20 июля, суббота 14:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Документ Политика ИБ - каким он должен быть?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как-то ЧМУ не соответствуют начально заявленному описанию:

    Для построения Модели угроз необходимо проанализировать цепочку взаимодействия (см. Приложение 1): источник угрозы – фактор (уязвимость) – угроза (действие) – объект воздействия – последствия (риски).
    Плюс во всей этой логической цепочке не хватает завершающего звена - описания мер защиты от угроз (вернее они есть, но только очень уж в эскизном виде ;-( ).

    Смотрю я сейчас наработки Митре - список уязвимостей (http://cwe.mitre.org/data/lists/2000.html) и список атак (http://capec.mitre.org/data/index.html) и думаю, что было бы полезно кой-что оттуда взять.
    Например, описание атаки MITM - http://capec.mitre.org/data/definitions/94.html достаточно интересно ;-)


    А насчет средств защиты - самый полный список я видел в приложении F к документу NIST SP800-53 (http://csrc.nist.gov/publications/ni...nal-errata.pdf)

    Комментарий


    • Сообщение от alex.a.fedorov Посмотреть сообщение
      Здраствуй, Алексей!

      Выкладываю материалы по частным моделям угроз ОЗ некой Информационной системы. Частные модели угроз строились по выложенному выше положению (сейчас его подправляю). Ввиду срочности не доделал все частные модели (это только наброски, для себя сделай свои способы воздействия и мероприятия по противодействию).

      С уважением, Федоров Алексей.
      Алексей,
      рекомендую хорощенько подумать над расстановкой "актуальна/неактуальна"

      Пример - РС ГО, "Использование уязвимостей рабочей станции для доступа к ресурсам рабочей станции, АБС и базе (DRAIN)". Вероятность эксплуатации низкая, показатель опасности низкий, угроза неактуальна.

      А теперь смотрим, что происходит на самом деле
      Вот сканирование реальной машины:


      По сравнению с сотнями других сканов - машинка в идеальном состояни, есть только несколько локальных уязвимостей в Adobe Reader, Adobe Player и Adobe Flash. Не было бы и их, но адобовский автоапдейт почему-то не работает сквозь прокси, а разобраться с ней руки не доходят - неактуальо же

      Уязвимость - классическое переполнение буфера с выполнением произвольного кода. Она эксплуатабельна, к ней, пускай не в паблике, есть PoC-эксплойт. Можно считать, что к ней есть и полнофункциональный эксплойт - технология восстановления уязвимости по устраняющему патчу отработана достаточно хорошо.

      Методика доставки эксплойта появилась еще в прошлом тысячелетии: банальный спам со ссылкой на Flash-мультик. Спам адресный, контактная информация берется с одноклассников. Как показывают тесты, 10-15% пользователей кликают на такие ссылки, не взирая ни на какой user avareness. Что характерно, мультик они там тоже увидят. Реверс-шелл, когда эксплойт лезет по HTTP за инструкциями и отдает результаты, тоже стандартная штука, авторизация на прокси ему не мешает.

      В итоге у нарушителя появляется а) доступ ко всем данным этого пользователя и б) плацдарм для дальнейшей атаки уже изнутри, поскольку файрволы и прокси ему больше не мешают.

      Собственно, из-за таких уязвимостей армия ботнетов и растет В ходе пентестов подобный вектор отрабатывается в последнюю очередь, поскольку по нему всегда удается получить доступ внутрь сети - исключений пока не было.

      Так что тут не "низкая-низкий", а, как минимум, "средняя-высокий".

      Комментарий


      • Сообщение от Идущий Посмотреть сообщение
        Алексей, Вы где витаете? Цель бизнеса может назвать только его владелец и далеко не каждому.
        Цель для большинства бизнесов - получение прибыли. Есть и другие цели - краткосрочные и среднесрочные. И они часто известны и не скрываются. Если владелец скрывает от сотрудников для чего они работают и куда должны стремиться, то при таком уровне зрелости о какой ИБ вообще идет речь?

        Сообщение от Идущий Посмотреть сообщение
        Мы обсуждаем вопросы уровнем пониже и хорошо если одним уровнем ниже.
        Как поставим, так и будем обсуждать. Можно на уровень ниже, можно на 5, а можно и на том же.

        Сообщение от Идущий Посмотреть сообщение
        И обсуждаемая Политика пишется вовсе не для владельцев (им то как раз это до лампочки), а для исполнителей (а вот управление исполнителями владельцам не до лампочки).
        Ну я не вдаюсь в конкретный документ - я писал в общем по целям.

        Сообщение от Идущий Посмотреть сообщение
        "Я не ставил, я транслировал имеющуюся цель в ИБ."
        Наверное это переводится на русский как "осуществлял защиту бизнеса"?
        Не обязательно. Может и в поддержку бизнеса и в его развитие.

        Сообщение от Идущий Посмотреть сообщение
        Могу только повториться: документ должен быть написан для исполнителей, а они его должны принять изложенные в нем принципы и правила как неотъемлемую часть своей работы, образа жизни.
        А кто сказал, что они должны? Они в штыки его примут.

        Сообщение от Идущий Посмотреть сообщение
        Вы, как популяризатор темы ИБ, не находите что приведенные Вами абвериатуры русские и английские требуют по несколько часов лекций каждая для не ИБ-шников? Ведь иногда эти форумы и топ-ы посещают, так сказать "модных слов набраться"?
        Ну я на топов не рассчитывал, если честно. Как-то не верю я, что топы будут читать такой форум ;-( А расписывать каждый термин, как будто с нуля, я бы не хотел.

        Комментарий


        • Коллеги, спасибо за конкретные замечания!
          Документы недописаны, хотелось бы доделать весь комплект документов по выбранному примеру и, затем уже во втором приближении, доводить их до ума.
          Это рабочие и незаконченные формы, буду рад если замечаний и предложений будет больше.

          Комментарий


          • Сообщение от Алексей Лукацкий Посмотреть сообщение
            Цель для большинства бизнесов - получение прибыли. Есть и другие цели - краткосрочные и среднесрочные. И они часто известны и не скрываются. Если владелец скрывает от сотрудников для чего они работают и куда должны стремиться, то при таком уровне зрелости о какой ИБ вообще идет речь?
            При чем здесь уровень зрелости? Посмотрите на Энрон, Братьев Леман и т.д. - как там было с "уровнями зрелости"?


            Сообщение от Алексей Лукацкий Посмотреть сообщение
            Ну я не вдаюсь в конкретный документ - я писал в общем по целям.
            Согласен: не царское это дело читать заголовки тем.

            Сообщение от Алексей Лукацкий Посмотреть сообщение
            Не обязательно. Может и в поддержку бизнеса и в его развитие.
            Что-то я совсем запутался: по-Вашем получется, что осуществление защиты не является обязательной составляющей ИБ. Так?


            Сообщение от Алексей Лукацкий Посмотреть сообщение
            А кто сказал, что они должны? Они в штыки его примут.
            Это задача такая - создать документ именно с такими условиями. Штыки - это больно, а я кровь не люблю.

            Уважаемый, Алексей Федоров. Прочитайте миф о межсетевых экранах Алексея Лукацкого. Не сможете сами исправить - попросите автора мифа это сделать.
            Последний раз редактировалось Идущий; 10.09.2009, 10:31.

            Комментарий


            • Сообщение от alex.a.fedorov Посмотреть сообщение
              Коллеги, спасибо за конкретные замечания!
              Документы недописаны, хотелось бы доделать весь комплект документов по выбранному примеру и, затем уже во втором приближении, доводить их до ума.
              Это рабочие и незаконченные формы, буду рад если замечаний и предложений будет больше.
              Так по сути есть два глобальных замечания(спасибо malotavr за хороший пример!) - неадекватная оценка актуальности тех или иных угроз из-за отсутствия анализа всех _реальных_ уязвимостей того или иного объекта защиты (почему в помощь я и дал ссылки на сайт Митре) и несистемность описания средств защиты (почему я дал ссылку на список средств защиты с документа NIST).

              В этом плане, может быть, имеет смысл сделать так - с каждой ИТ-технологией связаны свои уязвимости (веб-технологии вообще не учтены в модели угроз ФСТЭК ;-) ). Имеет смысл сделать отдельные документы для каждой технологии (благо методических наработок типа OWASP или DISA STIG хватает ) и для каждого объекта защиты учитывать, какие технологии он использует.

              Комментарий


              • Сравнивал требования к ТЗКИ согласно СТР-К и четырёхкнижью ФСТЭК, получились интересные результаты:

                Комментарий


                • Вот сканирование реальной машины:


                  Извиняюсь за ОФФ - можно узнать что за программа?

                  Комментарий


                  • Сообщение от Meril Посмотреть сообщение

                    Извиняюсь за ОФФ - можно узнать что за программа?
                    MaxPatrol

                    Комментарий


                    • Срочно понадобился план ОНиВД, пришлось заканчивать первую версию, выложенную ранее. Убрал список задач и их приоритеты – заменил их на список рабочих мест.
                      Получилась некая готовая форма.

                      Комментарий


                      • 7.4. Группа управления в чрезвычайной ситуации (ГУКС)
                        ГУЧС тогда уж.
                        А вообще, alex.a.fedorov первый, кто выложил ОНиВД на банкире. Многим поможет.
                        Хотя, там не всё по 2194-У.

                        Комментарий


                        • Спасибо Алексей за замечания!

                          Может кто выложит куски плана ОНиВД связанные с ликвидностью, тогда все будет точно по 2194-У.

                          Комментарий


                          • Подскажите, какими могут быть "Показатели восстановления основных бизнес-процессов" ?
                            Например бизнес-процесс: расчетно-кассовое обслуживание юр. лиц ?
                            или Обслуживание корреспондентского счета в ГУ ЦБ ?

                            Комментарий


                            • Сообщение от alex.a.fedorov Посмотреть сообщение
                              Спасибо Алексей за замечания!

                              Может кто выложит куски плана ОНиВД связанные с ликвидностью, тогда все будет точно по 2194-У.
                              На мой взгляд не хватает перечня бизнес-процессов и оценки степени влияния чрезвычайных ситуаций на эти процессы.
                              Оценки вероятности возникновения того или иного бизнес-процесса.
                              Анализа и выявления наиболее важных бизнес-процессов для Вас.
                              а про ликвидность - это уже не должен делать технический специалист, а экономист...
                              план получился сугубо технический (он конечно по большей степени и должен быть техническим), но не хватает финансовых и правовых ЧС, например, ликвидность, эмбарго если есть вероятность возникновения конечно.
                              может я не прав, поправьте, так достаточно бегло по плану пробежался.
                              p.s. очень не хватает содержания в плане.

                              Комментарий


                              • Помимо Политики ИБ в Банке необходимо принять План защиты.
                                За образец Плана взят документ Информзащиты, в приложениях приведены список угроз и мер защиты от них.

                                Комментарий


                                • А я взял тайм-аут до выхода новой версии стандарта

                                  Комментарий


                                  • alex.a.fedorov,
                                    4 ОБЪЕКТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА
                                    4.1. К объектам обеспечения информационной безопасности органов ФК относятся:
                                    Судя по "ФК" - выдернуто из бумаг Федерального казначейства?

                                    Комментарий


                                    • Сообщение от surfer Посмотреть сообщение
                                      alex.a.fedorov,

                                      Судя по "ФК" - выдернуто из бумаг Федерального казначейства?
                                      Как ключевого заказчика Информзащиты ;-)

                                      Комментарий


                                      • Сообщение от alex.a.fedorov Посмотреть сообщение
                                        Помимо Политики ИБ в Банке необходимо принять План защиты.
                                        За образец Плана взят документ Информзащиты, в приложениях приведены список угроз и мер защиты от них.
                                        Спасибо за документ, действительно много интересного.

                                        Но по-моему, он очень плохо согласуется с РС БР ИББС-2.0-2007 ?

                                        У Вас есть какие-то другие документы в стеке ИБ кроме этого Плана,
                                        или Вы просто выбрали путь вне СТО БР ИББС ?

                                        Комментарий


                                        • Связи с СТО действительно нет, документ писался в декабре прошлого года и перед нашим ОИБ стояли другие задачи. Нужно было сверстать бюджет на новый 2010 год и описать структуру Системы защиты Банка, а план защиты уже получился как побочный продукт.
                                          Подскажите какой вам видиться этот План с учетом СТО, готов править выложенный документ.

                                          2surfer
                                          Из бумаг ФК было выдернуто несколько разделов.

                                          Комментарий


                                          • Сообщение от alex.a.fedorov Посмотреть сообщение
                                            Подскажите какой вам видиться этот План с учетом СТО, готов править выложенный документ.
                                            В русле предписаний РС БР ИББС-2.0-2007 представленный План выглядит как соединение частной политики обеспечения ИБ информационных банковских систем и нескольких конкретных документов более низкого уровня (видимо, положений, т.к. на детализацию уровня регламентов и инструкций не дотягивает).

                                            Комментарий


                                            • Коллеги, есть группа компаний АБЦД. Соответственно ООО "А", ООО "Б", ООО "Ц", ООО "Д". Как правильно составлять политику ИБ на их всех.
                                              Думаю назвать документы примерно так:
                                              Политика ИБ ГК "АБЦД" - в которой первым делом перечислить все конторы, входящие в ГК.
                                              Правила соблюдения требований ИБ персоналом ГК "АБЦД"
                                              Положение
                                              Положение
                                              Регламент
                                              Регламент
                                              Инструкция
                                              Инструкция

                                              Я правильно думаю?

                                              Комментарий


                                              • Сообщение от UzbekRus Посмотреть сообщение
                                                Коллеги, есть группа компаний АБЦД. Соответственно ООО "А", ООО "Б", ООО "Ц", ООО "Д". Как правильно составлять политику ИБ на их всех.
                                                Думаю назвать документы примерно так:
                                                Политика ИБ ГК "АБЦД" - в которой первым делом перечислить все конторы, входящие в ГК.
                                                Правила соблюдения требований ИБ персоналом ГК "АБЦД"
                                                Положение
                                                Положение
                                                Регламент
                                                Регламент
                                                Инструкция
                                                Инструкция

                                                Я правильно думаю?
                                                Положение, регламент и инструкция - это локальные нормативные акты юридического лица, которые распространяются только на сотрудников этого юр. лица. Поэтому составить единый комплект документов на всех вы не можете.

                                                Обычно делают набор типовых документов, которые должно иметь каждое юридическое лицо, и этот компдлект потом рассылаютяс по дочкам с указанием доработать и принять.

                                                Комментарий


                                                • Странно. Я когда работал в Мегабанке, там была одна политика на всё свое хозяйство. Читаю вот её и нигде не написано для кого она действует, там есть фраза только, что сей док распространяется на все компании, входящие сюда.

                                                  Если по вашему (malotavr) делать, то получится, что на каждый чих (читай актуализацию) переписывать и переутверждать с десяток документов. Не хотелось бы так делать.

                                                  А почему нельзя скажем составить док, назвать его концепцией ИБ, в которой указать, что группа компаний состоит из А,Б,Ц,Д и имеет единую для всех политику ИБ и будут трижды стремиться, двигаться, развивать итд итп и желать безопасности друг другу.

                                                  Но я тут, чувствую, будет еще одна засада. В одной из контор есть приличное подразделение разработчиков, которых вроде как надо сажать в отдельную песочницу=подсеть и как тогда это прописывать в политике. Ведь там получится, что почти ничего к ним применяться не должно, кроме лишнего мужичка с автоматом на взводе...

                                                  Комментарий


                                                  • Заполняли форму уведомления в РОСКОМНАДЗОР на сайте:
                                                    http://www.rsoc.ru/personal-data/forms/notification/
                                                    Выкладываю наполнение данной формы (добавил материалы для раздела "использование шифровальных (криптографических) средств").
                                                    После заполнения печатаете форму и отправляете в ваше территориальное управление РОСКОМНАДЗОРа (адрес управления по Москве и Московской области прилагается).

                                                    Комментарий


                                                    • При заполнении отчетности по форме 070 (Сведения об использовании КО интернет-технологий) возник вопрос о необходимости следующих документов:

                                                      1. Положение о Веб-сайте
                                                      2. Положение об Интернет-банкинге
                                                      3. Положение о сетевом мониторинге и системном аудите
                                                      4. Положение о Системе обнаружения сетевых атак
                                                      5. Положение о межсетевом экране

                                                      Может кто выложит образцы из вышеперечисленных документов?

                                                      Комментарий


                                                      • alex.a.fedorov,
                                                        Положение о сайте Единой России

                                                        Ну, что нашёл быстро-выложил.

                                                        Комментарий


                                                        • Сообщение от surfer Посмотреть сообщение
                                                          [
                                                          Ну, что нашёл быстро-выложил.
                                                          Аааааа!!!!! Дай я тебя поцалую!!!!

                                                          Комментарий


                                                          • Здраствуй, Алексей!

                                                            Спасибо за быстроту и оперативность!
                                                            Пришла комплексная проверка, развлекаемся.

                                                            Комментарий


                                                            • Завсегда пажалста!
                                                              Пришла комплексная проверка, развлекаемся.
                                                              По поводу проверки: в 2332-У есть табличка (прилагаю) по Интеренет технологиям. Там есть минимальный список документов.
                                                              А вот кусок из 36-Т:

                                                              Раздел 4. Внутренние документы
                                                              кредитной организации, устанавливающие порядок управления
                                                              рисками интернет-банкинга

                                                              4.1. Внутренними документами кредитной организации рекомендуется регламентировать работу на всех технологических участках информационного контура интернет-банкинга, организационное и информационное взаимодействие с клиентами и провайдерами, а также функционирование аппаратно-программного обеспечения интернет-банкинга.
                                                              4.2. Во внутренних документах кредитной организации, связанных с управлением интернет-банкингом и контролем за функционированием реализующих его систем, рекомендуется определить:
                                                              4.2.1. Роль органов управления и структурных подразделений кредитной организации, в том числе:
                                                              распределение полномочий между органами управления кредитной организации (совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительные органы);
                                                              распределение прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений кредитной организации, служащих кредитной организации, в обязанности которых входит выполнение функций в рамках интернет-банкинга и управление связанными с ним рисками интернет-банкинга;
                                                              реализация учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения систем интернет-банкинга;
                                                              определение допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании систем интернет-банкинга;
                                                              определение порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и принятие мер, обеспечивающих снижение уровня рисков.
                                                              4.2.2. Порядок обеспечения непрерывности управления, в том числе:
                                                              испытание систем интернет-банкинга на соответствие требованиям, предъявляемым к осуществлению банковских операций;
                                                              меры по обеспечению надежности функционирования систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга (в том числе внутрибанковских автоматизированных систем кредитной организации, систем и комплексов провайдеров);
                                                              взаимосвязанные внутрибанковские процессы и процедуры, необходимые для осуществления обслуживания в рамках интернет-банкинга;
                                                              план действий на случай чрезвычайных обстоятельств с учетом специфики интернет-банкинга, включающий меры по предотвращению влияния источников (факторов) рисков, а также меры по защите интересов кредитной организации и ее клиентов, пользующихся интернет-банкингом, включая восстановление обслуживания;
                                                              документирование и анализ информации о сетевых атаках, других противоправных действиях, о нарушениях функционирования систем интернет-банкинга и доведение этой информации до органов управления кредитной организации;
                                                              действия при возникновении нештатных ситуаций во внутрибанковских автоматизированных системах кредитной организации, связанных с осуществлением операций интернет-банкинга (включая умышленные повреждения, сетевые и вирусные атаки), и в системах и комплексах провайдеров (с описаниями мероприятий по выявлению нарушений и защите от них функционирования информационного контура интернет-банкинга, попыток неправомерного доступа к программно-информационным ресурсам и мер по их предупреждению, а также порядок информирования органов управления кредитной организации о таких ситуациях).
                                                              4.2.3. Порядок управления рисками интернет-банкинга, в том числе:
                                                              описание наиболее вероятных внутренних и внешних источников (факторов) рисков интернет-банкинга;
                                                              разработка различных способов оценки и минимизации рисков интернет-банкинга;
                                                              организация процесса управления рисками интернет-банкинга и мониторинга источников (факторов) рисков интернет-банкинга;
                                                              назначение ответственного лица (лиц) за реализацию процессов управления рисками интернет-банкинга и их мониторинга.
                                                              4.2.4. Требования к организационно-техническому обеспечению в части:
                                                              организации, ведения, сопровождения (поддержания функционирования), модернизации и закрытия (отказ от использования) WEB-сайта, применяемого для интернет-банкинга, а также распределения обязанностей, ответственности, подотчетности и контроля в отношении содержания WEB-сайта *>;
                                                              --------------------------------
                                                              *> Рекомендации по содержанию WEB-сайтов приведены в Указании оперативного характера Банка России от 3 февраля 2004 г. N 16-Т "О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет" и в Письме Банка России от 19 января 2005 г. N 8-Т "О сведениях, рекомендуемых для размещения на WEB-сайтах кредитных организаций в сети Интернет" ("Вестник Банка России" от 26 января 2005 года N 4).

                                                              порядка пользования сетью Интернет служащими кредитной организации;
                                                              разграничения прав и полномочий доступа служащих кредитной организации к системам интернет-банкинга;
                                                              планирования, внедрения, применения (эксплуатации), модификации в случае модернизации обслуживания в рамках интернет-банкинга;
                                                              содержания технического описания внутрибанковских автоматизированных систем, на которых основаны и реализованы системы интернет-банкинга, в том числе схемы вычислительной сети кредитной организации с указанием потоков данных (передаваемых, обрабатываемых и хранимых);
                                                              содержания инструкций, правил, руководств и иных документов для операторов внутрибанковских автоматизированных систем, администраторов этих систем и администраторов информационной безопасности, а также служащих кредитной организации, обслуживающих эти системы;
                                                              актуализации документации на технические средства, используемые кредитной организацией для интернет-банкинга, а также контроль их модификации (в том числе меры по предотвращению внесения несанкционированных изменений в соответствующее аппаратно-программное обеспечение систем интернет-банкинга и в информационные массивы);
                                                              установления договорных отношений с клиентами, пользующимися услугами интернет-банкинга, и контроля выполнения обязательств сторон;
                                                              установления договорных отношений с провайдерами и контроля выполнения обязательств сторон.
                                                              4.2.5. Порядок обеспечения информационной безопасности в части:
                                                              политики обеспечения информационной безопасности с учетом особенностей интернет-банкинга, внешних и внутренних угроз информационной безопасности и защите банковских операций и данных, возможных сценариев реализации угроз, а также способов противодействия таким угрозам, как неправомерное уничтожение, изменение, копирование данных, доступ к ним со стороны неуполномоченных лиц;
                                                              методической и консультационной помощи клиентам, доведения до них информации о принимаемых рисках, информирования клиентов об осуществляемых по их счетам операциях, а также о типичных признаках противоправных действий и о необходимом комплексе мер по защите информации.
                                                              4.2.6. Порядок обеспечения внутреннего контроля в части:
                                                              состава системы внутреннего контроля с учетом особенностей интернет-банкинга, в том числе описания встроенных средств автоматизированного (программного) контроля, используемых для целей противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также для выявления и документирования подозрительных операций;
                                                              действий по выявлению нарушений и недостатков при осуществлении кредитными организациями банковских операций с применением систем интернет-банкинга;
                                                              действий по устранению нарушений и недостатков, выявленных службой внутреннего контроля.
                                                              4.2.7. Порядок противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части:
                                                              взаимодействия подразделений информатизации, информационной безопасности, службы внутреннего контроля и служащего (структурного подразделения), ответственного за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
                                                              установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете, используя аналог собственноручной подписи, коды, пароли и иные средства, подтверждающие наличие указанных полномочий;
                                                              идентификации и изучения клиентов интернет-банкинга (в первую очередь клиентов, с которыми кредитная организация осуществляет банковские операции с повышенной степенью риска) и соблюдения принципа "Знай своего клиента".

                                                              Раздел 5. Информационное обеспечение управления
                                                              рисками интернет-банкинга

                                                              5.1. Кредитной организации рекомендуется организовать и контролировать процесс информационного обеспечения в целях эффективного управления рисками интернет-банкинга, выработки мотивированных решений в отношении применения систем интернет-банкинга и принятия мер по снижению и исключению влияния возможных источников (факторов) указанных рисков.
                                                              5.2. В состав информационного обеспечения управления рисками интернет-банкинга рекомендуется включать сведения по следующим направлениям:
                                                              5.2.1. Обслуживание в рамках интернет-банкинга, в том числе:
                                                              предлагаемые услуги и виды банковского обслуживания в сети Интернет (в том числе мобильные системы);
                                                              состав клиентской базы интернет-банкинга и ее динамика;
                                                              объемы денежных средств на счетах клиентов, управление которыми осуществляется клиентами в сети Интернет (в рублях и в иностранной валюте), их динамика и обороты, в том числе в составе операций с клиентами, находящимися за рубежом (в отношении резидентов и нерезидентов);
                                                              состав и численность обособленных подразделений и внутренних структурных подразделений кредитной организации, участвующих в обслуживании клиентов интернет-банкинга;
                                                              состав и численность структурных подразделений, осуществляющих информатизацию и автоматизацию банковской деятельности;
                                                              результаты использования интернет-банкинга (в сопоставлении с бизнес-планом кредитной организации).
                                                              5.2.2. Техническое оснащение интернет-банкинга, в том числе:
                                                              состав и характеристики аппаратно-программного обеспечения систем интернет-банкинга и внутрибанковских автоматизированных систем кредитной организации (с особым вниманием к возможным конструктивным и эксплутационным недостаткам);
                                                              структурная схема внутрибанковской вычислительной сети и каналов связи с сетью Интернет, состав и характеристики специальных аппаратно-программных средств, обеспечивающих их функционирование;
                                                              содержание внесенных в используемые внутрибанковские автоматизированные системы изменений в связи с внедрением интернет-банкинга;
                                                              состав средств обеспечения бесперебойной работы систем интернет-банкинга и связанных с ними внутрибанковских автоматизированных систем, а также средства резервного копирования информации об ордерах клиентов и о проведенных банковских операциях;
                                                              состав средств защиты банковской и клиентской информации.
                                                              5.2.3. Отношения с провайдерами, в том числе:
                                                              перечень провайдеров и разработчиков программного обеспечения для кредитной организации;
                                                              условия договоров, заключенных с провайдерами, разработчиками программного обеспечения для кредитной организации;
                                                              состав и описание услуг, функций, операций, процедур, переданных на исполнение провайдерам;
                                                              данные о провайдерах, позволяющие оценивать их возможности по выполнению обязательств перед кредитной организацией;
                                                              компьютерные системы и системы связи, используемые провайдерами, а также их характеристики.
                                                              5.2.4. Условия применения интернет-банкинга:
                                                              описание процедур и фактическое распределение обязанностей, ответственности, прав операторов внутрибанковских автоматизированных систем в части интернет-банкинга;
                                                              описание процедур системного администрирования, результатов их осуществления, а также данные внутрисистемных компьютерных журналов;
                                                              состав и характеристики средств криптографической защиты информации интернет-банкинга, а также связанных с их применением лицензий и сертификатов;
                                                              описание процедуры подготовки (распорядительный документ) и содержание планов на случай чрезвычайных обстоятельств, и результаты их тестирования;
                                                              методические материалы по внутреннему контролю (в том числе методики выявления, оценки, мониторинга, контроля и (или) минимизации банковских рисков, связанных с интернет-банкингом);
                                                              результаты проверок, проведенных службой внутреннего контроля (внутреннего аудита);
                                                              описание процедур и фактическое распределение полномочий доступа служащих кредитной организации к сетевым информационным ресурсам интернет-банкинга;
                                                              описание процедур администрирования информационной безопасности и результаты его осуществления;
                                                              описание процедур противодействия возможному противоправному использованию интернет-банкинга и результаты его осуществления.
                                                              5.2.5. Документирование информации об авариях, отказах, сбоях функционирования аппаратно-программного обеспечения систем интернет-банкинга, в том числе компьютерных систем и средств связи провайдеров кредитной организации, и их причинах, о попытках неправомерного доступа (внешнего и внутреннего) к внутрибанковским автоматизированным системам, информационным и процессинговым ресурсам, о сетевых и вирусных атаках, их последствиях и принятых мерах, а также в целом об источниках (факторах), влияющих на повышение банковских рисков.
                                                              Последний раз редактировалось surfer; 07.05.2010, 10:29. Причина: Подгрузил вложения

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X