Как ЦБ проверяет информационную безопасность банков

Норматив, которым руководствуется ЦБ при проведении проверок в банке,  предполагает:

— оценку соблюдения требований законодательства,

— оценку системы управления рисками этого банка,

— оценку состояния внутреннего контроля в банке.

Причем при проведении проверок регулятор ограничен двумя нормами.

Банк России не вправе проводить более одной проверки банка и его филиалов по одному и тому же вопросу в течение одного отчетного периода.

Во-первых, Банк России не вправе проводить более одной проверки банка и его филиалов по одному и тому же вопросу в течение одного отчетного периода. Во-вторых, при инициировании инспекционных проверок рекомендовано рассмотрение только тех вопросов, оценка которых невозможна в рамках дистанционного надзора.

На предыдущих форумах говорилось о том, что Банк России не осуществляет специализированные проверки информационной безопасности (ИБ), напомнил Ярулин. Однако два направления проверки содержат вопросы, связанные с соблюдением требований законодательства по ИБ. Это вопрос организации внутреннего контроля в части соблюдения законодательства и нормативов Банка России, а также внутренней политики банка по управлению ИТ и обеспечению ИБ. В этом контексте могут также рассматриваться две проблемы: соблюдение договоров обмена электронными документами с ЦБ и проверка выполнения требований законодательства о национальной платежной системе. Что, в свою очередь, тянет за собой проверку соблюдения требований к защите информационной безопасности для осуществления перевода денежных средств и проверки операций с использованием электронных средств платежа, в том числе платежных карт, уточнил Ринат Ярулин.

Центробанк выключил терминалы: перекрыт крупный канал обналички.Платежные терминалы перестали использоваться как источник неучтенной наличности — Центробанку удалось ликвидировать этот канал, рассказал в среду на встрече с журналистами директор департамента финансового мониторинга и валютного контроля Банка России Юрий Полупанов.

ЦБ оставил без изменений схему оценки рисков, присутствующих при внедрении и использовании информационных технологий. В первую очередь это операционные риски, возникающие как результат несоразмерности функциональных возможностей применяемых информационных систем. Во вторую — это репутационный риск как следствие запоздалого устранения операционного риска. В настоящее время проявление репутационного риска становится особенно актуальным. Так как при появлении любой негативной информации о банке его клиенты тут же начинают выводит свои средства, отметил эксперт Банка России. Существует также и правовой риск, возникающий вследствие несоблюдения требований законодательства, регламента, договоров и соглашений.

Как мошенники выносят деньги из банка

Проверки по результатам хищений денег из банков показывают, что ряду вопросов следует уделить особое внимание. Эти вопросы можно разделить на четыре группы:

  1. Организация работы с носителями ключевой информации. «Мы наблюдаем наличие неопределенного или неограниченного круга лиц, имеющего доступ к ключевой информации, а также неорганизованную работу при выявлении компрометации ключевой информации»,— сообщил Ярулин. Эта группа нарушений также часто возникает на стороне клиентов банка, чему тоже, к сожалению, не уделяется достаточное внимание, добавил он.
  2. Неразделение информационного и платежного сегментов.
  3. Отсутствие контроля за учетными записями пользователей, а также совмещение прав администратора безопасности и администратора системы.
  4. Отсутствие планов работы в случае возникновения нештатной ситуации или отсутствие механизма доведения принятых планов до персонала и тестирования их выполняемости.

«Вопросы на самом деле стандартные и простые, любой специалист в области ИБ ответит и даст рекомендации, как с ними работать»,— отметил Ярулин. Вместе с тем в отдельных случаях ЦБ отмечает, что в системе безопасности некоторых банков присутствуют все четыре группы проблем.

Злоумышленник представляется сотрудником службы поддержки и предлагает проведение якобы тестовой операции по переводу денег.

В ходе проверок ЦБ выявляет такие ситуации, когда хищение происходит следующим путем: злоумышленник звонит операционисту одного из отделений банка, представляется сотрудником службы поддержки и предлагает проведение якобы тестовой операции по переводу денег. «Самое интересное, что это срабатывает, и мы видим реализацию таких банальных схем, которые оказывают негативное влияние на финансовое состояние кредитной организации»,— заявил сотрудник ЦБ.

«Мы можем констатировать повышение уязвимости платежного сегмента в отделениях и дополнительных офисах,— продолжил Ярулин.—  Хочу предложить максимально упрощенную схему движения похищаемых злоумышленниками денежных средств. Средства выводятся на доступный злоумышленникам лицевой счет в банке-контрагенте, при оперативном выявлении хищения возможен возврат этих средств или их части до того, как они стали доступны злоумышленникам. В случае успешной реализации преступной схемы последует длительная процедура обращения в правоохранительные органы, при этом отразить денежные средства как убыток банку можно будет только после вынесения судом какого бы то ни было решения».

Важно, что способ списания на убытки похищенных у банка средств зависит от того, установят судебные органы виновного в хищении имущества или нет. Здесь возможны три варианта:

  1. Виновное лицо будет установлено и с него будет взыскана сумма причиненного ущерба.
  2. Органы следствия не установят виновное лицо и на основании данного факта дело будет прекращено.
  3. Суд признает подозреваемого невиновным в совершении преступления.

«Во всех случаях это очень длительная схема. И потерянные средства должны будут отразиться по дебету счетов, которые являются элементом расчетной базы резерва возможной потери, что, безусловно, окажет негативное влияние на финансовое состояние кредитной организации»,— сообщил эксперт.

«В процентном соотношении примерно 10–15% собственных средств капитала, которые, будучи единомоментно выведены из банка, могут нарушить финансовую стабильность кредитной организации»,— такой вывод сделал представитель регулятора.