Что касается возможного использования УРСИТ, то специалистами кредитных организаций рассмотренные материалы могут быть использованы в интересах собственных методических разработок индивидуального характера, которые целесообразно акцентировать на специфике применяемых этими организациями банковских автоматизированных систем в их связи с системами электронного банкинга, или применении ИТ в целом. При этом следует дополнить такие разработки учетом особенностей проектирования, внедрения и эксплуатации систем электронного банкинга.

Базовая причина усугубления проблемы ОИБ в условиях перехода к ДБО заключается в принципиальном изменении состава угроз надежности банковской деятельности в связи с формированием ИКБД, т. е. возникновении их новых видов, нетипичных для традиционной ее организации. Конечно, кредитные организации всегда подвергались и подвергаются рискам, связанным с ошибками или мошенничеством, но с внедрением компьютерных технологий уровень таких рисков и масштаб их влияния существенно изменились, поскольку возможности и последствия реализации рисков такого рода значительно расширились. Тем не менее, как это ни странно, но нередко приходится сталкиваться с такими ситуациями в кредитных организациях, которые свидетельствуют о «как бы» непонимании радикального изменения состава требований к ОИБ в связи с внедрением ТЭБ. Буквально остаются справедливыми слова, произнесенные более двух тысяч лет назад: «Нет памяти о прежнем, да и о том, что будет, не останется памяти у тех, которые будут после» [142] .

Задача ОИБ при использовании систем электронного банкинга является, возможно, наиболее сложной для решения. Как подчеркивает БКБН, «чтобы парировать проблемы с сохранением конфиденциальности важнейшей банковской информации в части электронного банкинга, необходимо гарантировать, что доступ ко всем конфиденциальным банковским данным и информации возможен только для должным образом авторизованных и аутентифицированных лиц, агентов или систем». Большинство задач в рамках решения указанной проблемы, которые возникают при образовании ИКБД, являются новыми и непосредственно связанными с ним, что отмечалось в главе 1. В общем случае требуется контроль адекватности ОИБ применяемым в кредитной организации ИТ [143] , для чего необходим анализ и практический учет новых реальных и потенциальных угроз, связанных с технологиями электронного банкинга, а также сценариев их возможной реализации с оценкой последствий для кредитной организации и ее клиентов. Они определяются исходя из результатов анализа источников компонентов банковских рисков, связанных с недостатками в ОИБ, вследствие чего их целесообразно точно указывать в «Положении об управлении банковскими рисками» и согласовывать содержание такого документа с «Политикой обеспечения информационной безопасности» кредитной организации.

Рассматриваемая проблематика, как видно из изложенного выше, многоаспектна. Поэтому, в частности, службе безопасности (СБ) кредитной организации, которая состоит, как правило, из подразделений информационной, экономической и физической безопасности, целесообразно было бы регулярно проводить скрупулезный анализ не только информационных ресурсов самой организации, ядром которых являются ее БАС и базы банковских и клиентских данных, но также и всей информации, угрозы безопасности которой могут негативно повлиять на финансовое состояние, статус, имидж и другие характеристики организации и на интересы ее клиентов. Состав ресурсов такого рода определяется их значимостью в перечисленных отношениях, включая сохранение банковской тайны и защиту персональных данных. При этом целесообразно учитывать, что критичными для клиентов могут оказаться различные варианты НСД к банковской информации: от массивов данных бухгалтерского учета до сведений о фактах осуществления тех или иных банковских операций и сделок. Поэтому, как часто пишут, «специальное внимание» целесообразно уделять, как минимум, тем информационным сечениям в БАС, между БАС и системой ДБО и во внешнем сегменте ИКБД, в которых такой НСД потенциально может иметь место (как, впрочем, и другие атакующие воздействия). Регулярность детального анализа определяется, во-первых, теми интервалами времени, которые связаны с модернизациями банковских автоматизированных систем или нововведениями в банковских информационных технологиях — их темпом, а во-вторых, появлением информации о компрометации средств защиты компьютерных систем.

Что касается организации информационных сечений, то менеджерам различных уровней целесообразно обращать внимание на наличие и содержание ролевых функций персонала кредитной организации при передаче (и, возможно, преобразовании) потоков данных из одной АС в другую. От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо хотя бы косвенного участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае упоминавшейся ранее автоматизированной сквозной обработки. В таких случаях целесообразно рассматривать, как минимум, следующие вопросы:

— предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если предусмотрено, то с какими правами, и существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т. п.?

— могут ли функции, выполняемые уполномоченными сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т. д.)?

— внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, имеющими доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т. п.)?

Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой ОИБ в кредитной организации, включая защиту информационных и процессинговых ресурсов этой организации от неправомерного доступа с применением технологий ДБО.

Упомянутое выше «специальное внимание» может реализовываться в разных формах. Прежде всего логично разработать и внедрить процедуры контроля доступа к файлам данных, проходящим через значимые информационные сечения, например, между системами ДБО и БАС кредитной организации. В таких сечениях могут располагаться операторы какой-либо АС, системные или сетевые администраторы или операторы, специально выделенные для выполнения каких-либо функций. Ни один из таких сотрудников кредитной организации не должен обладать делегированными ему неконтролируемыми полномочиями (особенно при совмещении обязанностей, к примеру, системного администратора и администратора информационной безопасности, что нередко получается «само собой»). Особенно целесообразно ограничивать и контролировать возможные действия, следствием которых может стать нарушение целостности банковских данных или их утечка. В то же время для осознания образования такой «неконтролируемости» в виртуальном пространстве требуется знание о наличии возможностей для этого. Поэтому в материалах зарубежных органов банковского регулирования и надзора часто подчеркивается важность обеспечения следования так называемому принципу «четырех глаз» (двойного независимого параллельного контроля — особенно при принятии ответственных решений), что может быть отнесено ко многим направлениям банковской деятельности (необязательно связанным с информационными технологиями).