Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
1) планирование развития web-ресурсов (разного рода) в соответствии со стратегическим и бизнес-планами данной организации;
2) анализ потребностей в ИБ кредитной организации в целом и ее структурных подразделений (информационных, коммуникационных, операционных);
3) организацию проектирования в кредитной организации представительств в Сети и координацию работ, выполняемых ее структурными подразделениями;
4) внесение дополнений в положения о структурных подразделениях, которые будут связаны с интернет-проектами и web-отношениями;
5) организацию взаимодействия между упомянутыми структурными подразделениями, для чего требуется разработать соответствующие порядки [189] ;
6) подготовку
7) управление разработкой web-ресурсов и контроль над ней (включая связанные с ней внутрибанковские процедуры);
8) выбор провайдеров в части разработки, хостинга, сопровождения web-pecypcoв кредитной организации и обеспечения их функционирования [190] ;
189
Недостатки в реализации этого и предыдущего пунктов являются основными причинами наличия ошибок и других недостатков в контенте web-сайтов, используемых кредитными организациями; в основном они относятся к взаимодействию подразделений по развитию бизнеса, маркетинга, связей с общественностью и информатизации (автоматизации) банковской деятельности.
190
Если web-ресурсы создаются специалистами самой кредитной организации, и их хостинг обеспечивается ее собственными web- и почтовыми серверами, то речь идет о провайдерах Интернета и систем связи.
9) контроль функциональности web-pecypcoв и проверку программного кода, управляющего их работой, на соответствие требованиям ТЗ;
10) изучение состава и содержания возникающих web-отношений (в том числе в перспективе) с клиентами, контрагентами, другими организациями;
11) обеспечение резервирования web-pecypcoв и связанных с ними маршрутов передачи банковских и клиентских данных;
12) определение порядка формирования контента web-страниц, включая его согласование, утверждение в кредитной организации и верстку;
13) определение необходимости в каком-либо функциональном наполнении web-страниц (активными компонентами), его состава и содержания;
14) организацию и осуществление интернет-маркетинга и рекламной деятельности в Сети;
15) комплексный мониторинг и аудит собственных корпоративных и сторонних задействуемых кредитной организацией web-ресурсов;
16) модернизацию (редизайн и реинжиниринг) web-pecypcoв в процессе развития банковского бизнеса через Сеть;
17) сопровождение web-pecypcoв в процессе их повседневной эксплуатации и перспективного развития (включая техническую поддержку);
18) определение способов и средств замены web-pecypcoв в случае их отказа (альтернативные каналы взаимодействия с клиентами);
19) управление функционированием каналов электронной почты (включая мониторинг и блокирование спама, антивирусную защиту и т. п.);
20) организацию и поддержание защиты от сетевых атак и попыток несанкционированного вмешательства в работу web-pecypcoв.
Помимо перечисленного в число частных задач, подлежащих решению персоналом кредитной организации, внедрившей ИБ, обычно входят:
— обработка и учет заявок структурных подразделений на внесение изменений в состав и функционирование web-pecypcoв;
— организация форс-мажорного управления web-ресурсами (в различных ситуациях, в том числе обусловленных проблемами у провайдеров);
— принятие решений относительно необходимости дополнительной
— анализ возникающих технических проблем (на всех этапах жизненного цикла web-проектов);
— анализ статистики посещаемости web-pecypcoв для определения путей их развития;
— анализ эффективности функционирования и использования web-pecypcoв кредитной организации;
— комплексный анализ предложений и замечаний различных пользователей web-pecypcoв по результатам их эксплуатации;
— модернизация организации создания и исполнения интернет-проектов в кредитной организации (включая взаимодействие ее подразделений);
— обеспечение информационной безопасности web-pecypcoв и контента, критично важного для кредитной организации и ее клиентов;
— замена скомпрометированных хакерами версий программного обеспечения web-pecypcoB.
Отдевьная дополнительная процедура в оптимальном варианте организации управления web-отношениями и их контроля подлежит разработке и внедрению в процесс УБР. Такая процедура включает:
анализ формируемых web-отношений кредитной организации;
выявление сопутствующих им источников компонентов банковских рисков;
анализ причин возникновения этих компонентов;
определение возможных мер подавления влияния таких источников [191] ;
оценку ресурсов, необходимых для парирования такого влияния;
191
Оптимальным в этом плане является принятие организационно-технических мер по их устранению.
мероприятия по организации дополнительного управления рисками;
функции по контролю над дополнительным управлением рисками;
дополнение отчетности для руководства кредитной организации.
В ряде публикаций зарубежных органов банковского регулирования и надзора вопросам управления web-представительствами уделяется специальное внимание, поскольку от его качества непосредственно зависят наличие и уровни специфических компонентов репутационного, правового, операционного, а иногда и стратегического банковских рисков (с учетом того, что Интернет фактически уже является «наиболее массовым» средством массовой информации). Эти компоненты в совокупности могут возникать из-за того, к примеру, что:
— приводимая на web-страницах банковская информация содержит ошибки (что в российском банковском секторе не редкость) [192] ;
— функционирование web-сайта неудобно для клиентов (как реальных, так и потенциальных);
— web-сайты кредитных организаций недостаточно информативны или поиск необходимой клиентам информации затруднен;
— web-сайты кредитных организаций недостаточно надежны в функциональном плане;
— используемые кредитными организациями web-сайты недостаточно защищены от внешних воздействий [193] и т. п.
192
Включая ее неадекватность реальной ситуации из-за несвоевременного обновления контента.
193
Случаи атак на web-сайты с искажением их контента, а также так называемой «недобросовестной конкуренции» с распространением в Сети ложных сведений о кредитных организациях (хотя последнее имеет косвенное отношение к рассматриваемой проблематике).