Основные принципы управления рисками электронного банкинга

На основании проведенной ранее работы EBG БКБН пришел к выводу, что традиционные принципы управления банковскими рисками применимы к деятельности в области ЭБ. Комплексные характеристики каналов доведения услуг через Интернет вынуждают приспосабливать эти принципы ко многим банковским онлайновым операциям и соответствующим сопутствующим проблемам управления рисками.

БКБН полагает, что банкам потребуется разработка процессов управления рисками, соответствующих их индивидуальному профилю риска, функциональной структуре и культуре корпоративного управления, наряду с учетом соответствия специфическим требованиям и политике по управлению рисками, установленным органами банковского надзора в рамках конкретной юрисдикции (или нескольких).

Принципы управления рисками при осуществлении ЭБ делятся на три широкие и часто перекрывающиеся тематические категории (рис. 8). Однако эти принципы не ранжируются по степени их предпочтения или значимости. Все зависит от приоритетов, которые устанавливаются в каждой конкретной кредитной организации.

А. Наблюдение со стороны совета директоров и высшего руководства.

В данном документе БКБН считается, что структура управления состоит из совета директоров и высшего руководства. БКБН осознает, что в разных странах существуют значительные различия в законодательных и регулятивных схемах, касающихся функций совета директоров и высшего руководства банков. В некоторых странах такой совет обладает главной, если не исключительной функцией надзора за исполнительным органом (высшим руководством, основным руководством) с точки зрения обеспечения выполнения последним своих обязанностей. По этой причине он иногда называется надзирающим советом. Напротив, в других странах компетенция такого совета шире и включает определение структуры основного руководства банков. Из-за различий такого рода сами термины «совет директоров» и «высшее руководство» используются для обозначения двух функций, связанных с принятием решений в банках, но не для определения узаконенных структур.

Принципы 1-3:

  1. Эффективное наблюдение со стороны руководства за деятельностью в рамках ЭБ.
  2. Организация полноценного процесса контроля безопасности.
  3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

B.  Средства обеспечения безопасности

Принципы 4-10:

  • Аутентификация клиентов в операциях ЭБ.
  • Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках ЭБ.
  • Должные меры по обеспечению разделения обязанностей.
  • Необходимые средства авторизации в СЭБ, базах данных и прикладных программах.
  • Целостность данных в транзакциях ЭБ, записях и информации.
  • Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках ЭБ.
  • Конфиденциальность важнейшей банковской информации.

C. Управление правовыми и репутационными рисками

Принципы 11-14:

  • Правильное раскрытие информации для обслуживания в рамках ЭБ.
  • Конфиденциальность клиентской информации.
  • Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках ЭБ.
  • Планирование реагирования на случайные события.

Каждый из перечисленных принципов обсуждается более подробно в последующих разделах в той мере, в какой они относятся к ЭБ и базовым принципам управления рисками. Там, где уместно, предлагаются дополнительные примеры правильной организации, которые могут рассматриваться как эффективные способы работы с этими рисками.

Стратегия допустимого использованияСтратегия допустимого использования

Целью стратегии приемлемого использования является установление стандартов безопасности использования компьютерного оборудования и услуг компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных ресурсов и личной информации. Злоупотребление компьютерным оборудованием

Принципы нулевого доверия

Так вы сможете успешно внедрить принцип нулевого доверия в своей компанииТак вы сможете успешно внедрить принцип нулевого доверия в своей компании

Доверие — это хорошо, но нулевое доверие — лучше: чтобы снизить риски ИТ-безопасности для компаний, в соответствии с принципом нулевого доверия предоставляется как можно меньше авторизаций. Строго избегается необоснованное доверие

gost 3

Терминология, применяемая по ГОСТ Р 57580.2Терминология, применяемая по ГОСТ Р 57580.2

Используемая в ГОСТ Р 57580.2 терминология во многом соответствует терминологическому аппарату стандарта ГОСТ Р 57580.1. Кроме того в ГОСТ Р 57580.2 используется ряд следующих специфических терминов, связанных непосредственно с процедурой