Основные принципы управления рисками электронного банкинга

На основании проведенной ранее работы EBG БКБН пришел к выводу, что традиционные принципы управления банковскими рисками применимы к деятельности в области ЭБ. Комплексные характеристики каналов доведения услуг через Интернет вынуждают приспосабливать эти принципы ко многим банковским онлайновым операциям и соответствующим сопутствующим проблемам управления рисками.

БКБН полагает, что банкам потребуется разработка процессов управления рисками, соответствующих их индивидуальному профилю риска, функциональной структуре и культуре корпоративного управления, наряду с учетом соответствия специфическим требованиям и политике по управлению рисками, установленным органами банковского надзора в рамках конкретной юрисдикции (или нескольких).

Принципы управления рисками при осуществлении ЭБ делятся на три широкие и часто перекрывающиеся тематические категории (рис. 8). Однако эти принципы не ранжируются по степени их предпочтения или значимости. Все зависит от приоритетов, которые устанавливаются в каждой конкретной кредитной организации.

А. Наблюдение со стороны совета директоров и высшего руководства.

В данном документе БКБН считается, что структура управления состоит из совета директоров и высшего руководства. БКБН осознает, что в разных странах существуют значительные различия в законодательных и регулятивных схемах, касающихся функций совета директоров и высшего руководства банков. В некоторых странах такой совет обладает главной, если не исключительной функцией надзора за исполнительным органом (высшим руководством, основным руководством) с точки зрения обеспечения выполнения последним своих обязанностей. По этой причине он иногда называется надзирающим советом. Напротив, в других странах компетенция такого совета шире и включает определение структуры основного руководства банков. Из-за различий такого рода сами термины «совет директоров» и «высшее руководство» используются для обозначения двух функций, связанных с принятием решений в банках, но не для определения узаконенных структур.

Принципы 1-3:

  1. Эффективное наблюдение со стороны руководства за деятельностью в рамках ЭБ.
  2. Организация полноценного процесса контроля безопасности.
  3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

B.  Средства обеспечения безопасности

Принципы 4-10:

  • Аутентификация клиентов в операциях ЭБ.
  • Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках ЭБ.
  • Должные меры по обеспечению разделения обязанностей.
  • Необходимые средства авторизации в СЭБ, базах данных и прикладных программах.
  • Целостность данных в транзакциях ЭБ, записях и информации.
  • Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.
  • Конфиденциальность важнейшей банковской информации.

C. Управление правовыми и репутационными рисками

Принципы 11-14:

  • Правильное раскрытие информации для обслуживания в рамках ЭБ.
  • Конфиденциальность клиентской информации.
  • Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках ЭБ.
  • Планирование реагирования на случайные события.

Каждый из перечисленных принципов обсуждается более подробно в последующих разделах в той мере, в какой они относятся к ЭБ и базовым принципам управления рисками. Там, где уместно, предлагаются дополнительные примеры правильной организации, которые могут рассматриваться как эффективные способы работы с этими рисками.

Тестировщик безопасности

Тестировщик безопасности — самая ответственная работа в технологической отрасли?Тестировщик безопасности — самая ответственная работа в технологической отрасли?

Если учесть скорость технологических изменений, развитие киберпреступности и требования к управлению рисками, то тестировщик безопасности — чрезвычайно ответственная работа в сфере ИТ-безопасности. Стоит взглянуть на то, как тестировщики безопасности преодолевают

Аппаратный модуль доверенной загрузкиАппаратный модуль доверенной загрузки

Первым, с чего началась практическая реализация парадигмы аппаратной защиты в нашей стране и в мире, стало средство защиты информации от несанкционированного доступа (СЗИ НСД) «Аккорд-АМДЗ», положившее начало линейке «Аккорд». «Аккорд-АМДЗ»

Защита от кибератак

Защита человека от кибератакЗащита человека от кибератак

За каждой угрозой, даже высокоавтоматизированной, всегда стоит человек. Современные хакеры всегда ищут новые и лучшие стратегии атак. Автоматизированная защита здесь часто терпит неудачу, поскольку угрозы не подчиняются правилам. Это болезненный