание в разрезе всех провайдеров услуг для кредитной организации и контрагентов, выполняющих заказную обработку данных (процессинг, клиринг и т. д.);
– о маршрутах прохождения информации при взаимодействии клиента и кредитной организации, об этапах ее преобразования, обработки и контроля.
Хорошей практикой является наличие общего описания внешнего информационного контура кредитной организации, в котором выделены участки взаимодействия непосредственно с информационным контуром СЭБ.
Схема информационного контура приводится с кратким функциональным описанием ее элементов.
Качество документа должно позволить:
– выделить основные технологические и функциональные участки передачи, приема, контроля, обработки и хранения информации;
– установить их физическое размещение;
– оценить концентрацию источников рисков на различных участках информационного контура.
Сведения, отображаемые в схеме функциональной структуры информационного контура СЭБ, требуются для ее тестирования и качественной организации обслуживания.
Помимо отмеченных документов в кредитной организации могут быть разработаны и другие проектные документы в соответствии с утвержденным перечнем проектной документации на СЭБ.
Все проектные документы должны разрабатываться в соответствии с принятой в кредитной организации практикой ведения документооборота – ответственными по соответствующим направлениям деятельности с учетом их координации между собой – и утверждаться куратором по информационным технологиям.
Все перечисленные выше аспекты являются основой для оценки качества организации внутреннего аудита и внутреннего контроля на этапе проектирования СЭБ. При этом основными и минимально необходимыми являются следующие вопросы:
1. Разработан ли перечень требуемой проектной документации?
2. Разработаны ли перечисленные или подобные им документы:
– описание постановки комплекса задач?
– описание системы защиты?
– альбом выходных форм?
– описание технологии взаимодействия с банковской автоматизированной системой?
– описание комплекса технических средств?
– схема функциональной структуры информационного контура СЭБ?
3. Разработаны ли иные документы, предусмотренные перечнем проектной документации?
7.2.5. Организация (адаптация) процедур внутреннего аудита и контроля на этапе разработки системы электронного банкинга
На данном этапе производится непосредственно разработка СЭБ. Подразумеваются:
– разработка либо приобретение программного обеспечения в соответствии с перечнем программного обеспечения, утвержденным на этапе проектирования, и в соответствии с другими проектными документами, такими как описание постановки комплекса задач, альбом выходных форм, описание системы защиты, описание технологии взаимодействия с банковской автоматизированной системой. Разрабатываются или приобретаются: клиентская часть для «толстого клиента», автоматизированные рабочие места операторов в кредитной организации, администраторов системы, администраторов информационной безопасности системы, программное обеспечение серверной части системы, необходимое для сопряжения с другими внутрибанковскими автоматизированными системами, и т. д.;
– разработка (монтаж) сегментов электронной вычислительной сети, являющихся частью информационного контура СЭБ, в соответствии с подготовленной на этапе проектирования проектной документацией (в т. ч. схемой функциональной структуры информационного контура): прокладка необходимых участков кабеля, установка и настройка сетевого оборудования, сетевого программного обеспечения и т. д.;
– разработка необходимой эксплуатационной документации;
– разработка необходимой внутренней документации, регламентирующей обеспечение информационной безопасности и непрерывности функционирования СЭБ;
– заключение договоров (контрактов) с контрагентами – поставщиками программного обеспечения и оборудования для информационного контура СЭБ;
– заключение договоров (контрактов) с провайдерами на предоставление услуг связи;
– разработка типовых договоров с клиентами на обслуживание посредством СЭБ.
Договоры с контрагентамиВажным на данном этапе является обеспечение должного качества договоров с контрагентами. Этому вопросу помимо юридической службы должны также уделять внимание и специалисты СВК кредитной организации.
К числу аспектов, которым следует уделять внимание, относится наличие в договоре (контракте) с поставщиком описания программного и аппаратного обеспечения СЭБ, положения о сопровождении поставляемого программного обеспечения или иных технических средств на протяжении всего срока их службы либо приобретении полного комплекта технической документации, обеспечивающего возможность сопровождения программного обеспечения или иных технических средств и их компонентов без участия разработчика.
В части договорных отношений с организациями – провайдерами услуг связи важным является наличие в договоре положения, предусматривающего ответственность провайдера за качественное и бесперебойное предоставление услуг, ответственность в случае возникновения сбоев не по вине кредитной организации и ответственность провайдера за сохранность и целостность информации в случае, если часть ресурсов информационного контура обслуживается специалистами провайдера или арендуется кредитной организацией у провайдера, и т. д.
Помимо включения в договоры с провайдерами положений об обеспечении информационной безопасности и конфиденциальности клиентской и банковской информации, в кредитной организации могут быть разработаны соответствующие внутренние документы, такие как:
– порядок (порядки) соблюдения конфиденциальности клиентской информации;
– порядок (порядки) соблюдения конфиденциальности банковской информации;
– должностные инструкции сотрудников, ответственных за соблюдение информационной безопасности и конфиденциальности информации клиентов и банковской информации об операциях и сделках;
– различные документы, регламентирующие порядок взаимодействия кредитной организации и провайдеров по вопросам обеспечения информационной безопасности и конфиденциальности информации.
Следует отметить, что содержание документов, регламентирующих порядок взаимодействия кредитной организации и провайдеров по вопросам обеспечения информационной безопасности и конфиденциальности информации, должно быть направлено на обеспечение приемлемого уровня «прозрачности» провайдера с учетом специфики его организационной структуры.
Такая «прозрачность» в отношении вопросов информационной безопасности может быть обеспечена возможностью осуществления проверок или
