компьютерная преступность

 UA  |  EN


Подписка на новости  
Rambler's Top100
компьютерная преступность
киберпреступность


Сергей Белов
(ВАБанк, Киев)

Проблемы, особенности применения и соотношения защиты информации, IT аудита и права (законодательства) в банковской сфере

Квалификация и учет рисков в банковских системах

В качестве базового документа для определения и квалификации рисков в банковских системах следует использовать нормативный документ Базельского комитета по банковскому надзору (Basel Committee on Banking Supervision), а именно:

– Управление Рисками в электронных банковских операциях и операциях с электронными деньгами (Risk Management for Electronic Banking and Electronic Money Activities, March 1998)

– Риски в компьютере и системах телекоммуникаций (Risks in computer and telecommunication systems, July 1989)

В соответствии с этими документами в качестве основных рисков банковских информационных систем следует учитывать следующие:

- Риск подделки документов. Данный риск относится к наиболее существенным, и относится к операционным рискам. Такие действия может совершить как лицо, непосредственно имеющее отношение к платежным документам (электронным деньгам) - работник банка, клиент, так и постороннее лицо (хакер). Этот риск проявляется, если информационная система банка имеет «дыры» в организации доступа к платежной системе, или/и используются недостаточно надежные средства защиты при передаче и обработке информации о финансовых средствах. Этот риск часто влечет за собой также наличие(увеличение) всех нижеуказанных рисков.

- Риск отказа от документа. Данный риск соответствует случаям неправильного использования клиентом банковских услуг, либо ошибки при обработке документов (как клиентом, так и работником банка), которые могут повлечь за собой ответственность (административную, уголовную или другую), также относится к операционным рискам. К этому типу часто можно отнести случаи отказа в обслуживании как по вине банковской информационной системы (прекращение обслуживания клиентов или операционных работников в информационной системе по любым причинам в течении времени, превышающем нормативные либо общепринятые величины), так и в случаях сбоев в работе клиентского обеспечения, за работоспособность которого отвечает банк (например - Клиент-Банк по Интернет). Этот риск часто влечет за собой также наличие(увеличение) всех нижеуказанных рисков.

- Законодательный риск. Этот риск характерен для случаев недостаточного учета нормативных документов, стандартов в области банковской деятельности и/или защиты информации банка, с операционными рисками на практике связан слабо. Такой риск составляет разглашение информации о клиенте, его операциях, состоянии счетов. Недостаточно продуманные договорные отношения при взаимодействии с клиентом, могут привести к искам против банка. Слабый или неправильный учет требований по безопасности информации, перекрытию каналов отмывки денег, нарушения договорных отношений может привести к взысканиям со стороны регуляторных государственных органов. Этот риск зачастую связан с рисками отказа от документов и сделок, а также потери репутации.

- Риск потери репутации. Любой из случаев, указанных выше может привести к риску потери репутации банковского учреждения и, как следствие – потери клиентуры, доходов от их обслуживания, наращивания собственных бизнесов, утраты части или всех позиций на конкурентном рынке банковских услуг.

Оценивание рисков в денежном эквиваленте зачастую невозможно, либо не имеет реального обоснования конкретных цифр. Наиболее приемлемых способом оценки является относительная градуировка риска в терминах Большой –Средний –Малый. При этом величине риска при расчетах можно задавать цифровые значения, показывающие общие соотношения которые затем возможно методом экспертных оценок уточнять до уровня стоимостных характеристик.

Дополнение 2

К проведению аудита в банке

В соответствии с документами Базельского комитета, и на мой взгляд, обязательным условием проведения аудита, начиная с начального допуска, является наличие Методики проведения такого аудита, которая должна учитывать нормативы и стандарты в области информационной безопасности. Такая Методика должна быть утверждена как нормативный документ руководством банка(организации), и особенно это актуально (обязательно) для внутреннего аудита.

Это необходимо не только с целью оценки результатов аудита специалистами банка на документальной основе (проще – понимания этих результатов), но и для обеспечения еще одного обязательного условия – повторяемости результатов аудита, независимо от брэнда аудиторской компании. Это же обеспечит возможность составления собственной корректной политики безопасности и корректного внутреннего аудита.

Управление рисками – состоит из трех этапов: оценивание риска, осуществление мер контроля проявления рисков (рекомендации) и мониторинг рисков. О первых двух составляющих было сказано в тексте доклада, поэтому следует разъяснить понятие мониторинга рисков. Этот элемент становится необходимым в связи с применением современных информационно-телекоммуникационных технологий, когда контролировать действия банковской системы становится необходимым в режиме ON Line, особенно при организации взаимодействия с использованием открытых сетей типа Интернет. При этом должны действовать 2 элемента мониторинга:

1- система тестирования и надзора, при этом система тестирования работает с нестандартными действиями и атаками на основную банковскую систему или ее части, а система надзора обеспечивает наблюдение за корректностью работы стандартных процедур, выявляя ошибки и нарушения политики безопасности.

2- участие аудита, в части обеспечения независимости анализа, суждений о качестве банковской информационной системы и распределения полномочий и прав работы с ней внутреннего и внешнего аудита.

Аудитор обязательно должен пройти обучение и его квалификация должна быть подтверждена лицензией на право проведения аудита и аккредитацией аудиторской компании.

Важным элементом является наличие сертификатов соответствия как корпоративной банковской системы в целом, так и ее отдельных частей международным (или национальным стандартам, если таковые имеются и действуют для данной платежной системы). Особенно важно это для системы защиты банковской информационной системы, поскольку на этих средствах построена структура информационной безопасности банка (в наибольшей степени это затрагивает криптографические средства).
| Новости | События | Статьи | Законы | Услуги | Книги | Сcылки | Архив | Форум | О Центре | Контакты |
Copyright © 2001-2003
Computer Crime Research Center. All rights reserved.