|
недостатки в обеспечении информационной безопасности данных о клиентских операциях (суммы сделок, номера счетов, наименование контрагентов и т.д.); недостаточная производительность информационных систем и пропускная способность информационно-телекоммуникационных сетей провайдеров, задействованных в информационном контуре системы ДБО1; несоблюдение своих обязательств поставщиками услуг (исполнителями работ) договорных обязательств перед провайдерами; ненадлежащая защищенность информационных систем провайдеров от воздействия сетевых атак; недостаточная организация информационных потоков, внутрибанковских процедур и процессов, а также обеспечения информационной безопасности как в самом банке, так и у провайдеров; действия в отношении кредитной организации неправомерного характера, например, доступа с применением интернет-технологий к ее информационным ресурсам, в том числе при (для) совершении(я) преступных действий; ошибки и (или) сбои в работе аппаратно-программного обеспечения технологий ДБО, которые применяет кредитная организация; ошибки служащих банка, его клиентов или провайдеров (в том числе разработчиков программного обеспечения технологий ДБО), а также недостаточный уровень контроля (в том числе программного) за возможностью их осуществления; невыполнение кредитной организацией обязательств перед клиентами из-за ненадлежащего качества аппаратно-программного обеспечения технологий ДБО; В Письме Банка России № 36-Т от 31 марта 2008 года №36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» информационный контур дистанционного банковского обслуживания определен как совокупность аппаратно-программного обеспечения и технических средств (включая средства связи) кредитной организации и ее провайдеров, обеспечивающих удаленное (вне места нахождения кредитной организации и ее подразделений) информационное взаимодействие кредитной организации и ее клиентов. |
86 информационной безопасности как в самой кредитной организации, так и у провайдеров; нарушения непрерывности функционирования используемых для электронного банкинга информационных систем кредитной организации по причине аварий, отказов, сбоев оборудования и программного обеспечения самой кредитной организации или ее провайдеров; -ошибки и(или) сбои в работе аппаратно-программного обеспечения, применяемого кредитной организацией для систем электронного банкинга, которые могут привести к нарушениям целостности данных в информационном контуре системы электронного банкинга; -действия в отношении кредитной организации в виде неправомерного доступа с применением систем удаленного доступа к ее информационным ресурсам, в том числе для совершения преступных действий; -недостаточная производительность и защищенность информационных систем и информационно-телекоммуникационных сетей как в самой кредитной организации, так и на стороне провайдеров; ошибки служащих кредитной организации, ее клиентов или провайдеров (в том числе разработчиков программного обеспечения систем электронного банкинга и устройств, входящих в информационный контур электронного банкинга), а также недостаточный уровень контроля (в том числе программного) за возможностью их совершения; невыполнение провайдерами договорных обязательств перед кредитной организацией; невыполнение кредитной организацией обязательств перед клиентами из-за ненадлежащего качества аппаратно-программного обеспечения систем электронного банкинга; хищения денежных средств путем неправомерного использования ключа электронной цифровой подписи. Причинами возникновения правового риска при применении в кредитной организации систем электронного банкинга могут являться: 150 регулирующих органов. Так, в апреле 2007 г. Банк России выпустил несколько нормативных документа, связанных с особенностями обслуживания клиентов, использующих технологии ДБО1. В них, в частности, говорится, что кредитным организациям рекомендуется включать в договоры право кредитной организации отказывать клиенту в приеме от него распоряжения на проведение операции по банковскому счету (вкладу), подписанному аналогом собственноручной подписи, а также учитывать риски при использовании технологии ДБО. 1 Письма Банка России от 05.04.2007 № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)», от 27.04.2007 № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)», от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании» и от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернетбанкинга». Отметим, что письма Банка России носят рекомендательный характер для кредитных организаций и не могут в полной мере выполнять регулирующую роль. В связи с этим для создания менее благоприятных условий для преступников, которые сознательно заключали договора с кредитными организациями на ДБО, требуется устанавливать более жесткие требования по идентификации клиентов с обязательным в дальнейшем контролем их деловой активности. В сегодняшних условиях можно предложить кредитным организациям самостоятельно принимать решения по внедрению более сложных мер по контролю за деятельностью клиентов, использующих для выполнения своих операций технологии ДБО и особенно системы электронного банкинга. Положительным фактором могло бы стать поощрение подобных нововведений в кредитных организациях со стороны регулирующих органов. Современный банковский надзор основывается на риск-ориентированном подходе. В связи с этим следует разрабатывать нормативные документы, в соответствии с которыми во всех кредитных организациях должны быть методики по выявлению сомнительных операций (сделок) с использованием системы электронного банкинга, учитывающие особенности сложившегося 207 30. Письмо Банка России от 13 марта 2008 года № 24-Т «О повышении эффективности работы по предотвращению сомнительных операций». 31. Письмо Банка России от 4 июля 2008 года № 80-Т «Об усилении контроля за отдельными операциями физических и юридических лиц с векселями». 32. Письмо Банка России от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга». 33. Письмо Банка России от 7 декабря 2007 года № 197-Т «О рисках при дистанционном банковском обслуживании». 34. Письмо Банка России от 31 марта 2008 года №36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга». 35. Письмо Банка России от 3 сентября 2008 года №111-Т «О повышении эффективности работы по предотвращению сомнительных операций клиентов кредитных организаций». 36. Письмо Банка России от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания». 37. Письмо Банка России от 23 октября 2009 года № 128-Т «О рекомендациях по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет». 38. Письмо Банка России от 02.10.2009 № 120-Т «О памятке «О мерах безопасного использования банковских карт». 39. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010. 40. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. |