Суммарный рейтинг 3
Финансовые учреждения или провайдеры, которым присвоен рейтинг «3», требуют определенного внимания со стороны надзора из-за сочетания недостатков, которые могут варьироваться от умеренных до серьезных. Если эти недостатки сохранятся, то в дальнейшем возможно ухудшение состояния и функционирования данного учреждения или провайдера услуг. Процессы рис к-менеджмента могут недостаточно эффективно идентифицировать риски и не соответствовать размеру, сложности деятельности и профилю риска данного учреждения. Стратегические планы недостаточно четкие, и в них может неадекватно описываться направление развития ИТ. В результате руководство часто испытывает трудности с реагированием на изменения в рыночных условиях, деловых и технологических потребностях учреждения. Практика самооценки не развита и обычно представляет собой реакцию на результаты аудита и отклонения от установленных правил. Проблемы могут повторяться, свидетельствуя о нехватке у руководства возможностей или желания решать проблемы. Финансовое состояние провайдера может быть проблемным или могут наблюдаться негативные тенденции в нем. Несмотря на то что серьезные финансовые или функциональные проблемы вряд ли возникнут, требуется повышенное внимание надзора. Может оказаться необходимо содействие в обеспечении проведения корректирующих мероприятий.
Суммарный рейтинг 4
Финансовые учреждения или провайдеры, которым присвоен рейтинг «4», работают в небезопасных и ненадежных условиях, что может негативно сказаться в дальнейшем на их «жизнеспособности». Функциональные недостатки свидетельствуют о серьезных проблемах с руководством. В процессах рис к-менеджмента неадекватно учтены размер, сложность деятельности и профиль риска данного учреждения, риски плохо идентифицируются и контролируются. Стратегические планы плохо составлены и не скоординированы или не доводятся до персонала организации. В результате руководство и совет директоров не хотят или не способны обеспечивать удовлетворение технологических потребностей учреждения. Руководство не применяет самооценку и демонстрирует неспособность или нежелание исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера неудовлетворительное и (или) заметно ухудшается. Банкротство данного финансового учреждения или провайдера может быть вполне вероятно, если не принять срочных мер по устранению проблем с ИТ. Необходимо серьезное внимание со стороны надзора, и в большинстве случаев требуется применение установленных мер воздействия.
Суммарный рейтинг 5
Финансовые учреждения или провайдеры, которым присвоен рейтинг «5», характеризуются наличием критических недостатков в функционировании, которые требуют немедленного устранения. Операционные проблемы и серьезные недостатки могут иметься во всей организации и свидетельствуют о серьезных проблемах с руководством. Процессы риск-менеджмента явно плохо организованы и не позволяют руководству осознавать риск или осознавать его в незначительной степени в сопоставлении с размером, сложностью деятельности и профилем риска конкретного учреждения. Стратегические планы отсутствуют или неэффективны, а руководство и совет директоров уделяют мало внимания или вообще не обращают внимания на управление деятельностью в области ИТ. В результате руководство не имеет представления о технологических потребностях учреждения или не обращает на них внимания. Руководство не способно исправлять проблемы, выявленные аудитом, и отклонения от установленных правил. Финансовое состояние провайдера плохое, и банкротство весьма вероятно из-за финансовой нестабильности. Необходимо постоянное внимание со стороны надзора.
Компонентные рейтинги далее не рассматриваются в силу объемности материала — его можно найти в публикациях по ссылкам, приведенным в этой книге.
FFIEC отмечает, что практика управления, особенно в отношении риск-менеджмента, значительно различается в разных финансовых учреждениях и у провайдеров в зависимости от их размера, специализации, характера и сложности их деловой активности, а также свойственных им профилей риска. Отмечается также, что в условиях, не требующих применения сложных информационных систем, наличие детализированных или строго формализованных описаний систем и средств контроля, которые приводят к более высоким значениям суммарного и компонентных рейтингов, не обязательно. Описанная УРСИТ считается эффективной, подтвердившей практичность ее применения органами банковского надзора для определения и оценки условий функционирования кредитных организаций в области применения ими ИТ.
Что касается возможного использования УРСИТ, то специалистами кредитных организаций рассмотренные материалы могут быть использованы в интересах собственных методических разработок индивидуального характера, которые целесообразно акцентировать на специфике применяемых этими организациями банковских автоматизированных систем в их связи с системами электронного банкинга, или применении ИТ в целом. При этом следует дополнить такие разработки учетом особенностей проектирования, внедрения и эксплуатации систем электронного банкинга.
5.4. Адаптация обеспечения информационной безопасности
Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых видов, нетипичных для традиционной ее организации. Конечно, кредитные организации всегда подвергались и подвергаются рискам, связанным с ошибками или мошенничеством, но с внедрением компьютерных технологий уровень таких рисков и масштаб их влияния существенно изменились, поскольку возможности и последствия реализации рисков такого рода значительно расширились. Тем не менее, как это ни странно, но нередко приходится сталкиваться с такими ситуациями в кредитных организациях, которые свидетельствуют о «как бы» непонимании радикального изменения состава требований к ОИБ в связи с внедрением ТЭБ. Буквально остаются справедливыми слова, произнесенные более двух тысяч лет назад: «Нет памяти о прежнем, да и о том, что будет, не останется памяти у тех, которые будут после»[142].
Задача ОИБ при использовании систем электронного банкинга является, возможно, наиболее сложной для решения. Как подчеркивает БКБН, «чтобы парировать проблемы с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, необходимо гарантировать, что доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем». Большинство задач в рамках решения указанной проблемы, которые возникают при образовании ИКБД, являются новыми и непосредственно связанными с ним, что отмечалось в главе 1. В общем случае требуется контроль адекватности ОИБ применяемым в кредитной организации ИТ[143], для чего необходим анализ и практический учет новых реальных и потенциальных угроз, связанных с технологиями электронного банкинга, а также сценариев их возможной реализации с оценкой последствий для кредитной организации и ее клиентов. Они определяются исходя из результатов анализа источников компонентов банковских рисков, связанных с недостатками в ОИБ, вследствие чего их целесообразно точно указывать в «Положении об управлении банковскими рисками» и согласовывать содержание такого документа с «Политикой обеспечения информационной безопасности» кредитной организации.
Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их значимостью в перечисленных отношениях, включая сохранение банковской тайны и защиту персональных данных. При этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты НСД к банковской информации: от массивов данных бухгалтерского учета до сведений о фактах осуществления тех или иных банковских операций и сделок. Поэтому, как часто пишут, «специальное внимание» целесообразно уделять, как минимум, тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место (как, впрочем, и другие атакующие воздействия). Регулярность детального анализа определяется, во-первых, теми интервалами времени, которые связаны с модернизациями банковских автоматизированных систем или нововведениями в банковских информационных технологиях — их темпом, а во-вторых, появлением информации о компрометации средств защиты компьютерных систем.
