МОДЕРНИЗАЦИЯ ОСНОВНЫХ БАНКОВСКИХ ПРОЦЕССОВ СВЯЗАННЫХ С ИНТЕРНЕТБАНКИНГОМ Презентацию

МОДЕРНИЗАЦИЯ ОСНОВНЫХ БАНКОВСКИХ ПРОЦЕССОВ, СВЯЗАННЫХ С ИНТЕРНЕТБАНКИНГОМ Презентацию подготовил студент группы 3391 Шляхтенко Александр

ПЛАН Целесообразно адаптировать как минимум следующие основные внутрибанковские процессы: Ø документарного обеспечения; Ø управления рисками банковской деятельности; Ø применения ИТ (информатизации или автоматизации); Ø обеспечения информационной безопасности (ОИБ); Ø внутреннего контроля (ВК); Ø финансового мониторинга (ФМ); Ø юридического (правового) обеспечения; Ø обслуживания клиентов (включая претензионную работу).

ЖИЗНЕННЫЙ ЦИКЛ создание внедрение Цель Условия Модель Информационнотехнологическая инфраструктура БАС Требуемое обеспечение Провайдеры Обязанности контроль адаптация Статистика Сопоставление Анализ Оценка

АДАПТАЦИЯ ВНУТРИБАНКОВСКОГО ДОКУМЕНТАРНОГО ОБЕСПЕЧЕНИЯ

КЛЮЧЕВЫЕ ПУНКТЫ 1. 2. 3. 4. 5. Составление документов «общебанковского уровня» ; Необходимо пересматривать процесс УБР; Подразделения ИТ должно осваивать новую информацию; Дополнительные меры отдела ОИБ; Необходимая квалификация ВК;

КЛЮЧЕВЫЕ ПУНКТЫ 6. 7. 8. 9. Учёт особенностей электронного банкинга, относящихся к ФМ; Модернизация юридического обеспечения банковской деятельности; Cовершенствование взаимодействия сервис -центра кредитной организации с клиентами ДБО Дополнение плана действий на случай ЧС;

АДАПТАЦИЯ УПРАВЛЕНИЯ БАНКОВСКИМИ РИСКАМИ

ЗОНЫ КОНЦЕНТРАЦИИ И ЗОНЫ КОНТРОЛЯ

ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ ДЛЯ ЭЛЕКТРОННОГО БАНКИНГА (БКБН) A. Наблюдение со стороны совета и руководства v 1. Эффективное наблюдение со стороны руководства за деятельностью в рамках электронного банкинга. v 2. Организация полноценного процесса контроля безопасности. v 3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ ДЛЯ ЭЛЕКТРОННОГО БАНКИНГА (БКБН) B. Средства обеспечения безопасности v v v v 4. Аутентификация клиентов в операциях электронного банкинга. 5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках электронного банкинга. 6. Должные меры по обеспечению разделения обязанностей. 7. Необходимые средства авторизации в системах электронного банкинга, базах данных и прикладных программах. 8. Целостность данных в транзакциях электронного банкинга, записях и информации. 9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга. 10. Конфиденциальность важнейшей банковской информации.

ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ ДЛЯ ЭЛЕКТРОННОГО БАНКИНГА (БКБН) C. Управление правовым и репутационным рисками. v 11. Правильное раскрытие информации для обслуживания в рамках электронного банкинга. v 12. Конфиденциальность клиентской информации. v 13. Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках электронного банкинга. v 14. Планирование реагирования на случайные события.

ОЦЕНКА СОСТОЯНИЯ УБР 1 – риски практически игнорируются 2 – о рисках только известно 3 – риски известны и определены 4 – есть процесс управления рисками 5 – управление рисками встроено в процессы

ЗАПАДНАЯ СИСТЕМА ОЦЕНКИ УБК Количество риска Качество риска Агрегированный риск Тенденция изменения риска

АДАПТАЦИЯ ИНФОРМАТИЗАЦИИ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ

ПРОБЛЕМНЫЕ ВОПРОСЫ ü ü ü ü отсутствие планирования информатизации (политики информатизации); неадекватное распределение ресурсов (остаточный принцип); нехватка квалифицированного персонала (слабое знание новых систем); недопустимое совмещение обязанностей (концентрация полномочий); недостатки сетевых архитектур (доступность, уязвимость и т. п. ); незнание технологий провайдеров (источников компонентов банковских рисков); недостаточный внутренний контроль (нехватка совокупной квалификации).

ВАРИАНТЫ АВТОМАТИЗАЦИИ 1) оригинальный собственный комплекс кредитной организации; 2) заказная разработка специализированной компанией-вендором; 3) приобретение комплекса системыа электронного банкинга, изготовленного «под ключ» .

ВАРИАНТЫ WEB-САЙТОВ Ø Ø Ø подразделение информатизации кредитной организации; аппаратный комплекс фирмы-разработчика web-сайта; аппаратный комплекс компании-провайдера.

АДАПТАЦИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ЗАЩИТА Разработать и внедрить процедуры контроля доступа к файлам данных Определение и описание защищаемых ресурсов с указанием их значимости для кредитной организации и ее клиентов. разработка специальной «политики управления обновлениями»

ДЕМИЛИТАРИЗОВАННАЯ ЗОНА

ЦИТАТА «Невозможность взломать компьютерную систему или проникнуть в вычислительную сеть не означает, что она безопасна, — это означает только то, что она неуязвима в данный момент для конкретного набора атак, а может быть и только то, что ее недостаточно испытывали на неуязвимость»

СПЕЦИФИЧЕСКИЕ ФАКТОРЫ 1. 2. 3. 4. 5. Брандмауэры — это только начало защиты; Не все «плохие парни» находятся вне организации; Человек — самое слабое звено в компьютерной системе; Пароли могут оказаться незащищенными; Хакеры могут незаметно наблюдать за деятельностью;

СПЕЦИФИЧЕСКИЕ ФАКТОРЫ Устаревшее программное обеспечение уязвимо; 7. Установки по умолчанию могут быть опасны; 8. Лучше всего жуликов ловят другие жулики; 9. Средства защиты от вирусов обычно неадекватны; 10. «Активное содержимое» может быть активнее, чем кажется; 6.

СПЕЦИФИЧЕСКИЕ ФАКТОРЫ Надежная вчера криптозащита ненадежна сегодня; 12. «Дверь черного хода» может оказаться открытой; 13. Не может быть «безвредных» атак; 11.

АДАПТАЦИЯ ВНУТРЕННЕГО КОНТРОЛЯ

ЗАКОНОДАТЕЛЬСТВО Положением Банка России от 16 декабря 2003 г. № 242 -П «Об организации внутреннего контроля в кредитных организациях и банковских группах»

ПРИНЦИПЫ БКБН Принцип 1. Совет директоров должен нести ответственность за утверждение и периодическую проверку общей бизнес-стратегии, понимание главных рисков, с которыми имеет дело банк, определение приемлемых уровней для этих рисков и гарантирование того, что высшее руководство принимает необходимые меры для идентификации, измерения, мониторинга и контроля этих рисков, утверждение организационной структуры, а также обеспечение мониторинга со стороны высшего руководства эффективности системы внутреннего контроля. Совет директоров является в конечном счете ответственным за гарантированную организацию и поддержание адекватной и эффективной системы средств внутреннего контроля.

ПРИНЦИПЫ БКБН Совету директоров банка рекомендуется включить в свою деятельность в части ВК: 1) регулярное обсуждение с руководством эффективности системы ВК; 2) своевременные запросы оценок средств ВК со стороны руководства, внутренних и внешних аудиторов; 3) периодический контроль выполнения руководством рекомендаций аудиторов и надзорных органов по устранению недостатков В К; 4) периодическую проверку следования стратегии банка и ограничению уровней банковских рисков. 5) Возможность формирования «аудиторского комитета»

РАСШИРЕНИЯ СОСТАВА ФУНКЦИЙ ВК Ø Ø Ø над содержанием и ведением web-сайта, используемого кредитной организацией; бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности; функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации; поставщиками программного обеспечения интернетбанкинга; мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.

АДАПТАЦИЯ ФИНАНСОВОГО МОНИТОРИНГА

ВОПРОСЫ ДЛЯ РАССМОТРЕНИЯ ü ü ü изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п. ; организация процесса доведения необходимой информации до клиентов ДБО, например, через офисы, web-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д. ; адаптация процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.

ПРИНЦИПЫ следует разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков, а также риска концентрации; политика и процедуры на уровне всех филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку; единые подходы для всех банков к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации способствуют координированию действий и делают контроль над этими рисками и управление ими более эффективным; подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков; между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками; контролирующий процесс должен включать информацию о клиентах и данные выписок по счетам клиентов.

ПРЕСТУПНЫЕ СХЕМЫ

АДАПТАЦИЯ ПРАВОВОГО ОБЕСПЕЧЕНИЯ ЭЛЕКТРОННОГО БАНКИНГА

ЗАКОНОДАТЕЛЬСТВО «Платежи на территории Российской Федерации осуществляются путем наличных и безналичных расчетов» ст. 140 ГК РФ «Осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам» ФЗ «О банках и банковской деятельности»

ЗАКОНОДАТЕЛЬСТВО 2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон» .

АДАПТАЦИЯ РАБОТЫ С УДАЛЕННЫМИ КЛИЕНТАМИ

ВОПРОСЫ ДЛЯ РАССМОТРЕНИЯ — осуществление ДБО, эксплуатацию СЭБ и сопровождение функционирования поддерживающих его компьютерных систем; — изучение структуры типичных банковских рисков и определение их компонентов, уровни которых могут оказаться значимыми; — выделение значимых компонентов банковских рисков, источники которых концентрируются в клиентской зоне риска; — определение последствий реализации выделенных компонентов банковских рисков, их структурной принадлежности и влияния; — определение мероприятий, подлежащих выполнению для исключения или парирования влияния компонентов банковских рисков.

ПРАВИЛА — технические проблемы с инсталляцией дистрибутива необходимо решать с помощью службы ТП кредитной организации или ее сервис-центром, а не со случайными специалистами; — никакие средства дистанционного доступа ни в коем случае нельзя передавать посторонним или даже доверенным лицам, если специальные права таких лиц не зафиксированы документально и не верифицированы в сеансе; — необходимо при инициации сеанса препятствовать доступу к вводимым данным персональной идентификации со стороны посторонних лиц и сослуживцев; — пользоваться только и исключительно теми средствами и каналами связи, которые указаны в официальных документах кредитной организации; — своевременно сообщать в сервис-центр кредитной организации или по ее «горячей» линии о любых случаях компрометации средств и (или) данных персональной идентификации; — при телефонном обращении якобы от имени кредитной организации требовать предоставления уникальной подтверждающей информации и предлагать самому перезвонить по одному из заведомо истинных номеров телефона; — перед тем как вставить пластиковую карту в приемный слот банкомата, необходимо убедиться в отсутствии каких-либо накладок или вкладных элементов, а также в отсутствии стороннего наблюдения.