Применение технологий электронного банкинга: риск-ориентированный подход [заметки]
1
Coderre D. Internal Audit. Efficiency through automation. John Wiley&Sons Inc., Hoboken, NJ, USA, 2009.
2
Сводная информация приведена в пресс-релизе Банка России, размещенном на его официальном web-сайте по адресу http://www.cbr.ru/press/Arcliive_get_blob.asp7doc_ id=090313_1311401.htm.
3
PDA = Personal Digital Assistant — тип сверхлегкого миниатюрного персонального компьютера.
4
WAP = Wireless Application Protocol — протокол беспроводного взаимодействия, служит для обеспечения беспроводного доступа к сервисам Интернет с помощью мобильного телефона. SMS = Short Message Setyice — служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения. GSM = Global System for Mobile communications — глобальная система мобильной связи. GPRS = General Packet data Radio Setyice — общая служба радиопередачи пакетированных данных, предназначенная для осуществления экономичного обмена данными с помощью мобильного телефона, включая обеспечение WAP-доступа к Интернету. Wi-Fi = Wireless Fidelity — обозначение некоторых типов беспроводных локальных вычислительных сетей (Wireless Local Ai'ea Network — WLAN), в которых используются спецификации протокола семейства 802.11. POS = Point-Of-Sale — пункт продаж, место продавца (кассира). POS-терминал — устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских пластиковых карт.
5
Любые технологии электронного банкинга реализуются распределенными автоматизированными компьютерными системами, относящимися к системам «Банк — Клиент»; тем не менее для удобства классификации в главе 1 будет рассмотрена соответствующая обобщенная схема деления этих технологий, используемая в интересах банковского надзора, в частности. Банком Германии («Дойчебундесбанком»).
6
Использована формулировка из Указания оперативного характера Банка России от 23 апреля 2004 г. № 70-Т «О типичных банковских рисках».
7
Общепринятый термин в материалах зарубежных органов банковского регулирования и надзора.
8
Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальное™ и т. п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.
9
По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.
10
Coderre D. Internal Audit. Efficiency through automation. John Wiley & Sons Inc., Hoboken, NJ, USA, 2009.
11
См., например. Risk Management Principles for Electronic Banking. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, July 2003; Internet-Banking. Comptroller’s Handbook. I–IB. Office of the Comptroller of the Currency, Washington, DC, USA, October 1999; E-Banking. Federal Financial Institutions Examination Council, Washington, DC, USA, August 2003.
12
Пруденциальный (англ. prudential от лат. prudens) — разумный, осторожный, отказывающийся от риска.
13
Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.
14
Письма Банка России от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»; от 30 января 2009 г. № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» и др.
15
Статья 160 ГК РФ.
16
См., например, такие документы, как Положение Банка России от 19 августа
2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; письма Банка России от 13 июля
2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; от 30 августа
2006 г. № 115-Т «Об исполнении Федерального закона „О противодействии легализации (отмыванию) доходов, полученных преступным путем…“ в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 5 апреля 2007 г. № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)».
17
Понятие «ордер клиента» введено и определено в Письме Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».
18
В этой книге понятие аутсорсинга интерпретируется в наиболее широком смысле, а не в традиционном понимании, как передача кредитной организацией сторонней организации выполнения каких-либо функций, которые она могла бы выполнять сама, но ей самой невыгодно это делать по соображениям, например, финансового плана. Тем самым, по мнению автора, обеспечивается наиболее полный охват вариантов зависимости банковской деятельности от сторонних организаций, которые подлежат учету в управлении рисками банковской деятельности.
19
WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance. Federal Deposit Insurance Corporation, National Credit Union Administration, Office of Thrift Supervision, Office of the Comptroller of the Currency, Washington, DC, April 23, 2003.
20
Internet-Banking. Comptroller’s Handbook. I–IB.
21
Coderre D. Internal Audit. Efficiency through automation.
22
Guiding Principles in Risk Management for U.S. Commercial Banks. The Financial Services Roundtable, A Report of the Subcommittee and Working Group on Risk Management Principles; Washington, DC, USA, June 1999.
23
Автор располагает материалами таких учреждений только из США, Канады, Западной Европы и Великобритании, а также Сингапура и Южной Кореи, однако это не умаляет общности рассмотрения.
24
Например, Risk Management Principles for Electronic Banking.
25
Цитируются материалы семинара, проводившегося для специалистов Банка России в 2004 г.
26
Office of the Comptroller of the Currency — OCC, в составе которого служба банковского инспектирования была создана еще в 1863 г., а в 1874 г. — банковский надзор, этой истории посвящена книга Robertson R.M. The Comptroller and Bank Supervision. OCC, Washington, DC, USA, 1995.
27
В терминологии документов ОСС.
28
Large Bank Supervision. Comptroller’s Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001.
29
Guiding Principles in Risk Management for U.S. Commercial Banks. June 1999.
30
По аналогии с принципами «Знай своего клиента» и «Знай своего работника», которые часто фигурируют в литературе в связи с исследованиями банковских рисков.
31
Это тем более справедливо в ситуациях территориального разнесения официально зарегистрированной кредитной организации или ее филиала и процессингового центра, а также в условиях так называемого «оффшоринга» — трансграничного аутсорсинга процессинга.
-’ Эти понятия подробно поясняются ниже.
32
Эти понятия подробно поясняются ниже.
33
Large Bank Supervision.
34
Имея в виду интерпретацию банковского сектора страны как некой системы, состоящей из взаимодействующих кредитных организаций, их клиентов и контрагентов, функции которых известны и унифицированы за счет регламентации, которая, впрочем, охватывает лишь часть банковской деятельности.
35
Risk Management Principles for Electronic Banking.
36
В качестве примера можно привести принятый еще в 1962 г. Федеральный закон США «О компаниях, обслуживающих банки», в котором речь идет о контроле над провайдерами кредитных организаций.
37
Risk Management Principles for Electronic Banking.
38
Virtual Private Network — VPN.
39
Как ни странно, в обширной литературе, посвященной банковским рискам, автору не удалось найти упоминания весьма важного акцента, значительно отличающего практическую интерпретацию понятия ликвидности в новых, высокотехнологичных условиях банковской деятельности от традиционно принятой.
40
Internet-Banking. Comptroller’s Handbook.
41
Здесь и далее в квадратных скобках приводятся слова, поясняющие контекст, поскольку полные переводные выдержки из текста документа, которые содержат необходимые в каждом случае пояснения, заняли бы слишком много места.
42
В зарубежной терминологии — Electronic Funds Transfer.
43
Как это определено в Письме Банка России от 30 июня 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах».
44
Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, BIS, Basel, July 2003.
45
Risk Management Principles for Electronic Banking.
46
Наиболее «популярный» в последние годы вид сетевых атак — Distributed Denial of Service (DDoS), представляющий расширенный вариант DoS-атаки за счет задействования компьютеров, находящихся в сетевых структурах сторонних организаций за счет «заражения» их специальными вирусами-червями (см. ниже).
47
Decision Support System/Management Information System.
48
Интерпретируемой как свойство сохранять значения установленных параметров функционирования в определенных пределах, соответствующих заданным режимам и условиям в течение установленного времени.
49
Это касается и практики так называемых «заплаток» (patches) для программного обеспечения.
50
Это понятие определено Банком России в упоминавшемся ранее Письме № 36-Т.
51
Приведенное разделение несколько условно, оно основано на различиях в моделях соответствующих угроз для БАС кредитной организации.
52
Crume J. Inside Internet Security. Addison-Wesley, Pearson Education Ltd., 2000.
53
От термина Packet Internet Groper.
54
Комбинация из английских слов robot и net.
55
Под этим понимается осуществление двойного параллельного независимого контроля (в том числе при принятии «ответственных» решений, т. е. значимых для финансового состояния кредитной организации).
56
Лямин JI.B. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в кредитной организации. 2008. № 2. С. 20–31.
57
Guiding Principles in Risk Management for U.S. Commercial Banks.
58
Large Bank Supervision; Community Bank Supervision. Comptroller’s Handbook. EP-CBS. Office of the Comptroller of the Currency, Washington, DC, USA, July 2003.
59
Лямин JI.B. Принципы риск-ориентированного банковского контроля в области интернет-банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49. Описанный подход справедлив для технологий электронного банкинга в целом.
60
Например, в случае открытия банковского счета, оформления кредита, кассового обслуживания и др.
61
Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С, 37–54.
62
Это видно в первую очередь по данным, приводимым в формах банковской отчетности 0409070 «Сведения об использовании кредитной организацией интернет-технологий» и 0409251 «Сведения о счетах клиентов и платежах, проведенных через кредитную организацию (ее филиал)».
63
По аналогии с упоминавшейся выше трактовкой понятия «надежность» устойчивость в традиционном понимании интерпретируется как способность восстанавливать свое состояние (режим) после какого-либо возмущения, проявляющегося в отклонениях значений параметров режима от исходных (начальных) значений (или от штатного функционирования).
64
Это определение приведено в стандарте ISO 9001:2000.
65
Control Objectives for Information and related Technology (руководство, разработанное Институтом управления информационными технологиями — ITGI (США), отражающее, как заявлено в материале, «хорошую практику управления информационными технологиями»).
66
Или, иначе, «совершенства» процессов — более подходящий перевод английского слова maturity, которое в русскоязычной литературе чаще переводится как «зрелость» в отношении процессов, что соответствует первому буквальному значению этого слова, но не слишком удачно как их характеристика.
67
См.: Лямин Л.В. Универсальная Рейтинговая Система для Информационных Технологий, применяемая органами банковского надзора США // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 5. С. 113–120; № 6. С. 114–124.
68
По аналогии с рейтинговыми оценками в Large Bank Supervision и Community Bank Supervision.
69
См.: Лямин Л.В. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора // Управление в коммерческом банке. 2006. № 6. С, 83–94; 2007; № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70.
70
В зарубежной терминологии — non-repudiation, т. е. исключение ситуации, когда клиент предъявляет кредитной организации претензию относительно того, что не давал ордера, допустим, на перевод средств со счета, а эта организация предъявляет ему как бы его ордер и наоборот, когда клиент утверждает, что организация не выполнила его ордер, а та уверяет его в том, что такого ордера не поступало и т. п.
71
Тому есть немало подтверждений, связанных в основном с содержанием договоров на ДБО и тех или иных приложений к ним в сопоставлении с текстами контрактов, в которых положения о требуемом уровне обслуживания с содержанием этих договоров никак не коррелируют.
72
См., например: Management and Supervision of Cross-Border Electronic Banking Activities.
73
В 2009 году и первой половине 2010 г. возможные изменения этого закона интенсивно обсуждались в Государственной Думе, и судьба этих изменений пока полностью не ясна.
74
Setyice Level Agreement (SLA).
75
Risk Management Principles for Electronic Banking.
76
Имеется в виду оптимальный вариант обеспечения совокупной необходимой квалификации при анализе предметной области и принятии решений относительно внедрения варианта ДБО.
77
По данным отчетности кредитных организаций, представляемой в Банк России в соответствии с формой 0409070, российскими кредитными организациями используется порядка 100 разновидностей систем только интернет-банкинга, половина из которых разработана различными компаниями и еще примерно столько же оригинальных разработок выполнены самими кредитными организациями.
78
Речь идет, разумеется, не о названии внутрибанковских документов, а об их содержа-
79
В этом случае понятие аутсорсинга используется в «максимально широкой» его трактовке, с учетом «множественности» вариантов образования внешней зависимости банковской деятельности кредитной организации в ИКБД.
80
Имеются в виду варианты предварительного «внутреннего» тестирования автоматизированной системы подразделением ИТ, апробации ее небольшим количеством операторов на тестовых и отдельных практических примерах и передачи ее в опытную эксплуатацию, после чего принимается решение о проведении ПСИ для передачи системы в постоянную эксплуатацию.
81
В устоявшейся терминологии зарубежных органов банковского регулирования и надзора под провайдерами обычно понимаются продавцы услуг (доступа в Интернет, каналов связи и пр.), а под вендорами — продавцы товаров (программного обеспечения, автоматизированных систем и т. п.). На самом деле такое разделение не существенно и используется только для удобства квалификации возникающих зависимостей кредитной организации от сторонних организаций и, соответственно, структурных компонентов типичных банковских рисков.
82
Data Flow Diagram (D FD).
83
Universal Rating System for Information Technologies. Federal Register. V. 64, № 12, 1999. Эта система разработана Федеральным советом по проверкам финансовых учреждений (Federal Financial Institutions Examination Council — FFIEC), который является своего рода общим методическим органом для учреждений США, выполняющих регулятивнонадзорные функции в банковском секторе. В описании этой системы указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». Разработками этой организации пользуются и коммерческие банки и другие финансовые учреждения в США.
84
Robertson R.M. The Comptroller and Bank Supervision.
85
Эта проблематика анализировалась в статье: Лямин Л.В. Концептуальные вопросы управления аутсорсингом в условиях применения технологий электронного банкинга // Управление в коммерческом банке. 2007. № 5. С. 109–118; 2008. № 1. С. 80–102.
86
Например, распределение функций администрирования автоматизированных систем и вычислительных сетей и контроля реализации этого распределения (обязанностей, ответственности, прав и полномочий, порядков и должностных инструкций), проведения проверок службой внутреннего контроля и службой обеспечения информационной безопасности и т. п.
87
В качестве одного из наиболее очевидных примеров можно привести определение требований к настройке брандмауэров (сетевых экранов) кредитной организации, которые являются основными средствами защиты ее вычислительных сетей. В этом случае необходима разработка корпоративной политики такой защиты (в том числе допустимых для использования сетевых протоколов, ограничений на доступное внешнее и внутреннее адресное пространство и т. п.), доведение ее до технических исполнителей и проверка соответствия выполненных настроек установленным требованиям специалистами подразделения ИТ, обеспечение информационной безопасности и внутреннего контроля, которые при их проведении должны руководствоваться соответствующими положениями о подразделениях и должностными инструкциями.
88
Еще одним простым примером может являться формирование механизма доведения до менеджеров разных уровней информации о сетевых и вирусных атаках, случаях НСД, отказах серверного оборудования разного назначения и т. п. Известно, что если проблема не «докладывается», то она повторяется, причем в кредитных организациях это может продолжаться до тех пор, пока сокрытие негативной информации не приведет к весьма серьезным финансовым потерям их самих или их клиентов (чему немало примеров из российской и зарубежной банковской деятельности). Чтобы создать такие «механизмы» и контролировать их функционирование (допустим, через анализ содержания тех же системных логов и аудиторских трейлов), также необходима специальная квалификация.
89
Совершенствование корпоративного управления в кредитных организациях // Вестник Банка России. 2001. № 46. 25 июля.
91
Лямин Л.В. Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. № 3. С. 78–89; № 4. С, 70–83; № 5. С. 68–83.
92
Enhancing corporate governance for banking organisations. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, February 2006.
93
Здесь под распространением риска имеется в виду то, что реализация какого-то фактора или проявление источника риска может оказать влияние на выполнение различных процедур, входящих в состав внутрибанковских процессов. Особенно это касается ситуаций, в которых возможно нарушение целостности банковских или клиентских данных.
94
Risk Management Principles for Electronic Banking.
95
В число которых, как поясняется в документе, «входят надзор, правительство и вкладчики ввиду уникальной роли банков в национальной и локальной экономиках и финансовых системах, а также ассоциируемыми с ними явными и неявными гарантиями депозитов».
96
Federal Deposit Insurance Corporation (FDIC).
97
Учитывать следует как внешние, так и внутренние угрозы, которые могут инициироваться в различных информационных сечениях как между системой ДБО и БАС, так и самой БАС.
98
Письмо Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которое требует, вообще говоря, практической интерпретации в каждом индивидуальном случае применения электронного банкинга.
99
Как поясняется, предупредительному, ориентированному на создание необходимых условий для эффективного внедрения и поддержания, и это справедливо, однако отсутствие указаний на связь с жизненными циклами банковских информационных технологий и внутрибанковских процессов, что, казалось бы, в современном банковском деле «лежит на поверхности», исключает и необходимый акцент на них.
100
В оригинале — Sound corporate governance principles.
101
Факторы и источники компонентов банковских рисков, условия проявления и степень их влияния и т. п.
102
От англоязычного понятия ATM — Automatic Teller Machine.
103
По результатам разных исследований, проводившихся, например, в США совместно Федеральным бюро расследований и научно-техническими организациями, инсайдеры инициируют от 60 до 80 % противоправных действий — в зависимости от вида опрошенных учреждений и компаний.
104
Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52.
105
Risk Management Principles for Electronic Banking.
106
В соответствии с Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», хотя тематика ФМ в кредитных организациях должна трактоваться существенно шире (см. параграф 5.6).
107
Risk Management Principles for Electronic Banking.
108
Как будет показано ниже, понятие «безопасность» трактуется БКБН в широком смысле, включая, например, осуществление ФМ, на чем акцент в данном материале не сделан.
109
В дополнение к требованиям, касающимся внутренней отчетности, расширенные процедуры предоставления отчетности о происшествиях должны включать также подготовку необходимых отчетов для соответствующих надзорных органов.
110
Такая ответственность обычно не должна являться объектом внимания аудита, который отвечает за проверку того, что функция контроля безопасности реализована эффективно.
111
Включая права контролируемого доступа и полномочия, равно как и текущий мониторинг попыток сетевого проникновения.
112
Включая сотрудников, работников по контракту и тех, кто обладает правами доступа на основе контрагентских отношений.
113
Включая меры по мониторингу сетевой активности, фиксации попыток проникновения и сведения о серьезных недостатках в обеспечении безопасности.
114
Мистификация (spoofing) — это имитация легитимного клиента за счет использования его/ее номера счета, пароля, персонального идентификационного номера (ПИН) и (или) адреса электронной почты.
115
«Вынюхиватель» (sniffer) — это устройство, которое способно просматривать поток данных, передаваемых по каналу связи, перехватывать пароли и данные при их передаче, из-за чего в итоге похищается конфиденциальная информация и совершаются мошенничества (с точки зрения ОИБ — происходит ее утечка).
116
В системах должно быть предусмотрено определение того, что они работают с аутентифицированным лицом, агентом или системой и с действительной базой данных аутентификации.
117
Кредитная организация может выдавать цифровые сертификаты, чтобы обеспечить безопасность связи, см. ниже комментарий к Принципу 5.
118
Технология биометрики представляет собой автоматизированную проверку физиологических или бихевиорических (поведенческих) характеристик, используемых для идентификации и (или) аутентификации личности. Общепринятые формы биометрических технологий включают портретное сканирование, распознавание отпечатков пальцев, сканирование радужной оболочки глаз, сканирование сетчатки глаза, сканирование рук, сканирование подписи, опознавание голоса и динамики нажатия клавиш. Системы биометрической идентификации обеспечивают очень точную аутентификацию, но вместе с тем могут значительно усложнить этот процесс по сравнению с другими методами идентификации/аутентификации.
-’ Источниками аутентификационных данных могут быть электронные средства.
119
Источниками аутентификационных данных могут быть электронные средства.
120
В качестве примера можно привести две ситуации, в которых клиент рискует возникновением взаимного «непонимания» с кредитной организацией: неправильный ввод суммы в платежном поручении (500 ООО вместо 50 ООО, — «залипла» клавиша, был выпивши…) или проведение сеанса из интернет-кафе (кредитным организациям целесообразно официально — в договорах — предупреждать клиентов ДБО о нежелательности таких сеансов).
121
Либо должны присутствовать альтернативные компенсирующие средства контроля.
122
Кредитным организациям следует удостовериться, что системы хранения записей разработаны и инсталлированы таким образом, что возможно их восстановление после нарушения целостности.
123
Например, банк может при желании указать те страны, в которых он намеревается предоставлять обслуживание в рамках электронного банкинга, или, напротив, те страны, в которых он не собирается предлагать такие виды обслуживания.
124
Письмо Банка России от 23 октября 2009 г. № 128-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет».
125
Текущую и перспективную производительность критических систем доведения услуг в рамках электронного банкинга следует оценивать на постоянной основе.
126
Risk Management Principles for Electronic Banking.
127
Их можно было бы назвать руководствами, поскольку в их преамбулах используется понятие «guidance», но они имеют рекомендательный характер.
128
Risk Assessment System (RAS).
129
Перевод наименований уровней унифицирован в соответствии с таблицей агрегированного риска на рис. 5.
130
Дополнительную информацию по этой тематике и ссылки можно найти в статье: Лямин Л.В. Принципы риск-ориентированного банковского контроля // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 5. С. 36–38; № 6. С. 35–49.
131
В оригинале «Quantity of transaction risk indicators».
132
Community Bank Supervision. Comptroller’s Handbook. EP-CBS.
133
Подробную информацию о таких выводах можно найти также в работе Large Bank Supervision. Comptroller’s Handbook. ЕР-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001. Общее представление о том, какого рода выводы предусмотрены в рейтинговых системах, используемых в банковском сообществе США, можно получить из краткого описания URSIT, приведенного ниже, в параграфе 5.3.
134
Сетевой протокол — это набор правил формирования пакетов данных и управления их передачей.
135
Цит. по: Запретная история / под ред. Д. Кэннона. М.: ACT, 2009.
136
Ctvme. J. Inside Internet Security. Addison Wesley, Pearson Education Ltd., 2000.
137
В зарубежных материалах органов банковского регулирования и надзора различие между ними проводится на основе того, что продает компания: товары или услуги.
138
Intrusion Prevention System (IPS) и Intrusion Detection System (IDS).
139
Federal Financial Institutions Examination Council (FFIEC).
140
УРСИТ используется также Управлением по надзору за сберегательными учреждениями (OTS).
141
В оригинале использован термин «качественное суммирование» — qualitative summarization.
142
Библия. Экклезиаст (1:11).
143
Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях//Управление в коммерческом банке. 2006. № 1. С. 107–116; № 2. С, 118–126; № 3. С. 113–126; № 4. С, 111–126; № 5. С. 111–120.
144
Patch Management Policy.
145
Ctvme J. Inside Internet Security; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets. McGraw Hill Companies, USA, 2007.
146
Open System Interconnection (OSI).
147
Wack Cutler K., Pole J. Guidelines on Firewalls and Firewall Policy. National Institute of Standards and Technology. Special Publication 800-41, Gaithersburg, MD, USA, January 2002.
148
Transmission Control Protocol / Internet Protocol (протокол управления передачей / межсетевой протокол).
149
Детали модели OSI здесь не рассматриваются: их описание можно найти во многих книгах и в так называемой «википедии» в Сети.
150
Media Access Control (MAC) — управление доступом к среде (взаимодействия), такиеданные идентифицируют конкретные компоненты компьютерного оборудования.
151
В зарубежной терминологии — penetration testing.
152
Терминология, используемая в зарубежных материалах по обеспечению информационной безопасности по аналогии со «следами», «отпечатками пальцев» и т. п.
153
В США существует специфическая форма банковской отчетности, называемая «Отчет
о подозрительной деятельности» (Suspicious Activity Report — SAR), которая может быть использована как аналог.
154
12 CFR (Code of Federal Regulations), Pt. 30 — SAFETY & SOUNDNESS STANDARDS (пункты E и F). Под «Программой обеспечения информационной безопасности» имеется в виду «Политика информационной безопасности».
155
Granmi-Leach-Bliley Act (GLBA) и Sarbanes-Oxley (SOX) Act 2002; Davis C., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets.
156
В отличие от, например, упоминавшейся ранее ситуации в США.
157
Лямин Л.В. Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 3. С. 109–120.
158
Risk Management Principles for Electronic Banking.
159
Framework for Internal Control Systems in Banking Organisations. Basel Committee on Banking Supervision, Basel, Bank for International Settlements, September 1998.
160
Large Bank Supervision. Comptroller’s Handbook. EP-LB.
161
Лямин Л.В. Пруденциальная организация и жизненный цикл внутреннего контроля в условиях электронного банкинга // Внутренний контроль. 2009. № 1. С. 82–92; № 2. С. 64–75; № 3. С, 90-100.
162
Это понятие введено без комментариев, вследствие чего не совсем ясно, имеет оно частный (интуитивно понятный) или общий характер, в последнем случае для каждой ТЭБ целесообразно проведение специального анализа подмножества источников компонентов банковских рисков.
163
The Institute of Internal Auditors, www.theiia.org. В России его представляет организация с аналогичным названием (НП «ИВА»), www.iia-ru.ru.
164
Information Systems Audit and Control Association (ISACA), www.isacs.org. Имеется отделение в России, www.isaca-russia.org.
165
В зарубежной терминологии — vulnerability assessment.
166
Certified Information Systems Auditor и Certified Information Systems Manager.
-’ Codeire D. Internal Audit; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets.
167
Эта работа продолжается постоянно, и одним из последних таких документов стало руководство БКБН, в котором содержится описание мер, которые следует принимать кредитным организациям — посредникам в проведении банковских операций, чтобы не оказаться вовлеченными в противоправную деятельность: Due diligence and transparency regarding cover payment messages related to cross-border wire transfers/ Basel Committee on Banking Supervision, Bank for International Settlements, May 2009.
168
В зарубежной терминологии — pattern.
169
Например, письма Банка России от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)», от 13 марта 2008 г. № 24-Т «О повышении эффективности работы по предотвращению сомнительных операций», от 3 сентября 2008 г. № 111-Т «О повышении эффективности работы по предотвращению сомнительных операций клиентов кредитных организаций» и др.
170
Bank for International Settlements, October 2004 (в дополнение к рекомендациям Customer due diligence for banks, выпущенным в октябре 2001 г.).
171
Consolidated KYC Risk Management. Basel Committee on Banking Supervision, Basel,
172
Определение этого риска БКБН не приводит, но из контекста можно сделать вывод, что этот риск образуется в том случае, если банк не отслеживает операции клиента в комплексе (проводимые через разные филиалы одним клиентом или в интересах одного выгодоприобретателя и т. п.), т. е. головной офис «не замечает» такой системный риск, но он существует в системе филиалов кредитной организации.
173
В случае необходимости использования специального ПИО ФМ потребуется распределить ответственность и обязанности по его применению, настройкам, модернизации, права и полномочия доступа, меры по исключению возможностей НСД к файлам логов и трейлов, сокрытия/подмены операций и т. п.
174
Много полезной информации в этом плане можно получить из обсуждений клиентами кредитных организаций различных инцидентов и их последствий, преимущественно негативных, на web-сайте www.banki.ru.
175
Название этого документа ориентировочное, предложено просто потому, что в большинстве кредитных организаций, предлагающих подобный вариант банковского обслуживания, документ такого рода отсутствует.
176
От термина phishing, обозначающего технологию введения в заблуждение клиентов кредитной организации, в которой используются специфические ложные сообщения электронной почты, имитирующее запрос от нее (в связи со сверкой данных, техническим перевооружением и пр. в качестве «объясняющей» причины), и возможно, своего рода «web-сайты — муляжи», разработанные таким образом, чтобы как минимум выманить личные регистрационные данные клиентов, с помощью которых осуществляется доступ к их счетам и финансовым средствам, а в ряде случаев — и для атак типа «посредник» с перехватом трафика клиента при его «перемещении» по web-сайтам.
177
По информации с web-сайта www.antiphishing.org, на котором публикуются различные материалы, касающиеся распространения и угроз фишинга.
178
Письмо Банка России от 25 июня 2009 г. № 76-Т «О рекомендациях по информированию клиентов о размещении на web-сайте Банка России списка адресов web-сайтов кредитных организаций».
179
Business Continuity Plan (ВСР) и Business Recovery Plan (BRP) соответственно.
180
От англ. outsourcing — в наиболее общем случае этот термин используется для обозначения стороннего обслуживания какого-либо учреждения, в банковском секторе он чаще всего употребляется для обозначения организации контрактных отношений в части компьютерной обработки данных, хранения их массивов на отчуждаемых носителях информации, предоставления телекоммуникационных услуг и т. п.
181
О необходимости ознакомления с финансовым состоянием провайдера и отчетами его внешнего аудита всегда говорится в материалах зарубежных органов банковского регулирования и надзора.
182
Management and Supervision of Cross-Border Electronic Banking Activities. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, October 2002.
183
Справедливости ради необходимо отметить, что в московском регионе (по наблюдениям автора) многие кредитные организации в последнее время пересматривают свою политику в отношении использования сервисов, предоставляемых провайдеров, вследствие чего нередки случаи смены этих организаций по причинам невыполнения ими обязательств относительно SLA, расширения банковского бизнеса или ввода новых услуг ДБО. Отдельной актуальной в последние три года проблемой стало привлечение провайдеров к участию в защите кредитных организаций от разного рода сетевых атак и его организационно-правовое обеспечение.
184
Речь идет о сетевых атаках Tima «отказ-в-обслуживании» и «распределенный-отказ-в-обслуживании»: DoS (Denial-of-Setvice) и DDoS (Distributed- Denial-of-Setvice).
185
Лямин Л.В. К вопросу о рисках, связанных с применением технологий дистанционного банковского обслуживания // Управление в коммерческом банке. 2008. № 2. С, 20–31.
186
Термин образован от сочетания robot-net.
187
WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance.
188
Под этим, как правило, в русскоязычных текстах понимается так называемая «гиперссылка», но в данном случае сохранен буквальный перевод англоязычного термина, употребляемого в рассматриваемых материалах.
189
Недостатки в реализации этого и предыдущего пунктов являются основными причинами наличия ошибок и других недостатков в контенте web-сайтов, используемых кредитными организациями; в основном они относятся к взаимодействию подразделений по развитию бизнеса, маркетинга, связей с общественностью и информатизации (автоматизации) банковской деятельности.
190
Если web-ресурсы создаются специалистами самой кредитной организации, и их хостинг обеспечивается ее собственными web- и почтовыми серверами, то речь идет о провайдерах Интернета и систем связи.
191
Оптимальным в этом плане является принятие организационно-технических мер по их устранению.
192
Включая ее неадекватность реальной ситуации из-за несвоевременного обновления контента.
193
Случаи атак на web-сайты с искажением их контента, а также так называемой «недобросовестной конкуренции» с распространением в Сети ложных сведений о кредитных организациях (хотя последнее имеет косвенное отношение к рассматриваемой проблематике).
194
WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance.
Вокруг инвестиций много мифов. Одни говорят, что это слишком сложно и 90 % инвесторов теряют деньги. Другие убеждают в обратном: инвестировать можно безопасно, никакие знания не нужны, а начать стоило еще вчера. Правда, как всегда, посередине: чтобы не прогореть в самом начале, стоит познакомиться с основными правилами в мире инвестиций. Но это действительно несложно – вы справитесь за несколько дней. Автор книги «Инвестор за выходные» Семён Кибало к 30 годам добился полной финансовой независимости благодаря пассивному инвестированию.
Издание дает читателю системное описание развития и текущего состояния на рынке предоплаченных инструментов розничных платежей. В издании представлены, как традиционные предоплаченные продукты, такие как дорожные чеки, так и инновационные продукты, например электронные деньги. Широко освещен международный опыт использования инновационных платежных продуктов. Также приведены примеры регулирования этих систем в разных странах как ближнего, так и дальнего зарубежья, а также юридические основы использования систем предоплаченных платежных продуктов.
В книге кратко изложены ответы на основные вопросы темы «Банковское дело». Издание поможет систематизировать знания, полученные на лекциях и семинарах, подготовиться к сдаче экзамена или зачета.Пособие адресовано студентам высших и средних образовательных учреждений, а также всем интересующимся данной тематикой.
В книге рассказывается история главного героя, который сталкивается с различными проблемами и препятствиями на протяжении всего своего путешествия. По пути он встречает множество второстепенных персонажей, которые играют важные роли в истории. Благодаря опыту главного героя книга исследует такие темы, как любовь, потеря, надежда и стойкость. По мере того, как главный герой преодолевает свои трудности, он усваивает ценные уроки жизни и растет как личность.
В курсе в краткой и доступной форме рассмотрены все основные вопросы, предусмотренные государственным образовательным стандартом и учебной программой по дисциплине «Банковские операции». В курсе впервые в отечественной литературе по банковскому делу подробно освещены вопросы: кредитного консалтинга, ритэйла, элитного банковского обслуживания, карьеры в банке и технике трудоустройства, как получить кредит, схема создания кредитной организации и другие актуальные темы.Автор книги, Шевчук Денис, имеет опыт работы в банках, коммерческих и государственных структурах на руководящих должностях, курирует программу «Кредитный консалтинг» в должности Заместителя генерального директора «Кредитный брокер INTERFINANCE» (ИПОТЕКА КРЕДИТОВАНИЕ БИЗНЕСА) (www.denisсredit.ru), имеет высшее экономическое и юридическое образование.
Конспект лекций соответствует требованиям Государственного образовательного стандарта высшего профессионального образования.Доступность и краткость изложения позволяют быстро и легко получить основные знания по предмету, подготовиться и успешно сдать зачет и экзамен.Рассматриваются понятие, сущность государственного управления, типы и формы государства, органы государственной власти, структура и компетенция органов законодательной и исполнительной власти Российской Федерации, судебная власть, система органов местного самоуправления и многое другое.Для студентов экономических вузов и колледжей, а также тех, кто самостоятельно изучает данный предмет.