Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
104
Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.
105
Risk Management Principles for Electronic Banking.
106
В соответствии с Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», хотя тематика ФМ в кредитных организациях должна трактоваться существенно шире (см. параграф 5.6).
107
Risk Management Principles for Electronic Banking.
108
Как будет показано ниже, понятие «безопасность» трактуется БКБН в широком смысле, включая, например, осуществление ФМ, на чем акцент в данном материале не сделан.
109
В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать также подготовку необходимых отчетов для соответствующих надзорных органов.
110
Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.
111
Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.
112
Включая сотрудников, работников по контракту и тех, кто обладает правами доступа на основе контрагентских отношений.
113
Включая меры по мониторингу сетевой активности, фиксации попыток проникновения и сведения о серьезных недостатках в обеспечении безопасности.
114
Мистификация (spoofing) — это имитация легитимного клиента за счет использования его/ее номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты.
115
«Вынюхиватель» (sniffer) — это устройство, которое способно просматривать поток данных, передаваемых по каналу связи, перехватывать пароли и данные при их передаче, из-за чего в итоге похищается конфиденциальная информация и совершаются мошенничества (с точки зрения ОИБ — происходит ее утечка).
116
В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации.
117
Кредитная организация может выдавать цифровые сертификаты, чтобы обеспечить безопасность связи, см. ниже комментарий к Принципу 5.
118
Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических (поведенческих) характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.
-’ Источниками аутентификационных данных могут быть электронные средства.
119
Источниками аутентификационных данных могут быть электронные средства.
120
В качестве примера можно привести две ситуации, в которых клиент рискует возникновением взаимного «непонимания» с кредитной организацией: неправильный ввод суммы в платежном поручении (500 ООО вместо 50 ООО, — «залипла» клавиша, был выпивши…) или проведение сеанса из интернет-кафе (кредитным организациям целесообразно официально — в договорах — предупреждать клиентов ДБО о нежелательности таких сеансов).
121
Либо должны присутствовать альтернативные компенсирующие средства контроля.
122
Кредитным организациям следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно их восстановление после нарушения целостности.
123
Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.
124
Письмо Банка России от 23 октября 2009 г. № 128-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет».
125
Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.
126
Risk Management Principles for Electronic Banking.
127
Их можно было бы назвать руководствами, поскольку в их преамбулах используется понятие «guidance», но они имеют рекомендательный характер.
128
Risk Assessment System (RAS).
129
Перевод наименований уровней унифицирован в соответствии с таблицей агрегированного риска на рис. 5.
130
Дополнительную информацию по этой тематике и ссылки можно найти в статье: Лямин Л.В. Принципы риск-ориентированного банковского контроля // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49.
131
В оригинале «Quantity of transaction risk indicators».
132
Community Bank Supervision. Comptroller’s Handbook. EP-CBS.
133
Подробную информацию о таких выводах можно найти также в работе Large Bank Supervision. Comptroller’s Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001. Общее представление о том, какого рода выводы предусмотрены в рейтинговых системах, используемых в банковском сообществе США, можно получить из краткого описания URSIT, приведенного ниже, в параграфе 5.3.
134
Сетевой протокол — это набор правил формирования пакетов данных и управления их передачей.
135
Цит. по: Запретная история / под ред. Д. Кэннона. М.: ACT, 2009.
136
Ctvme. J. Inside Internet Security. Addison Wesley, Pearson Education Ltd., 2000.
137
В зарубежных материалах органов банковского регулирования и надзора различие между ними проводится на основе того, что продает компания: товары или услуги.
138
Intrusion Prevention System (IPS) и Intrusion Detection System (IDS).
139
Federal Financial Institutions Examination Council (FFIEC).
140
УРСИТ используется также Управлением по надзору за сберегательными учреждениями (OTS).
141
В оригинале использован термин «качественное суммирование» — qualitative summarization.
142
Библия. Экклезиаст (1:11).
143
Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120.
144
Patch Management Policy.
145
Ctvme J. Inside Internet Security; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets. McGraw Hill Companies, USA, 2007.
146
Open System Interconnection (OSI).
147
Wack Cutler K., Pole J. Guidelines on Firewalls and Firewall Policy. National Institute of Standards and Technology. Special Publication 800-41, Gaithersburg, MD, USA, January 2002.
148
Transmission Control Protocol / Internet Protocol (протокол управления передачей / межсетевой протокол).
149
Детали модели OSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.
150
Media Access Control (MAC) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.