Инструкции, методики
Банковские операции
4.1. Внутренними документами кредитной организации рекомендуется регламентировать работу на всех технологических участках информационного контура интернет-банкинга, организационное и информационное взаимодействие с клиентами и провайдерами, а также функционирование аппаратно-программного обеспечения интернет-банкинга.
4.2. Во внутренних документах кредитной организации, связанных с управлением интернет-банкингом и контролем за функционированием реализующих его систем, рекомендуется определить:
4.2.1. Роль органов управления и структурных подразделений кредитной организации, в том числе:
- распределение полномочий между органами управления кредитной организации (совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительные органы);
- распределение прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений кредитной организации, служащих кредитной организации, в обязанности которых входит выполнение функций в рамках интернет-банкинга и управление связанными с ним рисками интернет-банкинга;
- реализация учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения систем интернет-банкинга;
- определение допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании систем интернет-банкинга;
- определение порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и принятие мер, обеспечивающих снижение уровня рисков.
4.2.2. Порядок обеспечения непрерывности управления, в том числе:
- испытание систем интернет-банкинга на соответствие требованиям, предъявляемым к осуществлению банковских операций;
- меры по обеспечению надежности функционирования систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга (в том числе внутрибанковских автоматизированных систем кредитной организации, систем и комплексов провайдеров);
- взаимосвязанные внутрибанковские процессы и процедуры, необходимые для осуществления обслуживания в рамках интернет-банкинга;
- план действий на случай чрезвычайных обстоятельств с учетом специфики интернет-банкинга, включающий меры по предотвращению влияния источников (факторов) рисков, а также меры по защите интересов кредитной организации и ее клиентов, пользующихся интернет-банкингом, включая восстановление обслуживания;
- документирование и анализ информации о сетевых атаках, других противоправных действиях, о нарушениях функционирования систем интернет-банкинга и доведение этой информации до органов управления кредитной организации;
- действия при возникновении нештатных ситуаций во внутрибанковских автоматизированных системах кредитной организации, связанных с осуществлением операций интернет-банкинга (включая умышленные повреждения, сетевые и вирусные атаки), и в системах и комплексах провайдеров (с описаниями мероприятий по выявлению нарушений и защите от них функционирования информационного контура интернет-банкинга, попыток неправомерного доступа к программно-информационным ресурсам и мер по их предупреждению, а также порядок информирования органов управления кредитной организации о таких ситуациях).
4.2.3. Порядок управления рисками интернет-банкинга, в том числе:
- описание наиболее вероятных внутренних и внешних источников (факторов) рисков интернет-банкинга;
- разработка различных способов оценки и минимизации рисков интернет-банкинга;
- организация процесса управления рисками интернет-банкинга и мониторинга источников (факторов) рисков интернет-банкинга;
- назначение ответственного лица (лиц) за реализацию процессов управления рисками интернет-банкинга и их мониторинга.
4.2.4. Требования к организационно-техническому обеспечению в части:
- организации, ведения, сопровождения (поддержания функционирования), модернизации и закрытия (отказ от использования) WEB-сайта, применяемого для интернет-банкинга, а также распределения обязанностей, ответственности, подотчетности и контроля в отношении содержания WEB-сайта <*>;
- --------------------------------
<*> Рекомендации по содержанию WEB-сайтов приведены в Указании оперативного характера Банка России от 3 февраля 2004 г. N 16-Т "О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет" и в Письме Банка России от 19 января 2005 г. N 8-Т "О сведениях, рекомендуемых для размещения на WEB-сайтах кредитных организаций в сети Интернет" ("Вестник Банка России" от 26 января 2005 года N 4).
- порядка пользования сетью Интернет служащими кредитной организации;
- разграничения прав и полномочий доступа служащих кредитной организации к системам интернет-банкинга;
- планирования, внедрения, применения (эксплуатации), модификации в случае модернизации обслуживания в рамках интернет-банкинга;
- содержания технического описания внутрибанковских автоматизированных систем, на которых основаны и реализованы системы интернет-банкинга, в том числе схемы вычислительной сети кредитной организации с указанием потоков данных (передаваемых, обрабатываемых и хранимых);
- содержания инструкций, правил, руководств и иных документов для операторов внутрибанковских автоматизированных систем, администраторов этих систем и администраторов информационной безопасности, а также служащих кредитной организации, обслуживающих эти системы;
- актуализации документации на технические средства, используемые кредитной организацией для интернет-банкинга, а также контроль их модификации (в том числе меры по предотвращению внесения несанкционированных изменений в соответствующее аппаратно-программное обеспечение систем интернет-банкинга и в информационные массивы);
- установления договорных отношений с клиентами, пользующимися услугами интернет-банкинга, и контроля выполнения обязательств сторон;
- установления договорных отношений с провайдерами и контроля выполнения обязательств сторон.
4.2.5. Порядок обеспечения информационной безопасности в части:
- политики обеспечения информационной безопасности с учетом особенностей интернет-банкинга, внешних и внутренних угроз информационной безопасности и защите банковских операций и данных, возможных сценариев реализации угроз, а также способов противодействия таким угрозам, как неправомерное уничтожение, изменение, копирование данных, доступ к ним со стороны неуполномоченных лиц;
- методической и консультационной помощи клиентам, доведения до них информации о принимаемых рисках, информирования клиентов об осуществляемых по их счетам операциях, а также о типичных признаках противоправных действий и о необходимом комплексе мер по защите информации.
4.2.6. Порядок обеспечения внутреннего контроля в части:
- состава системы внутреннего контроля с учетом особенностей интернет-банкинга, в том числе описания встроенных средств автоматизированного (программного) контроля, используемых для целей противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также для выявления и документирования подозрительных операций;
- действий по выявлению нарушений и недостатков при осуществлении кредитными организациями банковских операций с применением систем интернет-банкинга;
- действий по устранению нарушений и недостатков, выявленных службой внутреннего контроля.
4.2.7. Порядок противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части:
- взаимодействия подразделений информатизации, информационной безопасности, службы внутреннего контроля и служащего (структурного подразделения), ответственного за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете, используя аналог собственноручной подписи, коды, пароли и иные средства, подтверждающие наличие указанных полномочий;
- идентификации и изучения клиентов интернет-банкинга (в первую очередь клиентов, с которыми кредитная организация осуществляет банковские операции с повышенной степенью риска) и соблюдения принципа "Знай своего клиента".
5.1. Кредитной организации рекомендуется организовать и контролировать процесс информационного обеспечения в целях эффективного управления рисками интернет-банкинга, выработки мотивированных решений в отношении применения систем интернет-банкинга и принятия мер по снижению и исключению влияния возможных источников (факторов) указанных рисков.
5.2. В состав информационного обеспечения управления рисками интернет-банкинга рекомендуется включать сведения по следующим направлениям:
5.2.1. Обслуживание в рамках интернет-банкинга, в том числе:
- предлагаемые услуги и виды банковского обслуживания в сети Интернет (в том числе мобильные системы);
- состав клиентской базы интернет-банкинга и ее динамика;
- объемы денежных средств на счетах клиентов, управление которыми осуществляется клиентами в сети Интернет (в рублях и в иностранной валюте), их динамика и обороты, в том числе в составе операций с клиентами, находящимися за рубежом (в отношении резидентов и нерезидентов);
- состав и численность обособленных подразделений и внутренних структурных подразделений кредитной организации, участвующих в обслуживании клиентов интернет-банкинга;
- состав и численность структурных подразделений, осуществляющих информатизацию и автоматизацию банковской деятельности;
- результаты использования интернет-банкинга (в сопоставлении с бизнес-планом кредитной организации).
5.2.2. Техническое оснащение интернет-банкинга, в том числе:
- состав и характеристики аппаратно-программного обеспечения систем интернет-банкинга и внутрибанковских автоматизированных систем кредитной организации (с особым вниманием к возможным конструктивным и эксплутационным недостаткам);
- структурная схема внутрибанковской вычислительной сети и каналов связи с сетью Интернет, состав и характеристики специальных аппаратно-программных средств, обеспечивающих их функционирование;
- содержание внесенных в используемые внутрибанковские автоматизированные системы изменений в связи с внедрением интернет-банкинга;
- состав средств обеспечения бесперебойной работы систем интернет-банкинга и связанных с ними внутрибанковских автоматизированных систем, а также средства резервного копирования информации об ордерах клиентов и о проведенных банковских операциях;
- состав средств защиты банковской и клиентской информации.
5.2.3. Отношения с провайдерами, в том числе:
- перечень провайдеров и разработчиков программного обеспечения для кредитной организации;
- условия договоров, заключенных с провайдерами, разработчиками программного обеспечения для кредитной организации;
- состав и описание услуг, функций, операций, процедур, переданных на исполнение провайдерам;
- данные о провайдерах, позволяющие оценивать их возможности по выполнению обязательств перед кредитной организацией;
- компьютерные системы и системы связи, используемые провайдерами, а также их характеристики.
5.2.4. Условия применения интернет-банкинга:
- описание процедур и фактическое распределение обязанностей, ответственности, прав операторов внутрибанковских автоматизированных систем в части интернет-банкинга;
- описание процедур системного администрирования, результатов их осуществления, а также данные внутрисистемных компьютерных журналов;
- состав и характеристики средств криптографической защиты информации интернет-банкинга, а также связанных с их применением лицензий и сертификатов;
- описание процедуры подготовки (распорядительный документ) и содержание планов на случай чрезвычайных обстоятельств и результаты их тестирования;
- методические материалы по внутреннему контролю (в том числе методики выявления, оценки, мониторинга, контроля и (или) минимизации банковских рисков, связанных с интернет-банкингом);
- результаты проверок, проведенных службой внутреннего контроля (внутреннего аудита);
- описание процедур и фактическое распределение полномочий доступа служащих кредитной организации к сетевым информационным ресурсам интернет-банкинга;
- описание процедур администрирования информационной безопасности и результаты его осуществления;
- описание процедур противодействия возможному противоправному использованию интернет-банкинга и результаты его осуществления.
5.2.5. Документирование информации об авариях, отказах, сбоях функционирования аппаратно-программного обеспечения систем интернет-банкинга, в том числе компьютерных систем и средств связи провайдеров кредитной организации, и их причинах, о попытках неправомерного доступа (внешнего и внутреннего) к внутрибанковским автоматизированным системам, информационным и процессинговым ресурсам, о сетевых и вирусных атаках, их последствиях и принятых мерах, а также в целом об источниках (факторах), влияющих на повышение банковских рисков.
Страницы: 2 из 2 <-- предыдущая cодержание следующая -->
ВНУТРЕННИЕ ДОКУМЕНТЫ КРЕДИТНОЙ ОРГАНИЗАЦИИ, УСТАНАВЛИВАЮЩИЕ ПОРЯДОК УПРАВЛЕНИЯ РИСКАМИ ИНТЕРНЕТ-БАНКИНГА
(Рекомендации по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга)Банковские операции
Раздел 4. Внутренние документы кредитной организации,
устанавливающие порядок управления
рисками интернет-банкинга
4.1. Внутренними документами кредитной организации рекомендуется регламентировать работу на всех технологических участках информационного контура интернет-банкинга, организационное и информационное взаимодействие с клиентами и провайдерами, а также функционирование аппаратно-программного обеспечения интернет-банкинга.
4.2. Во внутренних документах кредитной организации, связанных с управлением интернет-банкингом и контролем за функционированием реализующих его систем, рекомендуется определить:
4.2.1. Роль органов управления и структурных подразделений кредитной организации, в том числе:
- распределение полномочий между органами управления кредитной организации (совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительные органы);
- распределение прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений кредитной организации, служащих кредитной организации, в обязанности которых входит выполнение функций в рамках интернет-банкинга и управление связанными с ним рисками интернет-банкинга;
- реализация учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения систем интернет-банкинга;
- определение допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании систем интернет-банкинга;
- определение порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и принятие мер, обеспечивающих снижение уровня рисков.
4.2.2. Порядок обеспечения непрерывности управления, в том числе:
- испытание систем интернет-банкинга на соответствие требованиям, предъявляемым к осуществлению банковских операций;
- меры по обеспечению надежности функционирования систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга (в том числе внутрибанковских автоматизированных систем кредитной организации, систем и комплексов провайдеров);
- взаимосвязанные внутрибанковские процессы и процедуры, необходимые для осуществления обслуживания в рамках интернет-банкинга;
- план действий на случай чрезвычайных обстоятельств с учетом специфики интернет-банкинга, включающий меры по предотвращению влияния источников (факторов) рисков, а также меры по защите интересов кредитной организации и ее клиентов, пользующихся интернет-банкингом, включая восстановление обслуживания;
- документирование и анализ информации о сетевых атаках, других противоправных действиях, о нарушениях функционирования систем интернет-банкинга и доведение этой информации до органов управления кредитной организации;
- действия при возникновении нештатных ситуаций во внутрибанковских автоматизированных системах кредитной организации, связанных с осуществлением операций интернет-банкинга (включая умышленные повреждения, сетевые и вирусные атаки), и в системах и комплексах провайдеров (с описаниями мероприятий по выявлению нарушений и защите от них функционирования информационного контура интернет-банкинга, попыток неправомерного доступа к программно-информационным ресурсам и мер по их предупреждению, а также порядок информирования органов управления кредитной организации о таких ситуациях).
4.2.3. Порядок управления рисками интернет-банкинга, в том числе:
- описание наиболее вероятных внутренних и внешних источников (факторов) рисков интернет-банкинга;
- разработка различных способов оценки и минимизации рисков интернет-банкинга;
- организация процесса управления рисками интернет-банкинга и мониторинга источников (факторов) рисков интернет-банкинга;
- назначение ответственного лица (лиц) за реализацию процессов управления рисками интернет-банкинга и их мониторинга.
4.2.4. Требования к организационно-техническому обеспечению в части:
- организации, ведения, сопровождения (поддержания функционирования), модернизации и закрытия (отказ от использования) WEB-сайта, применяемого для интернет-банкинга, а также распределения обязанностей, ответственности, подотчетности и контроля в отношении содержания WEB-сайта <*>;
- --------------------------------
<*> Рекомендации по содержанию WEB-сайтов приведены в Указании оперативного характера Банка России от 3 февраля 2004 г. N 16-Т "О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет" и в Письме Банка России от 19 января 2005 г. N 8-Т "О сведениях, рекомендуемых для размещения на WEB-сайтах кредитных организаций в сети Интернет" ("Вестник Банка России" от 26 января 2005 года N 4).
- порядка пользования сетью Интернет служащими кредитной организации;
- разграничения прав и полномочий доступа служащих кредитной организации к системам интернет-банкинга;
- планирования, внедрения, применения (эксплуатации), модификации в случае модернизации обслуживания в рамках интернет-банкинга;
- содержания технического описания внутрибанковских автоматизированных систем, на которых основаны и реализованы системы интернет-банкинга, в том числе схемы вычислительной сети кредитной организации с указанием потоков данных (передаваемых, обрабатываемых и хранимых);
- содержания инструкций, правил, руководств и иных документов для операторов внутрибанковских автоматизированных систем, администраторов этих систем и администраторов информационной безопасности, а также служащих кредитной организации, обслуживающих эти системы;
- актуализации документации на технические средства, используемые кредитной организацией для интернет-банкинга, а также контроль их модификации (в том числе меры по предотвращению внесения несанкционированных изменений в соответствующее аппаратно-программное обеспечение систем интернет-банкинга и в информационные массивы);
- установления договорных отношений с клиентами, пользующимися услугами интернет-банкинга, и контроля выполнения обязательств сторон;
- установления договорных отношений с провайдерами и контроля выполнения обязательств сторон.
4.2.5. Порядок обеспечения информационной безопасности в части:
- политики обеспечения информационной безопасности с учетом особенностей интернет-банкинга, внешних и внутренних угроз информационной безопасности и защите банковских операций и данных, возможных сценариев реализации угроз, а также способов противодействия таким угрозам, как неправомерное уничтожение, изменение, копирование данных, доступ к ним со стороны неуполномоченных лиц;
- методической и консультационной помощи клиентам, доведения до них информации о принимаемых рисках, информирования клиентов об осуществляемых по их счетам операциях, а также о типичных признаках противоправных действий и о необходимом комплексе мер по защите информации.
4.2.6. Порядок обеспечения внутреннего контроля в части:
- состава системы внутреннего контроля с учетом особенностей интернет-банкинга, в том числе описания встроенных средств автоматизированного (программного) контроля, используемых для целей противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также для выявления и документирования подозрительных операций;
- действий по выявлению нарушений и недостатков при осуществлении кредитными организациями банковских операций с применением систем интернет-банкинга;
- действий по устранению нарушений и недостатков, выявленных службой внутреннего контроля.
4.2.7. Порядок противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части:
- взаимодействия подразделений информатизации, информационной безопасности, службы внутреннего контроля и служащего (структурного подразделения), ответственного за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете, используя аналог собственноручной подписи, коды, пароли и иные средства, подтверждающие наличие указанных полномочий;
- идентификации и изучения клиентов интернет-банкинга (в первую очередь клиентов, с которыми кредитная организация осуществляет банковские операции с повышенной степенью риска) и соблюдения принципа "Знай своего клиента".
Раздел 5. Информационное обеспечение управления
рисками интернет-банкинга
рисками интернет-банкинга
5.1. Кредитной организации рекомендуется организовать и контролировать процесс информационного обеспечения в целях эффективного управления рисками интернет-банкинга, выработки мотивированных решений в отношении применения систем интернет-банкинга и принятия мер по снижению и исключению влияния возможных источников (факторов) указанных рисков.
5.2. В состав информационного обеспечения управления рисками интернет-банкинга рекомендуется включать сведения по следующим направлениям:
5.2.1. Обслуживание в рамках интернет-банкинга, в том числе:
- предлагаемые услуги и виды банковского обслуживания в сети Интернет (в том числе мобильные системы);
- состав клиентской базы интернет-банкинга и ее динамика;
- объемы денежных средств на счетах клиентов, управление которыми осуществляется клиентами в сети Интернет (в рублях и в иностранной валюте), их динамика и обороты, в том числе в составе операций с клиентами, находящимися за рубежом (в отношении резидентов и нерезидентов);
- состав и численность обособленных подразделений и внутренних структурных подразделений кредитной организации, участвующих в обслуживании клиентов интернет-банкинга;
- состав и численность структурных подразделений, осуществляющих информатизацию и автоматизацию банковской деятельности;
- результаты использования интернет-банкинга (в сопоставлении с бизнес-планом кредитной организации).
5.2.2. Техническое оснащение интернет-банкинга, в том числе:
- состав и характеристики аппаратно-программного обеспечения систем интернет-банкинга и внутрибанковских автоматизированных систем кредитной организации (с особым вниманием к возможным конструктивным и эксплутационным недостаткам);
- структурная схема внутрибанковской вычислительной сети и каналов связи с сетью Интернет, состав и характеристики специальных аппаратно-программных средств, обеспечивающих их функционирование;
- содержание внесенных в используемые внутрибанковские автоматизированные системы изменений в связи с внедрением интернет-банкинга;
- состав средств обеспечения бесперебойной работы систем интернет-банкинга и связанных с ними внутрибанковских автоматизированных систем, а также средства резервного копирования информации об ордерах клиентов и о проведенных банковских операциях;
- состав средств защиты банковской и клиентской информации.
5.2.3. Отношения с провайдерами, в том числе:
- перечень провайдеров и разработчиков программного обеспечения для кредитной организации;
- условия договоров, заключенных с провайдерами, разработчиками программного обеспечения для кредитной организации;
- состав и описание услуг, функций, операций, процедур, переданных на исполнение провайдерам;
- данные о провайдерах, позволяющие оценивать их возможности по выполнению обязательств перед кредитной организацией;
- компьютерные системы и системы связи, используемые провайдерами, а также их характеристики.
5.2.4. Условия применения интернет-банкинга:
- описание процедур и фактическое распределение обязанностей, ответственности, прав операторов внутрибанковских автоматизированных систем в части интернет-банкинга;
- описание процедур системного администрирования, результатов их осуществления, а также данные внутрисистемных компьютерных журналов;
- состав и характеристики средств криптографической защиты информации интернет-банкинга, а также связанных с их применением лицензий и сертификатов;
- описание процедуры подготовки (распорядительный документ) и содержание планов на случай чрезвычайных обстоятельств и результаты их тестирования;
- методические материалы по внутреннему контролю (в том числе методики выявления, оценки, мониторинга, контроля и (или) минимизации банковских рисков, связанных с интернет-банкингом);
- результаты проверок, проведенных службой внутреннего контроля (внутреннего аудита);
- описание процедур и фактическое распределение полномочий доступа служащих кредитной организации к сетевым информационным ресурсам интернет-банкинга;
- описание процедур администрирования информационной безопасности и результаты его осуществления;
- описание процедур противодействия возможному противоправному использованию интернет-банкинга и результаты его осуществления.
5.2.5. Документирование информации об авариях, отказах, сбоях функционирования аппаратно-программного обеспечения систем интернет-банкинга, в том числе компьютерных систем и средств связи провайдеров кредитной организации, и их причинах, о попытках неправомерного доступа (внешнего и внутреннего) к внутрибанковским автоматизированным системам, информационным и процессинговым ресурсам, о сетевых и вирусных атаках, их последствиях и принятых мерах, а также в целом об источниках (факторах), влияющих на повышение банковских рисков.
Страницы: 2 из 2 <-- предыдущая cодержание следующая -->