Применение технологий электронного банкинга: риск-ориентированный подход - страница 40

– организация оперативного восстановления массивов банковских и клиентских данных, целостность которых может оказаться нарушенной из-за прерывания сеанса ДБО, для чего требуется формирование и поддержание соответствующего архива и порядок его использования;

– включение в текст контрактов с провайдерами, от которых зависит непрерывность функционирования ИКБД, положений, устанавливающих порядок действий сторон в форс-мажорных обстоятельствах, их обязанности, ответственность, порядок разрешения спорных ситуаций и компенсации ущерба.

Точный перечень указанных вопросов, связанных с компонентами правового риска, как и для операционного риска, определяется специалистами кредитной организации с учетом специфики ее БАС, систем электронного банкинга, видов провайдеров, состава услуг, предоставляемых в рамках ДБО, возможных сетевых и вирусных атак, средств защиты от них и т.п.

Потенциальное влияние тех компонентов правового риска, которые сопутствуют компрометации банковских информационных ресурсов, обусловлено недостатками в обеспечении информационной безопасности кредитной организации. Они могут иметь место из-за новизны/сложности ТЭБ или недостаточного освоения внедренной в ней СЭБ. На практике его причины кроются в неполноте предусмотренных моделей и сценариев развития угроз, предполагаемых для конкретного ИКБД, связанного с этой технологией. Одним из наиболее серьезных факторов риска при этом является квалификационный «разрыв» между специалистами подразделений ИТ и обеспечения информационной безопасности кредитной организации: первые отвечают за непрерывность и функциональность БАС и СЭБ и могут не располагать полным знанием сопутствующих последней из них угроз, последние же могут не полностью представлять технические механизмы реализации этих угроз. Результатом становятся «дыры» в периметре безопасности кредитной организации, который, кстати, в условиях электронного банкинга может приобретать весьма сложную форму – если эксплуатируется несколько разнородных систем ДБО и имеется несколько видов пользователей их и БАС.

Действие упомянутого разрыва проявляется не только в несоответствии квалификаций. Часто во избежание этого в условиях бюджетных и ресурсных ограничений практически все полномочия системного уровня вынужденно концентрируются в подразделении ИТ кредитной организации. Это относится к таким специализациям, как администрирование банковских автоматизированных систем и систем ДБО, локальных вычислительных сетей, баз данных и информационной безопасности. Тем самым создается опасность чрезмерной концентрации системных полномочий в руках очень небольшого контингента высококвалифицированных специалистов. Подобная ситуация осложняется тем, что контролировать возможные негативные проявления так называемого «человеческого фактора» при этом становится практически невозможно (в организации отсутствуют независимые специалисты с сопоставимой или более высокой квалификацией в области ИТ, чем у таких «супер-админов»), так что не может идти и речи о выполнении принципа «четырех глаз»[58]. В условиях осуществления банковской деятельности в виртуальном пространстве это может оказаться весьма серьезным фактором и операционного, и правового, и репутационного, а вслед за ними и стратегического рисков (а для клиентов такой организации, как следствие, – риска неплатежеспособности по их счетам в какой-то момент).