Политика информационной безопасности и контроль информационных потоков в коммерческом банке Текст научной статьи по специальности «Экономика и бизнес»

Политика информационной безопасности и контроль информационных потоков в коммерческом банке

Юденков Юрий Николаевич,

к.э.н., доцент, Финансовый университет при Правительстве РФ

Экономическая безопасность является обобщающей категорией безопасности от множества угроз и включает: - информационную безопасность; социальную безопасность; научно-техническую безопасность; энергетическую безопасность; ядерную безопасность; ресурсную безопасность; инновационную безопасность; правовую безопасность; культурную безопасность; демографическую безопасность; экологическую безопасность; техническую безопасность; религиозную и др. В статье приводится описание содержания информационной безопасности и специфики контроля аутсорсинга, как одного из направлений контроля информационных потоков.

Сделаны следующие выводы, что при выполнении проектов по приведению к соответствию тому или иному требованию регулятора кредитной организации следует: акцентировать внимание на ключевых этапах внедрения ИТ; знать какие требования по защите информации следует обязательно выполнять; иметь утвержденный порядок выполнения требований по защите информации с учетом интересов самой кредитной организации; понимать отличия между требованиями по защите информации, целями по защите информации, механизмами защиты и контрольными мероприятиями; применять только эффективные механизмы защиты; осуществлять периодический контроль исполнения требований по защите информации на каждом этапе жизненного цикла внедрения ИТ; рассматривать все возможные варианты реализации требований по защите информации с целью повышения эффективности.

Ключевые слова: коммерческий банк, кредитные организации, банковские услуги, информационная безопасность, информационные потоки

1. Актуальность обеспечения информационной безопасности.

Компьютеризация банковской деятельности, начавшаяся практически с возникновением российского банковского сектора, к настоящему времени привела к интенсивному росту количества высокотехнологичных кредитных организаций, осуществляющих банковские операции практически в режиме реального времени и предлагающих немало вариантов внеофисного предоставления банковских услуг своим клиентам. В свою очередь, количество таких «продвинутых» клиентов, реально пользующихся компьютерными технологиями в разнообразных формах, начиная с оплаты коммунальных услуг, переводов денежных средств без открытия счетов и пользования пластиковыми картами, и заканчивая Интернет и мобильным банкингом, исчисляется миллионами. Как следствие этого понятие надежности компьютеризованной банковской деятельности теперь прямо связано с защитой интересов этой значительной части населения.

Вместе с тем, как свидетельствует информация, поступающая в Банк России от клиентов кредитных организаций и правоохранительных органов, пытающихся противодействовать противоправной деятельности в киберпространстве, проблемы, связанные с уязвимостью компьютерных технологий, в последние годы нарастают. Одновременно растут и финансовые потери кредитных организаций и их клиентов, увеличивается количество претензий со стороны последних, а вместе с ними - финансовые потери обеих сторон, обусловленные, в том числе, расходами на судебные издержки.

В итоге кредитные организации оказываются вынуждены начинать организацию активного противодействия возможной противоправной деятельности в «киберпространстве». Очевидно, что современная банковская деятельность происходит в так называемую «информационную эпоху», когда практически все компании и государственные ведомства «погружены» в высокотехнологичную среду. Разнообразные информационные технологии давно уже стали ключевым фактором сокращения операционных издержек, себестоимости банковского обслуживания и увеличения прибыли кредитных организаций. Однако, одновременно они же могут сделать корпоративные активы более уязвимыми для столь же высокотехнологичных посягательств.

На сегодняшний день многие мошенники активно используют новые технологии и как средство, и как цель своей деятельности, и данная тенденция, скорее всего, сохранится и в будущем, поскольку преступные сообщества охотно принимают на вооружения любые достижения и «прорывы» в сфере банковских информационных технологий. Основная угроза для кредитных организаций, которая непосредственно связана с распространением компьютерных мошенничеств, заключается в потере контролируемости и, как следствие, управляемости, внедрённых компьютерных технологий и реализующих их банковских автоматизированных систем (включая системы ДБО), что может одновременно негативно повлиять на доверие обслуживаемого кредитными организациями населе-

© £

Ю

Г 2

сч cJ £

Б

а

2 ©

ния. Отсюда следует необходимость расширения функций внутреннего контроля над применением в кредитных организациях указанных технологий и соответствующих автоматизированных систем (за счет применения которых нарастают темпы развития ДБО все большей части населения России, что,кстати, соответствуеттекущим планам Правительства).

Имеется немало типичных примеров как технологий самих мошенничеств, так и неправильных действий клиентов, из-за которых мошенничества становятся возможными, из чего следует необходимость совершенствования договорных отношений с клиентами и повышение их информированности о возможных мошенничествах. Недостаточная защищенность кредитных организаций от мошенничеств, в первую очередь, компьютерных, учитывая практически полную информатизацию банковской деятельности и широкое распространение ДБО, представляет собой серьезную угрозу надежности банковского обслуживания и интересам клиентов этихорганизаций. Она может являться весьма серьезной причиной существенного повышения уровней и смещения профилей ряда банковских рисков - как минимум, операционного, правового, репутационного и стратегического. За рубежом осознание данной проблемы привело в свое время к возникновению новой специальности - так называемых «сертифицированных инспекторов по мошенничествам» (Certified Fraud Examiners - CFE), которые призваны, во- первых, содействовать принятию превентивных мер в отношении возможной компьютеризованной преступной деятельности, во-вторых, проводить расследования уже совершенных компьютерных преступлений и, в-третьих, разрабатывать меры по усовершенствованию противодействия потенциальным мошенничествам, совершаемым, в том числе, с использованием

Таблица 1

Критерии сравнения Зашита ПДтт Защита информации к платежной системе pa dss СТОБР ИББС При менеии еСКЗИ

Область действия Обработка персональных данных Обработка информации о денежных средствах Обработка данных платежных карт Вся кредитная организации Применение СКЗИ

Контролир ующие Роскомнадзор, ФСТЭК, ФСБ ЦК РФ. операторы платежных систем Международные платежные системы 1 № РФ ФСК

Оценка Роскомнадзор Внешняя или внутренняя Внешняя (QSA- аудиторы) Внешняя и внутрения я Внешняя

Частота оценки 13 соответствии с планом проверок Роскомнадзор 1 раз в 2 года Ежегодно 1 ра з в 3 года В соответетви и с планом 11 роверок ФСБ

Отчетность нет ЦЬ РФ и операторам платежных систем Международные платежные системы (операторы платежных систем) ЦЬ РФ нет

информационных технологий и систем .

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

2. Требования по защите информации

Одним из направлений государственной политики Российской Федерации является обеспечение информационной безопасности страны, которая несомненно объединяется с экономической безопасностью, включающей и банковскую. Федеральными законами, указами Президента РФ, постановлениями Правительства РФ, а также положениями и приказами регулирующих органов устанавливаются обязательные для исполнения требования по защите информации. Помимо внешних обязательных требований

по защите информации кредитные организации вырабатывают свои собственные, выполнение которых обусловлено различного рода рисками.

Деятельность кредитных организаций в сфере защиты информации регулируют законы о персональных данных, о национальной платежной системе, о коммерческой тайне, об электронной подписи, о лицензировании отдельных видов деятельности и прочее. Также ряд требований по защите информации предъявляют кредитным организациям стандарты PCI DSS, СТО БР ИББС и нормативные документы ЦБ РФ. Однако, зачастую, при отсутствии должного контроля и санкций со стороны регуляторов выполнение требований считается необязательным (табл. 1).

Внутренний контроль выполнения требований разнообразнее, чем внешний, но его выполнение в кредитных организациях сопряжено с некоторыми сложностями. Законодательные и регуляторные требования периодически меняются, они могут трактоваться неоднозначно. К тому же некоторые требо-

Рис. 1. Обеспечение режима информационной безопасности. Основные этапы.

вания противоречат друг другу, что накладывает свой отпечаток на процессы внутреннего контроля. Требования по защите информации не обладают достаточной гибкостью, чтобы учитыватьособенности работы организации. В распоряжении кредитной организации часто может не оказаться приемлемых механизмов защиты для выполнения требований и ресурсов для контроля выполнения. Организации нередко сталкиваются со сложностями в поддержании достигнутого уровня соответствия. Наконец, кредитные компании редко видят взаимосвязь между требованиями, угрозами ИБ и собственными бизнес-целями.

Однако контроль выполнения требований по защите информации должен выполняется на всех этапах их жизненного цикла: начиная с ранжирования по приоритету требований по защите информации и заканчивая эксплуатацией механизмов защиты, обеспечивающих соответствие стандартам.

Таким образом, источниками требований по защите информации - правил или норм,

которые должны быть выполнены при организации и осуществлении защиты информации (ГОСТ Р 50922-2006) - выступают законодательство, регулирующие органы, бизнес-цели, условия договоров и результаты оценки рисков.

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы (Рис.1):

■ Определение политики ИБ.

■ Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания.

■ Оценка рисков.

■ Управление рисками.

■ Выбор контрмер, обеспечивающих режим ИБ.

■ Аудит системы управления ИБ.

3. Определение политики ИБ

3.1. Определение политики ИБ должно сводиться к следующим практическим шагам:

A.Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

■ управление доступом к средствам вычислительной техники (СВТ), программам и данным;

■ антивирусную защиту;

■ вопросы резервного копирования;

■ проведение ремонтных и восстановительных работ;

■ информирование об инцидентах в области ИБ.

B. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

C. Структуризацию контрмер по уровням.

D. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая

периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

3.2. Определение сферы (границ) системы управления ИБ и конкретизация целей ее создания

Необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ должна строиться именно в этих границах.

Описание границ системы рекомендуется выполнять по следующему плану:

А Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) автоматизированной системы.

B. Размещение средств СВТ и поддерживающей инфраструктуры.

C. Ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы следующих классов: СВТ, данные, системное и прикладное ПО. Все ресурсы представляют ценность с точки зрения организации. Для их оценки должна быть выбрана система критериев и методология получения оценок по этим критериям.

D. Технология обработки информации и решаемые задачи. Для решаемых задач должны быть построены модели обработки информации в терминах ресурсов.

В результате должен быть составлен документ, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система критериев для оценки их ценности.

3.3. Постановка задачи оценки рисков, связанных с нарушением ИБ

На данном этапе должна быть поставлена задача оценки рисков и обоснованы требования к методике оценки рисков.

О £

ю

I

г 2

2

сч £

Б

а

2 ©

Существуют различные подходы к оценке рисков. Выбор подхода зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер. Подробнее см. [1].

3.4. Минимальные требованиям крежимуИБ

Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Обычной областью использования этого уровня являются типовые проектные решения. Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т. д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры вне зависимости от вероятности их осуществления и уязвимости ресурсов. Таким образом, характеристики угроз на базовом уровне рассматривать не обязательно.

3.5. Повышенные требования к режиму ИБ

В случаях, когда нарушения режима ИБ чреваты тяжелыми последствиями, базовый уровень требований к режиму ИБ является недостаточным. Для того, чтобы сформулировать дополнительные требования, необходимо:

■ определить ценность ресурсов;

■ к стандартному набору добавить список угроз, актуальных для исследуемой информационной системы;

■ оценить вероятности угроз;

■ определить уязвимости ресурсов.

Возможные подходы к выбору дополнительных требований рассмотрены в [3].

3.6. Управление рисками, которые связанны с нарушением ИБ

Должна быть разработана стратегия управления рисками разных классов. Возможно несколько подходов:

■ уменьшение риска;

■ уклонение от риска;

■ изменение характера риска;

■ принятие риска.

3.7. Уменьшение риска от нарушения ИБ

Многие риски могут быть существенно уменьшены путем использования весьма простых и дешевых контрмер. Например, грамотное управление паролями снижает риск несанкционированного доступа.

3.8. Уклонение от риска

От некоторых классов рисков можно уклониться. Например, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

3.9. Изменение характера риска от нарушения ИБ

Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Примеры:

■ оборудование может быть застраховано от пожара;

■ могут быть заключены договора с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями.

3.10. Принятие риска

Многие риски не могут быть

уменьшены до пренебрежимо малой величины.

На практике, после принятия стандартного набора контрмер, ряд рисков уменьшается, но остается все еще значимым. Необходимо знать остаточную величину риска.

В результате выполнения этапа для принимаемых во внимание рисков должна быть предложена стратегия управления.

3.11. Выбор контрмер, обеспечивающих режим ИБ

Должен быть предложен комплекс мер, структурированных по уровням (организационному, программно-техническому) и отдельным аспектам безопасности. Предложенный комплекс строится в соответствии с выбранной стратегией

управления рисками. Если проводится полный вариант анализа рисков, для каждого риска оценивается эффективность комплекса контрмер.

3.12. Аудит системы управления ИБ

Целью проведения аудита является проверка соответствия выбранных контрмер декларированным в политике безопасности целям. В результате должен быть создан документ «Ведомость соответствия», в котором содержится анализ эффективности контрмер. Основные разделы этого документа:

- границы проводимого аудита;

- методика оценки;

- соответствие существующего режима ИБ требованиям организации и используемым стандартам;

- несоответствия и их категории;

- общие замечания, выводы, рекомендации.

4. Контроль аутсорсинга, как вид контроля информационных потоков

Аутсорсинг, как метод сокращения издержек, стал актуален в последнее время благодаря кризису. Аутсорсинг (англ. а^эоигстд, активный помощник) исторически изначально в банковском бизнесе воспринимался как вид функциональных компьютерных услуг, предоставляемых специализированной фирмой своим клиентам (банкам, страховым компаниям, биржам и др.)1. Эти фирмы называются поставщиками аутсорсинга -аутсорсеры. Ими могут быть, например, для банков другие банки, клиринговые или расчётные палаты и т.п. Аутсорсинг потенциально снижает информационную безопасность банка, поскольку требует дополнительных усилий по контролю информационного потока.

В банковских структурах уже складывается культура потребления услугаутсорсинга, однако многие финансовые учреждения опасаются утратить контроль над банковскими процес-

сами, что неизбежно при обращении к услугам третьих фирм. Выходом служит аутсорсинг, охватывающий только отдельные функции(как правило, непрофильные) для исполнения сторонней организацией. В первую очередь рассматривается аутсорсинг услуг в области залогового обеспечения2, кадрового делопроизводства, юридического сопровождения, поддержки ИТ-инфраструктуры кредитной организации, то есть те области, без которых она не может нормально функционировать в современных условиях.

Обычно различают три формы такого аутсорсинга: услуги сервис-бюро, менеджмент установок, менеджмент программного обеспечения.

В первом случае данные покупателя обрабатываются на программно-аппаратных средствах поставщика. Во втором случае сотрудники поставщика управляют обработкой данных покупателя, используя его оборудование и программные средства. В третьем - поставщик обрабатывает данные покупателя на своих аппаратных средствах, используя программное обеспечение покупателя.

Преимущества аутсорсинга: консолидация центров обработки данных; сокращение операционных затрат; устранение избыточных систем в банке-покупателе; консолидация баз данных и файлов информации о клиентах (CIF - Client Information File); объединение прикладных задач в интегрированных программных системах; доступ к новейшим технологиям, которые банк в других условиях не мог бы себе позволить; доступ к новым прикладным задачам; высокая квалификация персонала, имеющего навыки в новых областях; доступ к изделиям и услугам, которые позволяют банку успешно конкурировать на рынке финансовых услуг.

Все эти преимущества неизбежно наталкиваются на безопасность кредитных организаций, которые являются уникаль-

ными в отношении как требований, предъявляемых к ним клиентами, так и природы рисков, с которыми они сталкиваются. Хотя риски отдельных институтов могут сильно различаться, есть три сферы, безопасность которых важна для всех: управление компьютерной обработкой информации внешней компанией, разработка систем и программ внешним подрядчиком и использование новых продуктов.

Для службы внутреннего контроля в данной ситуации возникают вопросы оценки затрат на содержание собственных служб и на услуги сторонней организации3, а также каков объем этих услуг и реально ли их выполнение силами сторонней организации? (Под сторонней организацией будем понимать внешнюю компанию, постоянно работающую на своей территории, подчиняясь собственным правилам трудового распорядка). К персоналу, предоставляемому банку внешними компаниями, не всегда применяются жесткие стандарты, используемые обычно для защиты от нежелательного доступа к своим компьютерным системам. Помимо этого особая угроза может исходить от специалистов по компьютерным сетям, располагающих информацией о способах выхода организации в Интернет. Это не риск ключевого персонала, но его следует учитывать при распределении исполнительских функций между внешними сотрудниками. В ходе самого проекта аутсорсинга может также возникнуть риск - пренебрежение работой с персоналом. В результате проекта аутсорсинга часть штата неизбежно сократится. В компании останутся только наиболее ценные сотрудники, которых надо беречь еще сильнее, чем раньше и еще лучше мотивировать. В передаче своих функций на аутсорсинг люди видят недооценку их потенциала, навыков. Это может негативно сказаться на исполнительской дисциплине, снижении производительности труда

и, в конечном итоге, росте операционного риска.

Для эффективного управления рисками, связанными с аутсорсингом, необходимо знать особенности функционирования конкретного подразделения банка. Присутствие постоянных сотрудников, осуществляющих надзор за персоналом подрядчика или внешней компании, позволяет ограничить вероятный доступ третьей стороны к конфиденциальным данным и уменьшает риски нежелательного распространения внутренней информации.

Коммерческие банки, как и любые другие фирмы, испытывают значительную зависимость от внешних разработчиков программного обеспечения, уверенных, что создаваемые ими программы защищены с помощью паролей и жесткого разделения различных операций. Однако этот уровень безопасности недостаточен ни в теории, ни на практике. Наиболее уязвимые места интерактивных web-сайтов финансовых институтов обнаруживаются, как правило, в поступивших извне программах. Для устранения этих рисков необходимо проверять все такие программы с помощью специальных приложений. Плохо разработанная программа может стать угрозой для безопасности, но этот очевидный факт слишком часто игнорируется.

Поскольку от доступа к информации во многом зависит успех или неудача инвестиционных банков, страховых компаний и брокерских фирм, они постоянно ищут новые, все более быстрые и мощные технологии и продукты. В погоне за нововведениями часто не обращается внимания на их недостатки и игнорируются уязвимые места. Следует проверять новые продукты не только на их эффективность и функциональность, но и на уровень безопасности. Иногда с этим смогут справиться собственные департаменты информационных технологий, иногда требуется внешняя экспертиза. Безопасность систем финансовых институтов

О À

BS

5

if 2

сч cJ £

Б

а

2 ©

требует управления рисками. В большинстве случаев информационные системы слишком велики, чтобы гарантировать надежность каждого их элемента. Затраты на обеспечение абсолютной безопасности часто слишком запретительны, чтобы быть практичными.

Тем не менее службы внутреннего контроля (СВК) должны уделять особое внимание этим вопросам, рекомендуется в документах Базельского комитета, поскольку: «если банк передает независимому подрядчику (на аутсорсинг) ключевые функции, то ответственность директоров и менеджеров высшего звена не может быть делегирована организациям,которые предоставляют услуги, переданные им на аутсорсинг. Аутсорсинг операционных функций, осуществляемый внутри группы, в отношении внутреннего аудита, исполнения законодательства, нормативов и стандартов (compliance), управления рисками или других операционных функций, не исключает обязательства банка в отношении осуществления надлежащих функций контроля (при этом избегая ненужного дублирования функций на уровне группы и конкретного банка). В равной степени с банка не снимается ответственностьза понимание существующих рисков и управление ими»4.

В документах банка должно быть определено кем и когда было принято решение о передаче части функций кредитной организации на аутсорсинг. Функции внутреннего контроля обычно не включают задачи оценки эффективности банковских бизнес-процессов, но решение задачи оценки банковских рисков остается прерогативой СВК. Поэтому решение задачи - какие функции передавать на аутсорсинг?, не может осуществляться без участия сотрудников СВК. Здесь принимаемые решения связаны с риском высокой критичности для бизнеса тех или иных функций.

Для оценки внутренних ресурсов необходимо провести

экспертизу эффективности предоставления услуг внутренними структурными подразделениями банка. Например, при оценке эффективности ИТ-подразделений рассматриваются такие показатели как время реакции на запрос, продолжительность простоя, качество исполнения запросов и т. д., а также расходы на поддержку тех или иных ИТ-функций. Скорость реакции и обработки данных являются очень важными показателями для банковских структур, значения указанных показателей создают конкурентные преимущества, и их необходимо учитывать при подсчете возможного экономического эффекта внедрения аутсорсинга5.

Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых данным банком технологий электронного банкинга и соответствующих приложений. Процессы наблюдения со стороны высшего руководства следует осуществлять на постоянной основе, чтобы обеспечивалось эффективное вмешательство и коррекция любых материальных проблем с системами электронного банкинга или недостатков в обеспечении безопасности, которые могут иметь место6. В кредитной организации необходим сотрудник(либо несколько сотрудников - все зависит от масштабов аутсорсинга), который сотрудничал бы с поставщиком услуг, оценивал эффективность работы и связь IT со стратегией предприятия.

Аналогично в случае аутсорсинг риска (Risk outsourcing, иначе - перенос риска). Речь идет о возложении ответственности (в том числе, финансовой) за возможное наступление неблагоприятного события на стороннюю (внешнюю по отношению к банку) организацию (провайдера услуг, provider). Например, размещение Web-сервера банка в вычислительном комплексе провайдера c обязательством поддержания последним круглосуточной работоспособности Web-ресур-

са. При этом, на основе договора с указанной организацией следует, как минимум, четко определить характеристики неблагоприятных событий, зафиксировать механизмы передачи ответственности, а также иметь возможность контроля за действиями сторонней организации в области управления переданными ей рисками7.

Конкретно для СВК проверка управления рисками при использовании услуг сторонних организаций (аутсорсинг) может включать:

1. Изучение мероприятий по управлению рисками при использовании услуг сторонних организаций, в ходе которого определяется:

- установленный порядок оценки рисков с целью определения мер по защите информации в случае возникновения необходимости подключения к аппаратуре и линиям связи сторонней организации;

- порядок доступа сторонней организации к информации, предоставляемой кредитной организацией (её филиалами), в том числе вопросы соблюдения банковской тайны;

- установленный порядок оценки рисков, а также включение в договор со сторонней организацией мероприятий по их минимизации при размещении данных на внешних информационных ресурсах и управлении данными (передачей данных) сторонней организацией.

2. Анализ условий договоров (контрактов) со сторонними организациями в части определения ответственности в случае возникновения конфликтных ситуаций либо чрезвычайных обстоятельств. При проверке содержания таких договоров (контрактов) рекомендуется обратить внимание на:

- разрешенные способы доступа;

- использованиеуникальных идентификаторов пользователей и паролей, а также контроль их использования;

- описание каждого предоставляемого информационного сервиса;

- наличие списка лиц, которым разрешено использовать информационный сервис, а также процедуры предоставления разрешения доступа новым пользователям;

- временной интервал, в течение которого информационный сервис будет доступен;

- процедуры и меры по реализации защиты информационных ресурсов кредитной организации (её филиалах);

- обязательства по соблюдению требований законодательства Российской Федерации и внутренних документов кредитной организации (её филиалов), в частности, наличие требования соблюдения конфиденциальности;

- обязательства сторонней организации по установке и настройке аппаратно-программных средств и информационных ресурсов, информационных ресурсов и их сопровождения;

- порядокобеспечения возврата либо уничтожения конфиденциальной информации по окончании срока действия договора;

- меры по физической защите оборудования и данных;

- при необходимости обучение пользователей информационных сервисов правилам обеспечения ИБ;

- меры по обеспечению защиты от вредоносных программ;

- процедуры уведомления об инцидентах в системе обеспечения ИБ, а также порядок их расследования;

- условия участия в разрешении конфликтных ситуаций либо чрезвычайных обстоятельств, при необходимости, третьих лиц (разработчики и поставщики аппаратно-программных средств и информационных ресурсов, провайдеры информа-ционно-технологическихуслуг др.).

В заключение еще одно небольшое замечание. Хотя существующие требования к платежеспособности и правила пруденциального надзора применяются одинаково и к электронной, и к традиционной банков-

скои деятельности, появление альтернативных электронных каналов поставки порождает проблемы пруденциального плана, которые должны рассматриваться надзорными органами в новом свете. Они включают контроль над «аутсорсингом» и партнерскими соглашениями, контроль над безопасностью и хранением данных, особенно в тех случаях, когда дублирующие операции проводятся в рамках иной юрисдикции.

Заключение

Следуя общеизвестному правилу о целесообразности передачи непрофильных функций на аутсорсинг, кредитные организации все чаще и чаще передают выполнение требований по защите информации, а также по контролю их выполнения на аутсорсинг. За собой они оставляют лишь функции по анализу результатов контроля и принятию стратегических и тактических решений по совершенствованию системы защиты.

Все вышеперечисленные способы контроля широко представлены на отечественном рынке услуг ИБ. При этом в настоящее время наблюдается смещение фокуса в сторону увеличения частоты выполнения контрольных проверок и замены ручных проверок автоматизированными. В этихусловиях происходит развитие рынка систем класса Business Intelligence и GRC.

Основные выводы, которые следует сделать из всего вышесказанного, заключаются в том, что при выполнении проектов по приведению к соответствию тому или иному требованию регулятора кредитной организации следует:

1. акцентировать внимание на ключевых этапах внедрения ИТ;

2. знать какие требования по защите информации следует обязательно выполнять;

3. иметь утвержденный порядок выполнения требований по защите информации с уче-

том интересов самой кредитной организации;

4. понимать отличия между требованиями по защите информации, целями по защите информации, механизмами защиты и контрольными мероприятиями;

5. применять только эффективные механизмы защиты;

6. осуществлять периодический контроль исполнения требований по защите информации на каждом этапе жизненного цикла внедрения ИТ.

7. рассматривать все возможные варианты реализации требований по защите информации с целью повышения эффективности.

Литература

1. Интернет-технологии в банковском бизнесе: перспективы и риски: учебно-практическое пособие/ Ю.Н.Юденков и др. - М.: КНОРУС, 2011. 8492 с.

2. Муратов С. Риски и выгоды 1Т-аутсорсинга. «Банковские технологии» № 2, февраль 2009.

3. Стратегия развития банка: монография / Пашков Р.В., Юденков Ю.Н. - 2-е изд.доп. и перераб. - М.: РУСАЙНС, 2016.

Ссылки:

1 Банковская энциклопедия.

2 Как правило, банк использует возможность привлечения сюрвейерских организаций на основе аутсорсинга, чтобы контролировать сохранностьзалогового имущества, в том числе проводить инвентаризацию, отслеживать состояние и движение имущества проблемных заемщиков, проводить экспертизу исходно-разрешительной и проектно-сметной документации при рассмотрении инвестиционных кредитных проектов, в том числе экспертизу удорожания реализуемых проектов.

3 Экономический эффект, должен выражаться в экономии не менее 20 % от соответствующих затрат до привлечения внешней компании. См. Гаври-лов В.Н. Аутсорсинг - зачем,

О À

es

5

i? 2

когда и сколько? «Бухгалтерский учет» № 11, июнь 2009.

4 «Совершенствование корпоративного управления в банковских организациях», рекомендации Базельского комитета по банковскому надзору. Февраль 2006 г.

5 Процедуры принятия решения при внедрении в практику аутсорсинга см. например, Муратов С. Риски и выгоды |Т-аут-сорсинга. «Банковские технологии» № 2, февраль 2009

6 Подробнее см. Юденков Ю.Н., Тысячникова Н.А., Санда-лов И.В., Ермаков С.Л.М. Интернет-технологии в банковском бизнесе: перспективы и риски. Учебно-практическое пособие.- М.: КНОРУС, 2011.

7 Там же. Стр.118.

Policy of information security and control of information streams in commercial bank

Yudenkov Yu.N.

Financial University under the Government of the Russian Federation

Economic security is the generalizing category of safety from a set of threats and includes: - information security; social safety; scientific and technical safety; energy security; nuclear safety; resource safety; innovative safety; legal safety; cultural safety; demographic safety; ecological safety; technical safety; religious, etc. The description of maintenance of information security and specifics of control of outsourcing as one of the directions of control of information streams is provided in article.

The following conclusions are drawn that at implementation of projects on reduction to compliance to this or that requirement of the regulator of credit institution follows: to focus attention on key stages of introduction of IT; the nobility what requirements for information security it is necessary to carry out surely; to have the approved order

of implementation of requirements for information security taking into account interests of the most credit institution; to understand differences between requirements for information security, the purposes for information security, mechanisms of protection and control actions; to use only effective mechanisms of protection; to exercise periodic control of execution of requirements for information security at each stage of life cycle of introduction of IT; to consider all possible options of implementation of requirements for information security for the purpose of efficiency increase.

Keywords: commercial bank, credit institutions, banking services, information security, information streams

1. Internet technologies in banking business: prospects and risks: an educational and practical grant / Yu.N.Yudenkov, etc. - M.: KNORUS, 2011. 84-92 pages.

2. Muratov S. Risks and benefits of IT

outsourcing. «Bank technologies» No. 2, February, 2009.

3. Strategy of development of bank:

Monograph / Pashkov R. V., Yudenkov Yu.N. - the 2nd u3fl.flon. and reslave. - M.: RUSAYNS, 2016.