Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:
— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;
— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;
— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;
— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,
или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного[87]. Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.
В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.
Рис. 3.5. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления ВК
Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.
В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем[88]. При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода[89]. Можно отметить, что на рынке программно-информационных продуктов, предлагаемых банкам, уже появилась целая линейка средств обнаружения и предотвращения противоправной деятельности (модули, называемые «антифрод», «антидроп» и им подобные[90]).
В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:
— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;
— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;
— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;
— политика подбора надежного персонала;
— порядок ограничения использования мобильных носителей информации;
— порядок сбора информации о совершении компьютерных мошенничеств;
— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;
— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;
— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;
— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;
— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);
— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;
— порядок ведения, использования и защиты компьютерных журналов;
— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);
— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;
— порядок ведения претензионной работы с удаленными клиентами;
— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;
— порядок мониторинга профилей операционной деятельности клиентов;
— порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;
— порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.
Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.
Суммируя сказанное выше касательно технических мероприятий, необходимо также:
— разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;
— применение средств обнаружения сетевого мониторинга (sniffing’a);
— применение межсетевых экранов при соединении сегментов сетей;
— применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;
— применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;
— проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;
— ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;