Web-отношения возникают у кредитной организации фактически уже при выходе ее в Сеть, с начала использования ею какого-либо web-представительства. Функционирование web-сайта определяется преимущественно тем АПО, на котором он реализован. Если возникают какие-то неблагоприятные ситуации, обусловленные авариями, отказами оборудования, сбоями программного обеспечения и т. п., то многое в организации внутрибанковских процессов в кредитной организации, связанных с ее web-представительствами, зависит от дислокации конкретного сайта и условий его функционирования (в том числе документально зафиксированных).

В том случае, когда «хозяином» web-сайта в полном смысле является сама организация и необходимые для нормальной работы в Сети web-сервера, брандмауэры, прокси-сервера, почтовые сервера и другое оборудование установлено непосредственно на ее территории и являются ее собственностью, все проблемы, как правило, оперативно решаются ее же персоналом. Впрочем, здесь многое зависит от того, достаточен ли этот персонал для обслуживания СЭБ, имеет ли он необходимую квалификацию, как организованы дежурные смены (при круглосуточном банковском обслуживании), все ли необходимые положения имеются в должностных инструкциях и планах действий на случай чрезвычайных обстоятельств, доведены ли они до конкретных исполнителей (реально) и т. п.

В случае размещения web-сайта кредитной организации на средствах сторонних организаций (интернет-провайдера, компании-разработчика web-сайта и др.) ситуация может измениться радикально. Прежде всего процесс внедрения ДБО следует начинать с выбора провайдера и определения отношения с ним. Если вернуться к материалам органов банковского регулирования и надзора США, то, скажем, FFIEC рекомендует кредитным организациям внедрение специальных процессов управления компонентами рисков, которые включают выявление, измерение, мониторинг и контроль рисков, связанных с технологическим обслуживанием в рамках аутсорсинга. В его рекомендациях описываются следующие 4 ключевых процесса для учета кредитными организациями таких рисков: «1) оценка риска, 2) выбор провайдера услуг, 3) определение содержания аутсорсинга и 4) проверка контрактов и текущий мониторинг провайдеров услуг». В данной книге это компоненты процесса взаимодействия с провайдерами, рассмотренного в главе 5.

Отдельного рассмотрения требует такой вариант ДБО, при котором различные его виды предлагают как головной офис кредитной организации, так и ее филиалы (в первую очередь это относится к интернет-банкингу). В оптимальном варианте этой деятельности предполагается, что вся банковская «субсистема» такой кредитной организации (имея в виду в совокупности ее головной офис, филиалы, отделения, представительства и прочие возможно выделенные подразделения) действует исходя из принятой в ней соответствующей корпоративной политики, в которой помимо организационно-технологических аспектов предусмотрен аналог «группового подхода», описанный БКБН. Проще говоря, ведение и сопровождение web-сайта головным офисом кредитной организации и, например, любым ее филиалом не должны иметь принципиальных различий и характеризоваться пруденциальным подходом. Это относится и к определению и модернизации информационного контента web-сайта, и к обеспечению его функциональной доступности, и к контролю над целостностью контента, и к контролю и резервированию функциональных возможностей, и т. д.

Важно подчеркнуть, что практически все web-отношения образуются и поддерживаются именно в ИКБД и через его посредство. То же самое относится к расширенному в случае ДБО через Интернет периметру информационной безопасности кредитной организации, который «проходит» и через клиентскую зону ответственности, и через программно-технические средства, принадлежащие провайдерам кредитной организации, и через информационные сечения в структурах локальных и зональных вычислительных сетей и т. п.

Содержание web-отношений во многом зависит от того, как создавались web-сайты, используемые кредитной организацией. По мнению автора, такие представительства в Сети в современном мире являются «одним из ее лиц», однако документы, регламентирующие разработку (или подход к ней), ведение, сопровождение и контроль web-сайтов, утвержденных на сколько-нибудь значимом уровне внутрибанковской управленческой иерархии, в большинстве кредитных организаций найти не удается. Понятно, что в этом случае причины отсутствия руководящего банковского внимания к «каким-то там» web-сайтам все те же, но на сегодняшний день уже не одна отечественная кредитная организация столкнулась с направленными в «ее web-адрес» проявлениями «недобросовестной конкуренции».

Как бы то ни было, вне зависимости от расположения и ведения web-сайтов, используемых кредитной организацией, ее руководству целесообразно помнить, что любое представительство в Сети ориентировано на клиентуру, а значит, и управление этим (или используемым, но тогда, как минимум — контроль над) представительством логично основывать, опираясь на концепции упоминавшегося ранее клиент-ориентированного бизнеса. После принятия такого решения, как правило, требуется разработка сценариев развития для возможных неблагоприятных событий и реакций клиентов на них в тех случаях, когда проработка таких сценариев недостаточна.

Возможно, столь глубокое проникновение в проблематику «web-обусловленных» источников и факторов риска покажется чрезмерным, однако, поскольку к настоящему времени в банковском секторе получила распространение технология так называемых «web-порталов», предлагаемый подход уместно принять к сведению. Конечно, многие из web-сайтов кредитных организаций содержат web-связи с другими сайтами, которые этими организациями непосредственно не контролируются. Как минимум, руководству таких организаций следует знать о связанных с этими обстоятельствами возможных рисках и предпринимать соответствующие шаги для контроля над ними. Любой же контроль, очевидно, опять-таки являет собой некий упорядоченный процесс, который в оптимальном варианте инициируется и определяется именно органами управления кредитной организации. Наибольшее число web-отношений, в которые вступает кредитная организация при «выходе в Сеть», можно классифицировать по трем видам:

взаимодействие с клиентами через посредство web-pecypcoв, обеспечивающих предоставление банковских услуг;

взаимодействие с провайдерами, обеспечивающими кредитную организацию web-ресурсами;

взаимодействие с другими web-ресурсами через посредство гиперссылок (web-связей).

Первый случай характеризуется возможностями прямого проявления влияния «интернет-компонентов» банковских рисков через структуры распределенных компьютерных систем, второй — негативным проявлением наличия как сторонних организаций в ИКБД, так и функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами, третий же представляет собой взаимодействие опосредованное, но, как свидетельствует практика, также связанное с факторами банковских рисков. При этом уровни сопутствующих компонентов таких рисков прямо зависят как от архитектурных сетевых решений, так и от содержания контрактов, определяющих обязательства сторон при осуществлении и обеспечении ДБО.

В части причин возникновения новых и совершенно немотивированных причин нежелательного смещения профиля риска кредитной организации сказанное отражается на всех видах web-отношений. Прежде всего необходимо отметить, что в кредитных организациях, как правило, отсутствуют внутрибанковские документы, содержащие описание распределения ответственности в отношении тех или иных провайдеров по подразделениям. Точно так же, как правило, «по умолчанию» принимается, что вся необходимая кредитной организации работа в части доступа к ресурсам Интернета и использования web-представительств планируется, организуется и реализуется ее подразделением, отвечающим за ИТ «вообще» (информатизацию или автоматизацию). При этом, как следствие, в кредитной организации отсутствует официально утвержденное формальное описание распределения обязанностей и ответственности по видам соответствующих провайдеров. Результатом этого оказывается полная зависимость содержания и качества процесса взаимодействия с провайдерами от менеджеров среднего уровня (развития процесса), а то и от отдельных исполнителей, которые в отсутствие регламентирующих внутрибанковских документов начиная с порядка использования СЭБ действуют в рамках своего понимания этой проблематики — т. е. сути и степени зависимости банковской деятельности от конкретных провайдеров — и собственной квалификации (уровень 2).

Вместе с этим необходимо подчеркнуть, что возникновение и необходимость сопровождения web-отношений нередко не воспринимаются руководством кредитной организации как специфическая и достаточно важная для самой организации и ее клиентов задача (за исключением примеров, относящихся к крупным кредитным организациям, обладающим собственными департаментами ИТ). Вследствие этого возникновение и развитие таких отношений «автоматически» относится на сотрудников упомянутых подразделений, как правило, без учета возрастающей функциональной нагрузки, поскольку о содержании и объеме соответствующих обязанностей лица, принимающие решения, имеющие отношение к использованию кредитной организации представительств в Интернете, зачастую не знают. Эта нагрузка увеличивается по мере расширения присутствия кредитной организации в Сети, однако в рамках корпоративного управления банковской деятельностью этому зачастую не уделяется должного внимания. Это, кстати, относится не только к технологии ИБ, ситуация совершенно аналогична для любых вариантов ДБО.

Точно так же и ответственность за выбор провайдеров кредитной организации, организацию и контроль взаимоотношений с ними, а также их состояния с точки зрения их надежности, в кредитных организациях документально чаще всего не определена, поскольку считается, что для решения любых вопросов такого рода достаточно действий менеджеров среднего звена, действующих в рамках своей компетенции. Следствием такого подхода может оказаться (как минимум) чрезмерно затратная политика кредитной организации в отношении провайдеров и повышение уровней компонентов банковских рисков, которые зависят от качества выполнения своих функций провайдерами. Крайним же негативным вариантом может оказаться потеря контроля со стороны кредитной организации над функционированием web-pecypcoB, используемых ею в процессе банковской деятельности, следствием чего может стать возникновение неожиданных «web-неприятностей» и повышение уровней типичных банковских рисков. Ситуация с учетом потенциальных источников компонентов этих рисков может усугубиться, если в организации отсутствует специализированный внутрибанковский процесс управления web-сайтами и контроля их функционирования.

 

6.1. Web-отношения с клиентами

Частично вопросы организации и обеспечения взаимоотношений кредитной организации с клиентами ДБО были рассмотрены в главе 5, здесь же кратко рассматриваются их дополнительные особенности в рамках уже web-отношений, связанные, как отмечалось выше, с возможностями влияния компонентов типичных банковских рисков через распределенные компьютерных системы. Типичная ситуация характеризуется тем, что недостаточно «компьютерно-грамотный» клиент, использующий ДБО через некую СЭБ, заведомо принимает на себя дополнительные компоненты рисков банковской деятельности, как минимум, операционного риска (но не только). В то же время, поскольку клиенты кредитной организации при реализации таких компонентов банковских рисков всегда предъявляют претензии к ней (а не к провайдеру), для нее они трансформируются в компоненты правового, репутационного и стратегического рисков. Эффекты такого рода обычно классифицируются в качестве так называемого «взаимного влияния рисков», и учитывать их в методике управления рисками наиболее сложно.

Причина заключается в незнании клиентов того, что представляет собой ИКБД и какие «клиентские риски» целесообразно учитывать пользователю конкретной СЭБ (в части самого себя), а виновата в этом кредитная организация, точнее, отсутствие в ней установленного порядка информирования клиента об особенностях ТЭБ и СЭБ, которую он намерен использовать (а ее ВК, то есть представитель этой службы, и сотрудник операционного подразделения, входящий в СВК, не обратили на это внимания). Сказанное выше не означает, безусловно, что технология ИБ или использование web-порталов представляют «безусловную угрозу» интересам клиентов кредитной организации или ее самой, речь идет только о желательности внимательного отношения к реализующим эти технологии проектам, их жизненным циклам и сопутствующим факторам возникновения и источникам компонентов банковских рисков. Начинается такое внимание, как правило, с организации взаимоотношений кредитной организации со своими клиентами и с провайдерами, тем более что разработкой и «продвижением» web-сайтов занимается все-таки меньшая часть кредитных организаций. Это в основном наиболее крупные из них, исповедующие принцип «если хочешь, чтобы работа была сделана так, как надо, сделай ее сам». Для большинства других организаций, особенно небольших, это неприемлемо (как и самостоятельное решение многих других вопросов, связанных с автоматизацией банковской деятельности, применением банковских автоматизированных систем, систем электронного документооборота и систем электронного банкинга).

На первый план с точки зрения возникновения новых компонентов банковских рисков в связи с клиентами ДБО выходит их недостаточная техническая и правовая подготовка, они могут неточно понимать (или просто не понимать) условия соглашений по ДБО, заключенных ими с кредитной организацией. С учетом этого руководству кредитной организации целесообразно заблаговременно организовать (на официальной основе) тесное взаимодействие между специалистами подразделений ИТ, ОИБ и правового обеспечения как с целью проработки возможных негативных сценариев претензионной деятельности при возникновении каких-либо инцидентов в ИКБД, так и в плане разработки точных инструкций для клиентов ДБО (по их вариантам), а также при необходимости по личному участию в переговорах.

Мало того, изучение претензионной практики, сложившейся за последние несколько лет, свидетельствует, что помимо «компьютерной безграмотности», следствием которой являются нередко весьма ощутимые финансовые потери клиентов (в десятки тысяч и миллионы рублей, часть которых, впрочем, часто удается все-таки вернуть, хотя это стоит определенных затрат нервов, времени и денег), у кредитных организаций пытаются отсудить немалые денежные суммы и недобросовестные клиенты ИБ, предъявляющие претензии относительно имевших якобы место хищений их финансовых средств либо неведомыми хакерами, либо инсайдерами кредитной организации, что случилось как бы из-за недостатков в обеспечении информационной безопасности. Может также инсценироваться компрометация или утрата средств дистанционного доступа к информационно-процессинговым ресурсам ИБ и т. п. К тому же часто традиционно считается, что недопустимо подозревать в клиенте, желающем перейти на ДБО, потенциального или отъявленного мошенника (в отсутствие заведенного на него уголовного дела). Тем не менее известная практика дает серьезные основания для того, чтобы в кредитной организации по мере оказания удаленным клиентам банковских услуг формировалась такая доказательная база, которая позволяла бы при необходимости детально проанализировать содержание тех или иных web-отношений в течение конкретных сеансов информационного взаимодействия клиента с СЭБ, чтобы затем адекватно аргументировать позицию кредитной организации в суде. Разные кредитные организации относятся к этой проблематике также различно: одни хранят данные по проведенным операциям в течение суток и если за это время не возникло конфликтных ситуаций, просто уничтожают их, другие, располагающие ресурсами хранилищ данных, накапливают терабайты информации по операциям ДБО, проведенным за годы. Опять-таки, для этого может потребоваться как специальная технологическая и сеансовая информация, так и понимание ее назначения, способов получения, содержания и, самое главное, ее значения лицами, принимающими судебные решения.

Следует добавить, что действия клиентов могут представлять реальные угрозы для кредитной организации, реализующиеся через репутационный, правовой, а то и стратегический риски, тем более в современных условиях отмечавшейся «интернетизации» общественной жизни, т. е. возможностей распространения негативной информации через web-сайты, чаты, форумы, рассылки электронной почтой и т. п. Модели таких спорных ситуаций, соответствующих угроз и алгоритмы их парирования также лучше иметь наготове в кредитной организации (подготовить заранее). Еще лучше заведомо поставить клиента ДБО в такие условия, в которых он даже при «противоправном желании» не смог бы нанести ущерб ни кредитной организации (как «имиджевый», так и финансовый), ни другим ее клиентам.

Решающая роль при этом отводится руководству кредитной организации, сознающему наличие дополнительных факторов возникновения источников компонентов банковских рисков, связанных с удаленными клиентами, т. е. концентрирующихся в ее «клиентской» зоне ответственности. Полезно также и в плане УБР и претензионной работы формировать описания процедур, защищающих кредитную организацию в процессе претензионной работы, впрочем, не забывая об обязательствах в отношении клиентов ДБО.

 

6.2. Web-отношения с провайдерами

Возникновение новых источников компонентов банковских рисков вызвано как самим наличием сторонних организаций в ИКБД, так и появлением функциональной зависимости от них информационного взаимодействия кредитной организации с клиентами. Указанные источники в документах, регламентирующих УБР в кредитной организации, ранее не описывались и не анализировались, а следовательно, в составляющих этот процесс процедурах не отражались. Эти источники (как, впрочем, и во всех остальных случаях возникновения web-отношений) желательно выявлять и анализировать с позиций возможно более полного понимания организационных, технологических и технических причин возникновения потенциальных угроз надежности банковской деятельности на основе четкого представления состава и структуры ИКБД, а также ролевых функций всех его участников. При этом целесообразно помнить, что каждому из них свойственна своя специфика, которая подлежит точно такому же специальному учету в частных процедурах общего процесса УБР в условиях ДБО.

Вопросы пруденциального формирования и поддержания кредитными организациями web-отношений со своими провайдерами актуальны прежде всего в отношении тех компаний, которые непосредственно содействуют им в использовании представительств в Сети для взаимодействия с реальной и потенциальной клиентурой. К числу таких провайдеров относятся компании, которые предоставляют услуги связи и обеспечивают необходимый кредитной организации трафик, и компании, которые создают для нее web-сайты и обеспечивают их функционирование на своих производственных мощностях, а также предоставляют техническое сопровождение (в этом качестве могут выступать интернет-провайдеры, разработчики web-сайтов, компании-интеграторы и т. п.). В зависимости от конкретной функциональной роли того или иного провайдера отношения с ним будут строиться по-разному, поскольку с каждым вариантом ассоциируются свои факторы и порождаемые ими подмножества источников компонентов банковских рисков (хотя частично эти подмножества пересекаются).

В российских условиях еще недостаточно развитой конкуренции в области предложения инфраструктуры, обеспечивающей взаимодействие кредитных организаций с внешним миром через виртуальное пространство Сети, кредитные организации пока не располагают необходимыми возможностями для влияния на соответствующие сторонние организации. Свидетельствует об этом в первую очередь то, что даже выбор провайдера для доступа к Сети, получения тех или иных каналов (линий) связи, поддержки телекоммуникационного и внутрибанковского сетевого оборудования, web-программирования и т. п. нередко оказывается вынужденным, за исключением, пожалуй, нескольких «развитых» в этом отношении российских регионов. Тем не менее даже если отношения с провайдерами строятся таким «вынужденным» образом, кредитным организациям целесообразно проанализировать возможные причины возникновения дополнительных источников компонентов банковских рисков и учитывать их в содержании общего процесса УБР и входящих в него процедур (как правило, имеющих более «организационно-технический», чем операционный характер). Впрочем, в таких ситуациях двумя наиболее существенными вопросами, подлежащими рассмотрению руководством кредитной организации, являются:

а) целесообразность организации ДБО как такового в безальтернативных условиях аутсорсинга;

б) наличие ресурсов в плане организации запасных маршрутов информационного взаимодействия с клиентами.

В любом случае целесообразно четко осознавать, что речь идет о части ИКБД, который формируется при внедрении кредитной организацией любого варианта ДБО и может контролироваться и тем более управляться со стороны кредитной организации заведомо в неполной мере (во всяком случае, в настоящее время). Эта ситуация, кстати, усугубляется недостатками ГК РФ, в котором неполно описаны обязанности и ответственность сторон, вступающих в контрактные отношения, связанные с обеспечением выполнения условий зависимых от них договоров и финансовых обязательств. Из этого следует то, что в интересах учета потенциального влияния новых компонентов банковских рисков технологического и технического характера руководству кредитной организации целесообразно:

1) иметь представление об упомянутой части ИКБД (ее составе и функциональной структуре) и распределенных в ней зонах концентрации таких источников компонентов банковских рисков;

2) осознавать те аспекты отношений со сторонними организациями, которые не охвачены законодательством, но от которых могут непосредственно зависеть результаты ИБ, зависящие от web-отношений.

В части web-отношений с провайдерами акцент логично изначально делать на обеспечении выполнения ими условий контрактов на обслуживание (соответствие «уровня обслуживания» потребностям клиентов кредитной организации, выраженным в SLA, и ее самой, которые в свою очередь определяются положениями договоров с клиентами на ДБО). При этом целесообразно учитывать и возникновение необходимости резервирования (дублирования) функций, выполняемых провайдерами для кредитной организации (имея в виду широкую трактовку предоставляемых в настоящее время web-сервисов), если возникнут проблемы с функционированием их оборудования. Провайдеры далеко не всегда осознают значимость качества предоставляемых ими услуг для кредитных организаций и возможных последствий реализации различных сетевых угроз для их клиентов. Из-за этого нередко качество контрактов, заключаемых с ними кредитными организациями, не выдерживает критики с позиций защиты интересов их клиентов, равно как и содержания договоров с клиентами на ДБО, которые плохо представляют себе структуру ИКБД, через которую взаимодействуют с кредитной организацией. Отсюда следует целесообразность непосредственной связи положений договорных документов кредитной организации с клиентами и содержанием ее контрактов с провайдерами. Задач, не имеющих решения, здесь практически не существует, конечно если руководство кредитной организации учитывает характер и специфику зависимости надежности банковской деятельности от построения отношений с провайдерами. К сожалению, как свидетельствует опыт изучения содержания упомянутых документов, такие связи пока еще не стали повсеместным явлением.

Еще одной стороной рассматриваемой проблематики является возможность возникновения специфических угроз сетевого характера как для самой кредитной организации, так и для ее клиентов, что обусловлено собственно содержанием сетевого взаимодействия в условиях web-отношений, формируемых технологией интернет-банкинга. В Письме Банка России № 11-Т от 30 января 2009 г. «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» отмечается (в плане целесообразности), что «…кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS — атаки, принятие мер по нейтрализации DDOS-атак и т. п.)…»

В современных условиях функционирования Сети — виртуального пространства, в котором за небольшим исключением функции управления и контроля отсутствуют, взаимодействие кредитной организации с провайдерами, обеспечивающими ее web-ресурсами и во многом определяющими выполнение обязательств перед ее клиентами, всегда связано с подверженностью тем или иным сетевым атакам, осуществляемым всякими «деклассированными элементами» в Сети. До настоящего времени уголовная ответственность за сетевые преступления законодательно определена недостаточно и трудно реализуема, отчего кредитным организациям приходится брать на себя решение основных правовых проблем, связанных с недостатками в организации web-отношений, которые могут негативно повлиять на выполнение взятых на себя обязательств и которые достаточно обширны — от выполнения условий договоров с клиентами до соблюдения требований, к примеру, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В последние три года количество сетевых атак как на российские кредитные организации, так и на их провайдеров стало быстро расти, следствием чего оказались вполне реальными ситуации «отказов в обслуживании» из-за перегрузки атакуемых серверов (с прерыванием ДБО на достаточно длительные интервалы времени), хищения денежных средств, финансовые потери из-за невыполнения обязательств (и кредитных организаций, и их клиентов, и провайдеров) и т. п. Все это свидетельствует о том, что времена «нормальных» web-отношений в российском сегменте Сети прошли, и эти отношения неизбежно усложняются. В первую очередь это усложнение связано с детализацией описания указанных отношений в контрактах на те или иные виды обслуживания, заключаемых кредитными организациями с провайдерами. Подходы упоминавшихся деклассированных элементов к нарушению нормального функционирования вычислительных сетей кредитных организаций хорошо известны и в настоящее время используются преимущественно в традиционных вариантах, также хорошо «освоенных» хакерским сообществом; в других вариантах используются так называемые «ботнеты», «зараженные» программами-червями, — генераторами потоков ложных запросов на обслуживание, инициирующими массированные сетевые атаки.

По-видимому, кредитным организациям целесообразно требовать от своих провайдеров участия в применении защитных мер в части обеспечения полнофункциональности ИКБД, имея в виду все виды зависимостей — начиная с фильтрации трафика и парирования сетевых атак, продолжая антивирусной защитой и заканчивая гарантиями резервирования и оперативного восстановления функционирования в чрезвычайных ситуациях — после отказов или сбоев аппаратно-программного обеспечения (web-серверов, почтовых серверов, маршрутизаторов, сетевых экранов) и т. п. Следствием принятия этого подхода может стать удорожание применения кредитной организацией технологий электронного банкинга, но вместе с тем будет повышена его надежность. В современных условиях повышение затрат на обеспечение надежности ДБО (в широком смысле) безусловно оправдано и обосновано, и чтобы оно не сказалось негативно на тарифах, кредитным организациям целесообразно в ходе адаптации своих внутрибанковских процессов позаботиться об их оптимизации, т. е. о компенсации увеличения затрат на повышение эффективности процесса УБР.

В решении вопросов такого рода велика роль высшего руководства кредитной организации, от которого ожидается принятие принципиальных решений по организации взаимоотношений с провайдерами. Как и в других случаях, касающихся ДБО, описание соответствующей позиции, ее обеспечения и ролевых функций персонала отражается в ее внутренних документах.

 

6.3. Web-отношения с контрагентами

В упоминавшихся выше рекомендациях органов банковского регулирования и надзора США отмечается, что предоставляемые через web-сайты, используемые кредитными организациями, функции и возможности должны быть очевидны для посетителей, равно как и источники предлагаемой информации, независимо от того, предоставляются ли они самими организациями или другими сторонами, входящими в ИКБД. Это действительно важно, поскольку практически каждый web-сайт содержит так называемые «web-связи». Под такой связью понимается некий объект на web-странице (слово, выражение или изображение), связанный с кодовой комбинацией, которая при «щелчке» по нему мышью воспроизводит на дисплее компьютера пользователя («закачивает») другой, в общем случае, программно-информационный компонент web-сайта или обращается с запросом на другой web-сайт. Web-связи представляют собой удобное и общепринятое средство в конструкции web-сайта, однако их использование может оказаться связано с отдельными компонентами банковских рисков.

Web-связи сайтов, используемых кредитными организациями, нередко ведут на web-сайты, которые этими организациями непосредственно не контролируются. Именно «неподконтрольность» web-связей может привести к возникновению упомянутых компонентов, тем более если какие-то «последствия» таких связей возникают неожиданно для кредитной организации как следствие злого умысла (к примеру воздействия-атаки хакера). Поэтому руководству кредитных организаций и специалистам прикладного уровня целесообразно иметь представление о таких факторах и источниках компонентов банковских рисков и предпринимать необходимые меры для контроля над контентом web-сайтов, которые используются в банковской деятельности.

Считается также, что наиболее значительными дополнительными компонентами характеризуются репутационный и правовой риски. Компоненты репутационного риска могут возникать, если имеют место, например:

неуверенность клиента в том, кто предоставляет продукты или услуги: конкретная кредитная организация либо связанная третья сторона;

недовольство клиента качеством продуктов или услуг, фактически получаемых от третьей стороны;

непонимание клиентом возможностей применения конкретных установленных мер защиты в отношении продуктов или услуг третьей стороны.

Компоненты правового риска возникают в тех случаях, когда связанная третья сторона действует таким образом, который не соответствует требованиям регулирующих органов. Например, они могут возникнуть из-за неправильного предоставления или использования связанной третьей стороной предоставленной ей клиентской информации или когда связь с конкретной третьей стороной обусловливает или влияет на правовые обязательства кредитной организации.

Степень подверженности тем или иным компонентам упомянутых банковских рисков зависит от нескольких факторов, включая характер собственно связи. Любая связь с web-сайтом третьей стороны приводит к некоторой подверженности кредитной организации риску, что относится к связям как с аффилированными, так и с неаффилированными третьими сторонами. Связь с web-сайтом третьей стороны, который дает клиенту только информацию, обычно не приводит к заметной подверженности риску, если информация эта относительно безобидна, как, например, прогноз погоды. Напротив, если связанная третья сторона предоставляет информацию или рекомендации, относящиеся к финансовому планированию, инвестициям или другим важным темам, то риск может быть больше. Связи с web-сайтами, позволяющими клиенту взаимодействовать с третьей стороной, как запрашивающей конфиденциальную информацию от пользователя, так и позволяющей ему приобретать продукт или услугу, может обусловить подверженность кредитной организации относительно большему риску

 

6.4. Организация управления web-отношениями

Прежде всего при создании представительств кредитной организации в Сети целесообразно решать общие вопросы распределения обязанностей и ответственности в части ИБ, подконтрольности, подотчетности и т. п., что является прерогативой руководства организации, принимавшего решение о переходе к ДБО в форме ИБ. Необходимо отметить, что при кажущейся простоте этого вопроса количество функций, которые следует правильно определить и распределить между структурными подразделениями кредитной организации, достаточно велико. С учетом ограничений, налагаемых на объем книги, в качестве только лишь основных из них необходимо указать:

1) планирование развития web-ресурсов (разного рода) в соответствии со стратегическим и бизнес-планами данной организации;

2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);

3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;

4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и web-отношениями;

5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки;

6) подготовку исходных данных на интернет-проекты, технических заданий (ТЗ) на создание web-ресурсов и дополнений к ним;

7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);

8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования;

9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;

10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;

11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;

12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;

13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;

14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;

15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;

16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;

17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);

18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);

19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);

20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.

Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:

— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;

— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);

— принятие решений относительно необходимости дополнительной обработки информации, поступающей через функционал web-pecypcoв;

— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);

— анализ статистики посещаемости web-pecypcoв для определения путей их развития;

— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;

— комплексный анализ предложений и замечаний различных пользователей web-pecypcoв по результатам их эксплуатации;

— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);

— обеспечение информационной безопасности web-pecypcoв и контента, критично важного для кредитной организации и ее клиентов;

— замена скомпрометированных хакерами версий программного обеспечения web-pecypcoB.

Отдевьная дополнительная процедура в оптимальном варианте организации управления web-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:

анализ формируемых web-отношений кредитной организации;

выявление сопутствующих им источников компонентов банковских рисков;

анализ причин возникновения этих компонентов;

определение возможных мер подавления влияния таких источников;

оценку ресурсов, необходимых для парирования такого влияния;

мероприятия по организации дополнительного управления рисками;

функции по контролю над дополнительным управлением рисками;

дополнение отчетности для руководства кредитной организации.

В ряде публикаций зарубежных органов банковского регулирования и надзора вопросам управления web-представительствами уделяется специальное внимание, поскольку от его качества непосредственно зависят наличие и уровни специфических компонентов репутационного, правового, операционного, а иногда и стратегического банковских рисков (с учетом того, что Интернет фактически уже является «наиболее массовым» средством массовой информации). Эти компоненты в совокупности могут возникать из-за того, к примеру, что:

— приводимая на web-страницах банковская информация содержит ошибки (что в российском банковском секторе не редкость);

— функционирование web-сайта неудобно для клиентов (как реальных, так и потенциальных);

— web-сайты кредитных организаций недостаточно информативны или поиск необходимой клиентам информации затруднен;

— web-сайты кредитных организаций недостаточно надежны в функциональном плане;

— используемые кредитными организациями web-сайты недостаточно защищены от внешних воздействий и т. п.

Приведенные перечни целесообразно использовать исполнительным органам кредитной организации в ходе циклической реорганизации процесса УБР при ДБО, вводе в эксплуатацию или при лизинге новых web-сайтов, используемых в банковской деятельности, новых сервисов, для которых используется технология интернет-банкинга и web-порталы и т. п. Все эти мероприятия прямо связаны с адаптацией рассматривавшихся выше внутрибанковских процессов и составляющих их процедур к новым условиям осуществления банковской деятельности, создаваемым технологиями ДБО.

В завершение главы уместно привести цитату из упоминавшейся коллективной работы органов банковского регулирования и надзора США, посвященной анализу факторов риска, сопутствующих web-связям: «Управленческий аппарат должен эффективно планировать, реализовать и контролировать web-отношения своего финансового учреждения. Под это подпадают ситуации, в которых web-сайт данного учреждения создается, оформляется или ведется сторонним провайдером. Имеется несколько методов управления подверженностью финансового учреждения рискам, связанным с наличием web-отношений… Методы, используемые для управления конкретными рисками, обусловленными определенной web-связью, должны соответствовать уровню риска, свойственному данной связи».

Прежде всего при планировании кредитной организацией использования web-отношений необходимо точно определить виды услуг, а также содержание web-сайта, доступное его клиентам через web-связи. Руководству следует установить, соответствуют ли эти связи общему стратегическому плану учреждения. В число процедур, полезных при планировании web-отношений, входит анализ:

— содержания обязательств в отношении третьих сторон, с которыми данная организация собирается устанавливать связи, и их выполнения;

— содержания письменных соглашений с третьими сторонами (в широком смысле: договоров и контрактов);

— потенциальных правовых последствий, обусловленных невыполнением третьей стороной своих обязательств перед кредитной организацией.

Если речь идет об использовании технологии web-портала или web-сайта сторонней организации, то желательно провести изучение содержания выполнения потенциальных обязательств, чтобы определить, стоит ли ассоциироваться с качеством продуктов, услуг и общим содержанием, предлагаемыми третьей стороной на своих web-сайтах. При этом в упомянутых материалах отмечается, что «финансовому учреждению следует более внимательно рассмотреть связанные с продуктами обязательства, если третьи стороны предлагают финансовые продукты, услуги или другое содержание web-сайта финансового характера. В этом случае клиенты могут с большей вероятностью предположить, что данным финансовым учреждением изучены и одобрены такие продукты и услуги». В дополнение к изучению финансовой информации третьей стороны и характеристик обслуживания ею своих клиентов желательно рассмотреть дополнительную информацию о ней, оценив соответствие ее деятельности законам и другим нормативным актам, а также не могут ли связанные объявления рассматриваться как вводящая в заблуждение реклама.

Из проведенного краткого рассмотрения ясно, что главная роль в предотвращении большого числа мелких затруднений и неприятностей, связанных с реализацией web-отношений, принадлежит корпоративному управлению в кредитной организации. Именно с его помощью объединяются в адаптационном мета-процессе внутрибанковские процессы внедрения ИТ, УБР, ОИБ, ВК, правового и документарного обеспечения банковской деятельности в форме ДБО. Они же в свою очередь должны поддерживаться совокупностями внутрибанковских документов, в которых в том числе раскрывается содержание web-отношений и их особенности. К сожалению, реальная ситуация в российском банковском секторе усугубляется тем, что наблюдающаяся до настоящего организация ДБО характеризуется типичными недостатками в описаниях и организации внутрибанковских процессов, из-за чего часто реализуются источники компонентов типичных банковских рисков.

Несмотря на новизну предложенной тематики, рассмотренные в книге вопросы становятся все более актуальными для кредитных организаций российского банковского сектора, в функционировании которого ДБО занимает важное место, а в его рамках — отношения с клиентами и сторонними организациями. Современное банковское дело, немалая доля которого уже принадлежит виртуальному пространству, особенно при осуществлении ее через ресурсы Интернета, требует новых методов как анализа факторов и источников компонентов типичных банковских рисков, так и управления этими рисками.