В кредитных организациях должны быть разработаны специальные меры по обеспечению информационной безопасности, связанные с особенностями функционирования систем ДБО, включая защиту информационных и процессинговых ресурсов от неправомерного доступа на стороне провайдеров услуг. Руководителям кредитных организаций необходимо постоянно оценивать адекватность осуществляемых мероприятий по информационной безопасности современным угрозам и проводить анализ проблемных мест в распределенных компьютерных технологиях кредитной организации на постоянной основе. С целью предупреждения своих клиентов (использующих системы ДБО) о возможных мошеннических действиях со стороны компьютерных злоумышленников и наиболее эффективных способах защиты от них, в кредитных организациях должны быть организованы процессы по изучению материалов (в т.ч. на web-сайтах хакерских сообществ), связанных с появлением новых угроз информационной безопасности. В кредитных организациях, применяющих технологии ДБО, должна быть разработана не только политика информационной безопасности, но и политика управления обновлениями, т.к. использование скомпрометированного программного обеспечения и/или его устаревших версий может привести к реализации многих компонентов банковских рисков. Расследование происшествий информационной безопасности, которые связаны с неправомерным доступом в информационном контуре банковской деятельности технологии ДБО, должно быть организовано как самостоятельный процесс с фиксацией подтверждений атакующих действий в целях их анализа (в том числе при тестировании технологии ДБО на предмет вероятности неправомерного доступа к информационным ресурсам автоматизированной системы кредитной организации). |
особенностями функционирования систем электронного банкинга, включая защиту информационных и процессинговых ресурсов от неправомерного доступа на стороне провайдеров услуг. 2) Руководителям кредитных организаций необходимо постоянно оценивать адекватность осуществляемых мероприятий по информационной безопасности современным угрозам и проводить анализ уязвимостей в распределенных компьютерных системах кредитной организации на постоянной основе. 3) С целью предупреждения своих клиентов (использующих системы электронного банкинга) о возможных мошеннических действиях со стороны компьютерных злоумышленников и наиболее эффективных способах защиты от них, в кредитных организациях должны быть организованы процессы по изучению материалов (в т.ч. на web-сайтах хакерских сообществ), связанных с появлением новых угроз информационной безопасности. 4) В кредитных организациях, применяющих технологии ДБО, должна быть разработана не только политика информационной безопасности, но и политика управления обновлениями, т.к. использование скомпрометированного программного обеспечения и/или его устаревших версий может привести к реализации многих компонентов банковских рисков. 5) Расследование инцидентов информационной безопасности, связанных с несанкционированным доступом в информационном контуре банковской деятельности системы электронного банкинга должно быть организовано как самостоятельный процесс с фиксацией свидетельств атакующих воздействий для их последующего анализа (в том числе при проведении тестирования системы электронного банкинга на предмет возможного несанкционированного доступа к информационным ресурсам банковской автоматизированной системы кредитной организации). 6) Система обеспечения информационной безопасности в кредитной организации должна носить комплексный характер и строится на многоуровневой основе. 202 7. Обоснованы направления модернизации процедур финансового мониторинга в кредитной организации, оказывающих услуги электронного банкинга: -определено, что при использовании систем электронного банкинга, необходимо модернизировать процедуры финансового мониторинга, т.к. отсутствие прямого контакта при выполнении банковских операций между кредитными организациями и их клиентами может стать причиной скрытого вовлечения банка в схемы, направленные на легализацию преступных доходов; предложено внедрять специализированное аппаратно-программное обеспечение, позволяющее оперативно выявлять, подпадающие под критерии финансового мониторинга, ордера клиентов на выполнение банковских операций, а также внедрять риск-ориентированные подходы в методики проведения проверок подразделением финансового мониторинга и Службы внутреннего контроля банка. 8. Подготовлены рекомендации российским кредитным организациям по обеспечению информационной безопасности в условиях электронного банкинга: -рекомендовано топ-менеджерам российских кредитных организаций разрабатывать в банках специальные меры по обеспечению информационной безопасности, связанные с особенностями функционирования систем электронного банкинга; -организовать в банках самостоятельный процесс по расследованию инцидентов информационной безопасности (связанных с несанкционированным доступом в информационный контур банковской деятельности системы электронного банкинга) с фиксацией свидетельств атакующих воздействий для их последующего анализа (в том числе при проведении тестирования системы электронного банкинга на предмет возможного несанкционированного доступа к информационным ресурсам банковской автоматизированной системы кредитной организации). |