|
Критерии
|
Риски
|
|
Сфера
действия рисков
|
Внутренние
риски: – кредитные риски; – процентные риски; –
валютные риски; – рыночные риски; – риски
финансовых услуг; – прочие риски; Внешние
риски (международные, страховые, республиканские, региональные): – страховые
риски; – риски
стихийных бедствий; – правовые (законодательные)
риски; –
конкурентные риски; – политические риски; –
социальные риски; – экономические риски; –
финансовые риски; – риски перевода; –
организационные риски; – отраслевые риски; – прочие
риски;
|
|
Кредитоспособность
клиента
|
|
Состав
клиентов банка
|
–
мелкого;
–
среднего;
–
крупного;
|
|
Общие
|
|
Масштабы
рисков
|
–
клиента;
–
банка;
|
|
Частные
(от отдельных операций)
|
|
Степень
(уровень риска)
|
–
полные;
–
умеренные;
–
низкие;
|
|
Распределение
рисков во времени
|
–
прошлые (ретроспективные); – текущие; – будущие (перспективные);
|
|
Характер
учета операций
|
–
балансовые; – забалансовые;
|
|
Возможность
регулирования
|
–
открытые; – закрытые;
|
Внутренние банковские риски возникают в
результате деятельности самих банков и зависят от проводимых операций.
Соответственно банковские риски делятся:
– связанные с активами (кредитные,
валютные, рыночные, расчетные, лизинговые, факторинговые, кассовые, риск по
корреспондентскому счету, по финансированию и инвестированию и др.);
– связанные с пассивами банка (риски по
вкладным и прочим депозитным операциям, по привлеченным межбанковским
кредитам);
– связанные с качеством управления банком
своими активами и пассивами (процентный риск, риск несбалансированной
ликвидности, неплатежеспособности, риски структуры капитала, левереджа,
недостаточности капитала банка);
– связанные с риском реализации финансовых
услуг (операционные, технологические риски, риски инноваций, стратегические
риски, бухгалтерские, административные, риски злоупотреблений, безопасности).
Внешние риски в своей совокупности обычно
характеризуются также пространственным аспектом, означающим, что различным
(регионам, республикам), разным странам или группам стран в каждый данный
момент присущи особое сочетание и специфическая мера остроты внешних рисков,
обусловливающие особую привлекательность или непривлекательность данного
региона или данной страны с точки зрения банковской деятельности. Выражение
"страновой (региональный) риск" означает только этот аспект, но не
содержательно отдельный вид риска наравне с финансовыми, экономическими,
политическими и иными внешними рисками.
Риски состава клиента связаны с маркетингом
банковских услуг и контактами с общественностью. Разнообразие требований
мелкого, среднего и крупного клиента с неизбежностью определяет и степень
самого риска. Так, мелкий заемщик больше зависит от случайностей рыночной
экономики. В то же время значительные кредиты, выданные одному крупному клиенту
или группе связанных между собой клиентов, часто являются причиной банковских
банкротств.
Степень банковского риска, как видно из
классификации, определяется тремя понятиями: полный, умеренный и низкий риски.
Полный риск предполагает потери, равные
банковским вложениям в операцию. Так, сомнительный или потерянный кредит
обладает полным, то есть 100-процентным, риском. Банк прибыли не получает,
находится в зоне недопустимого или критического риска.
Умеренный риск (до 30%) возникает при не
возврате небольшой части основного долга или процентов по ссуде, при потере
лишь части суммы по финансовым и другим операциям банка. Риск находится в зоне
допустимого. Банк получает прибыль, позволяющую покрыть допущенные потери и
иметь доходы.
Низкий риск - незначительный риск, позволяющий
банку не только покрыть потери, но и получить высокие доходы.
Наконец, риски бывают открытые и закрытые.
Открытые риски не поддаются или слабо поддаются предупреждению и минимизации,
закрытые же, наоборот, дают для этого хорошие возможности.
Также риски можно разделить по типу (виду
банка). От вида банка зависит характерный для него набор рисков. Это надо
понимать в том смысле, что хотя всем банкам присущи балансовые и забалансовые
риски, риски финансовых услуг и внешние риски, их сочетание, основные зоны,
размеры и приоритетные направления будут складываться по-разному в зависимости
от преимущественной специализации банков, а значит, и по-разному
характеризовать каждый вид банковской деятельности.
Так, для банков, широко занимающихся
аккумуляцией свободных денежных средств и их размещением среди других кредитных
учреждений, определяющими будут риски по вкладным и депозитным операциям и по
возможному не возврату межбанковских кредитов.
Степень банковского риска учитывает полный,
умеренный и низкий риск в зависимости от расположения по шкале рисков. Степень
банковского риска характеризуется вероятностью события, ведущего к потере
банком средств по данной операции. Она выражается в процентах или определенных
коэффициентах.
Особенностью нахождения степени банковского
риска является его индивидуальная величина, связанная с принятием на себя
конкретного риска по конкретной банковской операции. Во многом она определяется
субъективной позицией каждого банка.
Приведенная классификация и элементы, положенные
в основу экономической классификации, имеют целью не столько перечисление всех
видов банковских рисков, сколько демонстрацию наличия определенной системы,
позволяющей банкам не упускать отдельные разновидности при определении
совокупного размера рисков в коммерческой и производственной сфере.
Банковские риски реализации финансовых услуг
подразделяются на:
– операционные риски;
– технологические риски;
– риски инноваций;
– стратегические риски;
– бухгалтерские риски;
– административные риски;
– риски злоупотреблений;
– риски безопасности.
Операционный риск - риск возникновения убытков в
результате несоответствия характеру и масштабам деятельности кредитной
организации и (или) требованиям действующего законодательства внутренних
порядков и процедур проведения банковских операций и других сделок, их
нарушения служащими кредитной организации и (или) иными лицами (вследствие
непреднамеренных или умышленных действий или бездействия), несоразмерности
(недостаточности) функциональных возможностей (характеристик) применяемых
кредитной организацией информационных, технологических и других систем и (или)
их отказов (нарушений функционирования), а также в результате воздействия
внешних событий.
К технологическим рискам относятся риски сбоя
технологии операций (риски сбоя компьютерной системы, потери документов из-за
отсутствия хранилища и железных шкафов, сбоя в системе SWIFT, ошибки в
концепции системы, несоизмеримые инвестиции, стоимость потерянного или
испорченного компьютерного оборудования, утрата или измерение системы
электронного аудита или логического контроля, уязвимость системы, компьютерное
мошенничество, уничтожение или исчезновение компьютерных данных).
Риски безопасности состоят из рисков общей
безопасности банка, внутренней и пожарной безопасности.
Риски инноваций состоят из проектных рисков
(риск уникальных проектов, внутрибанковский риск, рыночный или портфельный
риск), селективного риска (риск неправильного выбора инноваций), временного
риска (неправильное определение времени для инновации), рисков отсутствия
необходимых средств, риска изменения законодательства в сторону отмены нового
для банка вида деятельности.
Стратегические риски - это риски неполучения
запланированной прибыли в результате превышения допустимого риска, риск
неправильного выбора и неверной оценки размера и степени риска, риск неверного
решения банка (к примеру, риск неоднократной пролонгации одной и той же ссуды),
риски неверного определения сроков операций, отсутствия контроля за потерями
банка, неверного финансирования потерь, неверного выбора способов регулирования
рисков (например, получение гарантии юридического лица вместо оформления
договора залога) и пр. Все они с определенных позиций характеризуют качество
управления банком.
Бухгалтерские риски включают в себя: риски
потери денег из-за неправильных или несвоевременных начислений, ущерба
репутации банка в глазах третьих лиц, а также риски мошенничества из-за
большого количества неконтролируемых проводок, легкого доступа к ведению
бухгалтерии и ее упрощенной схемы.
Административные риски обычно связаны с утратой
платежных и иных документов. Административные риски тесно связаны с рисками
банковских злоупотреблений, которые связаны с валютной спекуляцией, спекуляцией
ценными бумагами, регулированием объемов кредитов и процентных ставок с целью
" нажима" на клиента, возможностью оказания воздействия на финансовое
состояние своего клиента, нарушением кредитных и договорных отношений со
стороны банка с преднамеренной целью, участием в сговоре, неверной экспертизой
проектов и консультирование с умыслом кражи, растраты, обмана.
Так называемые конкурентные риски для банков
связаны с возможностью слияния банков и небанковских учреждений, появлением
новых видов банковских операций и сделок, снижением стоимости услуг других
банков, повышением требований к качеству банковских услуг, легкостью возникновения
новых банковских учреждений, сложностью процедуры банкротства банков.
Макроэкономический риск связан с нарушением
основных пропорций в экономике страны и действием неблагоприятных финансовых
факторов.
К рискам перевода можно отнести:
– отсутствие валюты;
– риск ликвидности внешней торговли и
инвестиций, платежного баланса;
– отказ от выполнения обязательств;
– невыполнение обязательств в будущем;
– пересмотр договора;
– пересмотр плана;
– изменение стоимости инвалютных активов и
пассивов в национальной денежной единице.
Организационные риски включают:
– отсутствие или недостаток коммерческой и
финансовой информации и пр.
Эффективность управления банковскими рисками, в
первую очередь риском потери деловой репутации, в немалой степени зависит от
того, кем осуществляется управление банковскими рисками и кто участвует в
осуществлении банковских операций и других сделок.
В связи с этим кредитной организации
рекомендуется уделять надлежащее внимание выполнению принципа "Знай своего
служащего", обеспечивающего определенные проверочные стандарты при приеме
служащих на работу, а также контроль за подбором и расстановкой кадров, четкие
критерии квалификационных и личностных характеристик служащих применительно к
содержанию и объему выполняемой работы и мере ответственности.
В целях соблюдения принципа "Знай своего
служащего" кредитной организации (банку) рекомендуется предусматривать:
– квалификационные требования к служащим в
соответствии с характером их деятельности;
– разработку и доведение до каждого
служащего документа (например, должностной инструкции), регламентирующего
должностные обязанности, права и ответственность;
– своевременное доведение до всех служащих
принципов профессиональной этики;
– меры, обеспечивающие соблюдение
банковской тайны и исключающие превышение служащим пределов его полномочий;
– требования к ведению служащими первичной
учетной документации, отчетности, соблюдению правил документооборота;
– общие правила использования, хранения и
передачи служебной информации служащими при осуществлении банковских операций и
других сделок в соответствии с должностными обязанностями;
– недопустимость приема на работу и
избрания в совет директоров (наблюдательный совет) кредитной организации лиц,
не соответствующих требованиям к деловой репутации, устанавливаемым внутренними
документами кредитной организации, а также законодательства РФ;
– проведение подготовки (переподготовки)
служащих с разъяснением требований законодательства РФ, внутренних документов,
в том числе по порядку осуществления банковских операций и других сделок и их
отражения в учете, по управлению банковскими рисками, по противодействию
легализации (отмыванию) доходов, полученных преступным путем, и финансированию
терроризма;
– проведение подготовки и обучения
служащих с разъяснением подходов к изучению и идентификации клиентов, а в
случаях необходимости с разъяснением нормативных правовых актов стран
местонахождения нерезидентов-клиентов, зарубежных филиалов, дочерних и зависимых
организаций кредитной организации (подготовка и обучение служащих по вопросам
противодействия легализации (отмыванию) доходов, полученных преступным путем, и
финансированию терроризма осуществляется согласно порядку, определенному
Указанием Банка России);
– недопустимость участия в принятии
решений об осуществлении кредитной организацией банковских операций и других
сделок служащих, заинтересованных в их совершении;
– стимулирование предоставления служащими
в кредитную организацию сведений об участии самих служащих или их близких
родственников (определенных в качестве таковых законодательством РФ) в капитале
юридических лиц, которые являются клиентами и контрагентами кредитной
организации;
– контроль над соблюдением служащими
установленных служебных обязанностей и внутренних распорядков (регламентов);
– недопустимость включения в состав
служащих представителей юридических лиц - недобросовестных конкурентов;
– сбор и анализ информации о случаях
нарушения служащими трудовой дисциплины, законодательства РФ или проявления
неоправданного интереса к конфиденциальной информации.
Кредитной организации рекомендуется разработать
основные принципы управления операционным риском, определяющие:
– цели и задачи управления операционным
риском с учетом приоритетных направлений деятельности кредитной организации;
– основные методы выявления, оценки,
мониторинга (постоянного наблюдения) операционного риска;
– основные методы контроля и (или)
минимизации операционного риска (принятие мер по поддержанию риска на уровне,
не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной
организации);
– порядок представления отчетности и
обмена информацией по вопросам управления операционным риском;
– распределение полномочий и
ответственности между советом директоров (наблюдательным советом) и
исполнительными органами за реализацию основных принципов управления
операционным риском.
Степень детализации основных принципов
управления операционным риском зависит от уровня операционного риска, которому
подвергается кредитная организация.
Основные принципы управления операционным риском
рекомендуется реализовывать во внутренних документах кредитной организации,
определяющих:
– организационную структуру кредитной
организации, разделение и делегирование полномочий, функциональные обязанности,
порядок взаимодействия подразделений, служащих и обмена информацией;
– порядок, правила, процедуры совершения
банковских операций и других сделок, учетную политику, организацию внутренних
процессов;
– правила, порядки и процедуры функционирования
систем (технических, информационных и других);
– порядок разработки и представления
отчетности и иной информации;
– порядок стимулирования служащих и другие
вопросы.
При изменении, разработке и принятии новых
внутренних документов кредитной организации необходимо проводить оценку их
соответствия основным принципам управления операционным риском.
В целях создания условий для эффективного
управления операционным риском кредитной организации рекомендуется
учредительными и (или) внутренними документами отнести к компетенции совета
директоров (наблюдательного совета) следующие вопросы:
– утверждение основных принципов
управления операционным риском;
– создание организационной структуры
кредитной организации, соответствующей основным принципам управления
операционным риском;
– осуществление контроля за полнотой и
периодичностью проверок службой внутреннего контроля соблюдения основных
принципов управления операционным риском отдельными подразделениями и кредитной
организацией в целом;
– утверждение мер по обеспечению
непрерывности финансово-хозяйственной деятельности при совершении банковских
операций и других сделок, включая планы действий на случай непредвиденных
обстоятельств (планы по обеспечению непрерывности и (или) восстановления
финансово-хозяйственной деятельности);
– оценка эффективности управления
операционным риском;
Мониторинг операционного риска рекомендуется
осуществлять путем регулярного изучения системы показателей (в том числе
статистических, финансовых) деятельности кредитной организации.
Кредитной организации рекомендуется определять
периодичность осуществления мониторинга операционного риска на основе его
существенности для соответствующего направления деятельности, внутреннего
процесса или информационно-технологической системы.
В целях мониторинга операционного риска
рекомендуется создание системы индикаторов уровня операционного риска -
показателей или параметров, которые теоретически или эмпирически связаны с
уровнем операционного риска, принимаемого кредитной организацией.
В качестве индикаторов уровня операционного
риска могут быть использованы сведения о количестве несостоявшихся или
незавершенных банковских операций и других сделок, увеличении их частоты и
(или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени
(продолжительности) простоя информационно-технологических систем и других
показателях.
Для каждого индикатора рекомендуется установить
лимиты (пороговые значения), что позволит обеспечить выявление значимых для
кредитной организации операционных рисков и своевременное адекватное
воздействие на них.
Кроме того, рекомендуется установить
периодичность пересмотра системы индикаторов уровня операционного риска.
Контроль за соблюдением установленных правил и
процедур осуществляется в рамках системы внутреннего контроля.
В отношении контроля за операционным риском
наиболее важным является:
– контроль за соблюдением установленных
лимитов по проводимым банковским операциям и другим сделкам;
– соблюдение установленного порядка
доступа к информации и материальным активам банка;
– надлежащая подготовка персонала;
– регулярная выверка первичных документов
и счетов по проводимым банковским операциям и другим сделкам.
.4 Рекомендации по осуществлению контроля со
стороны органов управления за организацией деятельности кредитной организации
1.4.1 К компетенции совета директоров
(наблюдательного совета) рекомендуется отнесение следующих вопросов
– создание и функционирование эффективного
внутреннего контроля;
– регулярное рассмотрение на своих
заседаниях эффективности внутреннего контроля и обсуждение с исполнительными
органами кредитной организации вопросов организации внутреннего контроля и мер
по повышению его эффективности;
– рассмотрение документов по организации
системы внутреннего контроля, подготовленных исполнительными органами кредитной
организации, службой внутреннего контроля, должностным лицом (ответственным
сотрудником, структурным подразделением) по противодействию легализации
(отмыванию) доходов, полученных преступным путем, и финансированию терроризма, иными
структурными подразделениями кредитной организации, аудиторской организацией,
проводящей (проводившей) аудит;
– принятие мер, обеспечивающих оперативное
выполнение исполнительными органами кредитной организации рекомендаций и
замечаний службы внутреннего контроля, аудиторской организации, проводящей
(проводившей) аудит, и надзорных органов;
– своевременное осуществление проверки
соответствия внутреннего контроля характеру, масштабам и условиям деятельности
кредитной организации в случае их изменения.
1.4.2 К компетенции исполнительных органов
рекомендуется отнесение следующих вопросов:
– установление ответственности за
выполнение решений совета директоров (наблюдательного совета), реализацию
стратегии и политики кредитной организации в отношении организации и
осуществления внутреннего контроля;
– делегирование полномочий на разработку
правил и процедур в сфере внутреннего контроля руководителям соответствующих
структурных подразделений и контроль за их исполнением;
– проверка соответствия деятельности кредитной
организации внутренним документам, определяющим порядок осуществления
внутреннего контроля, и оценка соответствия содержания указанных документов
характеру и масштабам деятельности кредитной организации;
– распределение обязанностей подразделений
и служащих, отвечающих за конкретные направления (формы, способы осуществления)
внутреннего контроля;
– рассмотрение материалов и результатов
периодических оценок эффективности внутреннего контроля;
– создание эффективных систем передачи и
обмена информацией, обеспечивающих поступление необходимых сведений к
заинтересованным в ней пользователям. Системы передачи и обмена информацией
включают в себя все документы, определяющие операционную политику и процедуры
деятельности кредитной организации;
– создание системы контроля за устранением
выявленных нарушений и недостатков внутреннего контроля и мер, принятых для их
устранения.
1.4.3 Органам управления кредитной организации
рекомендуется:
– оценивать риски, влияющие на достижение
поставленных целей, и принимать меры, обеспечивающие реагирование на меняющиеся
обстоятельства и условия в целях обеспечения эффективности оценки банковских
рисков. Для эффективного выявления и наблюдения новых или не контролировавшихся
ранее банковских рисков организация системы внутреннего контроля кредитной
организации должна своевременно пересматриваться;
– обеспечить участие во внутреннем
контроле всех служащих кредитной организации в соответствии с их должностными
обязанностями;
– установить порядок, при котором служащие
доводят до сведения органов управления и руководителей структурных
подразделений кредитной организации (филиала) информацию обо всех нарушениях
законодательства Российской Федерации, учредительных и внутренних документов,
случаях злоупотреблений, несоблюдения норм профессиональной этики;
– принимать документы по вопросам
взаимодействия службы внутреннего контроля с подразделениями и служащими
кредитной организации и контролировать их соблюдение;
1.5 Система органов внутреннего контроля
В соответствии со статьями 10 и 24 Федерального
закона "О банках и банковской деятельности" в уставе кредитной
организации должны содержаться сведения о системе органов внутреннего контроля,
порядке их образования и полномочиях, а организационная структура кредитной
организации в части распределения полномочий между членами совета директоров
(наблюдательного совета) коллегиального исполнительного органа, определения
полномочий единоличного исполнительного органа, полномочий, подотчетности и
ответственности всех подразделений кредитной организации, служащих должна
соответствовать характеру и масштабам проводимых операций.
Внутренний контроль должны осуществлять в
соответствии с полномочиями, определенными учредительными и внутренними
документами кредитной организации:
– органы управления кредитной организации,
предусмотренные статьей 11.1 Федерального закона «О банках и банковской
деятельности»;
– ревизионная комиссия (ревизор);
– главный бухгалтер (его заместители)
кредитной организации;
– руководитель (его заместители) и главный
бухгалтер (его заместители) филиала кредитной организации;
– подразделения и служащие, осуществляющие
внутренний контроль в соответствии с полномочиями, определяемыми внутренними
документами кредитной организации, включая:
Службу внутреннего контроля (внутреннего аудита)
(далее - служба внутреннего контроля) - структурное подразделение кредитной
организации, создается для осуществления внутреннего контроля и содействия
органам управления кредитной организации в обеспечении эффективного
функционирования кредитной организации.
Внутренний документ, регулирующий деятельность
службы внутреннего контроля (далее - положение о службе внутреннего контроля)
должен определять:
– цели и сферу деятельности службы
внутреннего контроля;
– принципы (стандарты) и методы
деятельности службы внутреннего контроля, отвечающие требованиям настоящего
Положения;
– статус службы внутреннего контроля в
организационной структуре кредитной организации, ее задачи, полномочия, права и
обязанности, а также взаимоотношения с другими подразделениями кредитной
организации, в том числе осуществляющими контрольные функции;
– подчиненность и подотчетность
руководителя службы внутреннего контроля;
– обязанность руководителя службы
внутреннего контроля информировать о выявляемых при проведении проверок
нарушениях (недостатках) по вопросам, определяемым кредитной организацией,
совет директоров (наблюдательный совет), единоличный и коллегиальный
исполнительный орган и руководителя структурного подразделения кредитной
организации, в котором проводилась проверка;
– обязанность руководителя и служащих
службы внутреннего контроля информировать органы управления кредитной
организации о всех случаях, которые препятствуют осуществлению службой
внутреннего контроля своих функций;
– порядок участия службы внутреннего
контроля в разработке внутренних документов кредитной организации;
– ответственность руководителя службы
внутреннего контроля в случаях неинформирования или несвоевременного
информирования по вопросам, определяемым кредитной организацией, совета
директоров (наблюдательного совета), единоличного и коллегиального исполнительного
органа.
Положение о службе внутреннего контроля
утверждается советом директоров (наблюдательным советом) кредитной организации
в соответствии со статьями 48 и 65 Федерального закона «Об акционерных
обществах» (Собрание законодательства Российской Федерации, 1996, N 1, ст. 1;
2001, N 33 (часть I), ст. 3423; 2002, N 45, ст. 4436) и статьей 32 Федерального
закона «Об обществах с ограниченной ответственностью» (Собрание
законодательства Российской Федерации, 1998, N 7, ст. 785), если в уставе
кредитной организации не предусмотрено иное.
Служба внутреннего контроля осуществляет
следующие функции:
– проверка и оценка эффективности системы
внутреннего контроля;
– проверка полноты применения и
эффективности методологии оценки банковских рисков и процедур управления
банковскими рисками (методик, программ, правил, порядков и процедур совершения
банковских операций и сделок, управления банковскими рисками);
– проверка надежности функционирования
системы внутреннего контроля за использованием автоматизированных информационных
систем, включая контроль целостности баз данных и их защиты от
несанкционированного доступа и (или) использования, наличие планов действий на
случай непредвиденных обстоятельств;
– проверка достоверности, полноты,
объективности и своевременности бухгалтерского учета и отчетности и их
тестирование, а также надежности (включая достоверность, полноту и
объективность) и своевременности сбора и представления информации и отчетности;
– проверка достоверности, полноты,
объективности и своевременности представления иных сведений в соответствии с
нормативными правовыми актами в органы государственной власти и Банк России;
– проверка применяемых способов (методов)
обеспечения сохранности имущества кредитной организации;
– оценка экономической целесообразности и
эффективности совершаемых кредитной организацией операций;
– проверка соответствия внутренних
документов кредитной организации нормативным правовым актам, стандартам
саморегулируемых организаций (для профессиональных участников рынка ценных
бумаг);
– проверка процессов и процедур
внутреннего контроля;
– проверка систем, созданных в целях
соблюдения правовых требований, профессиональных кодексов поведения;
– оценка работы службы управления
персоналом кредитной организации;
– другие вопросы, предусмотренные
внутренними документами кредитной организации.
Кредитная организация обязана обеспечить
постоянство деятельности, независимость и беспристрастность службы внутреннего
контроля, профессиональную компетентность ее руководителя и служащих, создать
условия для беспрепятственного и эффективного осуществления службой внутреннего
контроля своих функций.
Постоянство деятельности службы внутреннего
контроля означает, что служба внутреннего контроля кредитной организации должна
действовать на постоянной основе.
Кредитная организация должна установить
численный состав, структуру и техническую обеспеченность службы внутреннего
контроля в соответствии с масштабами деятельности, характером совершаемых
банковских операций и сделок.
Служба внутреннего контроля должна
состоять из служащих, входящих в штат кредитной организации.
Не допускается передача функций службы
внутреннего контроля кредитной организации сторонней организации, за
исключением следующего случая:
– В кредитной организации, входящей в
состав банковской группы, допускается передача отдельных функций службы
внутреннего контроля службе внутреннего контроля другой кредитной организации,
входящей в банковскую группу. Основанием для принятия решения о передаче
отдельных функций службы внутреннего контроля является отсутствие у кредитной
организации специалистов по подлежащим контролю видам деятельности и
невозможность или нецелесообразность найма таких специалистов на постоянной
основе с учетом характера и масштабов деятельности кредитной организации. Перечень
передаваемых функций, порядок взаимодействия и ответственность при
осуществлении функций службы внутреннего контроля должны быть согласованы между
кредитными организациями в письменной форме. При этом ответственность за
эффективность осуществления переданных функций несет кредитная организация,
принявшая решение о передаче отдельных функций службы внутреннего контроля.
Сведения о передаче отдельных функций службы
внутреннего контроля в кредитных организациях, входящих в состав банковской
группы, содержащие перечень передаваемых функций, порядок взаимодействия и
ответственность при осуществлении функций службы внутреннего контроля,
представляются в территориальные учреждения Банка России по месту обслуживания
каждой из указанных кредитных организаций, входящих в состав банковской группы.
Независимость службы внутреннего контроля.
Кредитная организация обеспечивает независимость
службы внутреннего контроля в соответствии с порядком, в котором должно быть
установлено, что служба внутреннего контроля:
– действует под непосредственным контролем
совета директоров (наблюдательного совета);
– не осуществляет деятельность,
подвергаемую проверкам, за исключением случаев, предусмотренных абзацем пятым
настоящего подпункта;
– по собственной инициативе докладывает
совету директоров (наблюдательному совету) о вопросах, возникающих в ходе
осуществления службой внутреннего контроля своих функций, и предложениях по их
решению, а также раскрывает эту информацию единоличному и коллегиальному
исполнительному органу кредитной организации;
– подлежит независимой проверке
аудиторской организацией или советом директоров (наблюдательным советом), если
такая проверка предусмотрена уставом кредитной организации.
Во внутренних документах кредитной организации
должно быть предусмотрено:
– порядок утверждения положения о службе
внутреннего контроля, годовых и текущих планов проверок, отчетов о выполнении
планов проверок в соответствии со статьями 48 и 65 Федерального закона "Об
акционерных обществах" и со статьей 32 Федерального закона "Об
обществах с ограниченной ответственностью";
– подотчетность руководителя службы
внутреннего контроля совету директоров (наблюдательному совету) кредитной
организации;
– подчиненность руководителя подразделения
внутреннего контроля филиала кредитной организации (при наличии подразделения
внутреннего контроля в филиале) или служащего филиала кредитной организации,
выполняющего функции представителя службы внутреннего контроля кредитной
организации в соответствующем филиале, руководителю службы внутреннего контроля
кредитной организации;
– право руководителя службы внутреннего
контроля взаимодействовать с соответствующими руководителями кредитной
организации (ее подразделений) для оперативного решения вопросов и порядок
такого взаимодействия;
– невозможность функционального подчинения
руководителю (его заместителям) службы внутреннего контроля иных подразделений
кредитной организации, а также совмещения служащими службы внутреннего контроля
(включая руководителя и его заместителей) своей деятельности с деятельностью в
других подразделениях кредитной организации;
– участие службы внутреннего контроля в
разработке внутренних документов кредитной организации.
Служба внутреннего контроля не вправе
участвовать в совершении банковских операций и других сделок.
Руководитель и служащие службы внутреннего
контроля не имеют права подписывать от имени кредитной организации платежные
(расчетные) и бухгалтерские документы, а также иные документы, в соответствии с
которыми кредитная организация принимает банковские риски, либо визировать
такие документы.
Беспристрастность службы внутреннего контроля.
Кредитная организация обеспечивает решение
поставленных перед службой внутреннего контроля задач без вмешательства со
стороны органов управления, подразделений и служащих кредитной организации, не
являющихся служащими службы внутреннего контроля.
Руководитель (его заместители) и служащие службы
внутреннего контроля, ранее занимавшие должности в других структурных
подразделениях кредитной организации, не должны участвовать в проверке
деятельности и функций, которые осуществлялись ими в течение проверяемого
периода и в течение двенадцати месяцев после завершения такой деятельности и
осуществления функций.
Кредитная организация вправе устанавливать
порядок перемещения (периодичность, обоснованность) руководителя (его
заместителей) и служащих службы внутреннего контроля на другие должности в
кредитной организации в случае изменения характера и масштабов деятельности,
появления новых видов или направлений деятельности и т.п.
Руководителем службы внутреннего контроля
рекомендуется не назначать лицо, работающее по совместительству.
Профессиональная компетентность руководителя
(его заместителей) и служащих службы внутреннего контроля.
Руководитель (его заместители) и служащие службы
внутреннего контроля должны владеть достаточными знаниями о банковской
деятельности и методах внутреннего контроля и сбора информации, ее анализа и
оценки в связи с выполнением служебных обязанностей.
Кредитная организация укомплектовывает службу
внутреннего контроля служащими, имеющими высокий уровень профессиональной
квалификации и подготовки.
Кредитной организации рекомендуется
устанавливать для руководителя (его заместителей) службы внутреннего контроля
требования о наличии опыта руководства структурным подразделением кредитной
организации, связанным с совершением банковских операций и других сделок.
Обучение (переподготовку) руководителя (его
заместителей) и служащих службы внутреннего контроля рекомендуется осуществлять
на регулярной основе.
Создание условий для беспрепятственного и
эффективного осуществления службой внутреннего контроля своих функций.
Служба внутреннего контроля обязана осуществлять
проверки по всем направлениям деятельности кредитной организации. Объектом
проверок является любое подразделение и служащий кредитной организации.
Основные способы (методы) осуществления проверок
службой внутреннего контроля, которые следует использовать кредитной
организации, предусмотрены Приложением 3 к настоящему Положению.
Службой внутреннего контроля осуществляется
контроль за эффективностью принятых подразделениями и органами управления по
результатам проверок мер, обеспечивающих снижение уровня выявленных рисков, или
документирование принятия руководством подразделения и (или) органами
управления решения о приемлемости выявленных рисков для кредитной организации.
Если, по мнению руководителя службы внутреннего
контроля, руководство подразделения и (или) органы управления взяли на себя
риск, являющийся неприемлемым для кредитной организации, или принятые меры контроля
неадекватны уровню риска, то руководитель службы внутреннего контроля обязан
проинформировать совет директоров (наблюдательный совет) кредитной организации.
Кредитная организация должна установить порядок:
– представления не реже одного раза в
полгода службой внутреннего контроля информации о принятых мерах по выполнению
рекомендаций и устранению выявленных нарушений совету директоров
(наблюдательному совету), единоличному исполнительному органу (его
заместителям) и (или) коллегиальному исполнительному органу.
«О рекомендациях по разработке кредитными
организациями правил внутреннего контроля в целях противодействия легализации
(отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
(см. письмо ЦБ РФ от 13.07.2005 N
99-Т).
«О квалификационных требованиях к специальным
должностным лицам, ответственным за соблюдение правил внутреннего контроля в
целях противодействия легализации (отмыванию) доходов, полученных преступным
путем, и финансированию терроризма и программ его осуществления в кредитных
организациях» (см. Указание ЦБ РФ от 09.08.2004 N
1486-У).
Ответственного сотрудника (структурное
подразделение) по противодействию легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма - должностное лицо (структурное
подразделение), ответственное за разработку и реализацию правил внутреннего
контроля в целях противодействия легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма, программ его осуществления и
иных внутренних организационных мер в указанных целях, а также за организацию
представления в уполномоченный орган по противодействию легализации (отмыванию)
доходов, полученных преступным путем, и финансированию терроризма сведений в
соответствии с Федеральным законом "О противодействии легализации
(отмыванию) доходов, полученных преступным путем, и финансированию
терроризма" и нормативными актами Банка России.
Иные структурные подразделения и (или)
ответственных сотрудников кредитной организации, к которым, в зависимости от
характера и масштаба деятельности кредитной организации, могут относиться:
– контролер профессионального участника рынка
ценных бумаг - ответственный сотрудник и (или) структурное подразделение,
осуществляющее проверку соответствия деятельности кредитной организации, как
профессионального участника рынка ценных бумаг, требованиям законодательства
Российской Федерации о ценных бумагах и защите прав и законных интересов
инвесторов на рынке ценных бумаг, нормативных правовых актов федерального
органа исполнительной власти по рынку ценных бумаг;
– ответственный сотрудник по правовым
вопросам - сотрудник и (или) структурное подразделение, отвечающее за проверку
соблюдения нормативных правовых актов, стандартов саморегулируемых организаций
(для профессиональных участников рынка ценных бумаг), учредительных и
внутренних документов кредитной организации.
Глава 2.
Создание политики
.1 Рекомендации по созданию политики ИБ
Наступление любой из кризисных ситуаций может
быть вызвано неправомерным использованием информационных активов организации, а
результатом становится риск потери бизнеса. Безусловно, кризисные ситуации
могут наступить и по причине форс-мажорных ситуаций, но - как показывает
практика и статистика - угрозы в области информационной безопасности
существенно более реальны.
Зависимость финансовых организаций от
компьютерных и телекоммуникационных ресурсов свидетельствует о необходимости
разработки планов аварийного восстановления всех банковских систем в случае
возникновения кризисной ситуации.
Планы аварийного восстановления для
финансово-кредитных учреждений являются одним из требований Центрального банка
РФ и входят в состав обязательных документов внутреннего контроля наряду с
политикой обеспечения ИБ.
Рекомендуется, чтобы положения документов по
обеспечению ИБ организации БС РФ:
– носили не рекомендательный, а
обязательный характер;
– были выполнимыми и контролируемыми. Не
рекомендуется включать в состав этих документов положения, контроль реализации
которых затруднен или невозможен;
– были адекватны требованиям и условиям
ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их
изменчивости;
– не противоречили друг другу.
В состав документов организации БС РФ
рекомендуется включить документ (классификатор), содержащий перечень и
назначение всех документов организации БС РФ (для каждого из вышеопределенных
уровней иерархической структуры), регламентирующих деятельность по обеспечению
ИБ организации БС РФ. Указанный классификатор может быть полезен при
осуществлении менеджмента документов организации БС РФ, для повышения степени
осведомленности сотрудников организации БС РФ, а также при выполнении аудита
информационной безопасности организации БС РФ.
При наличии у организации БС РФ сети филиалов
(территориальных учреждений) в каждом из филиалов (территориальном учреждении)
рекомендуется иметь единый для организации БС РФ, утвержденный комплект
документов по обеспечению ИБ. В случае возникновения необходимости учета
специфики конкретных филиалов в них должны быть разработаны собственные
документы, учитывающие эту специфику. Рекомендуется, чтобы документы по
обеспечению ИБ филиала (территориального учреждения) организации БС РФ
базировались на положениях документов по обеспечению ИБ, принятых головной
организацией (центральным аппаратом) организации БС РФ, и не противоречили им.
В состав внутренних документов организаций БС РФ
по обеспечению ИБ рекомендуется включать следующие виды документов
(документированной информации):
– документы, содержащие положения
корпоративной политики ИБ организации БС РФ (документы первого уровня),
определяют высокоуровневые цели, содержание и основные направления деятельности
по обеспечению ИБ, предназначенные для организации в целом;
– документы, содержащие положения частных
политик (документы второго уровня), детализируют положения корпоративной
политики ИБ применительно к одной или нескольким областям ИБ, видам и
технологиям деятельности организации БС РФ;
– документы, содержащие положения ИБ,
применяемые к процедурам (порядку выполнения действий или операций) обеспечения
ИБ (документы третьего уровня), содержат правила и параметры, устанавливающие
способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках
технологических процессов, используемых в организации БС РФ, либо ограничения
по выполнению отдельных действий, связанных с реализацией защитных мер, в
используемых технологических процессах (технические задания, регламенты,
порядки, инструкции);
– документы, содержащие свидетельства
выполненной деятельности по обеспечению ИБ (документы четвертого уровня),
отражают достигнутые результаты (промежуточные и окончательные), относящиеся к
обеспечению ИБ организации БС РФ.
.2 Разработка корпоративной политики
Корпоративная политика ИБ определяет на высоком
(общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы
контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика
ИБ организации БС РФ определяет содержание, назначение и требования к
деятельности по обеспечению ИБ организации БС РФ без указания специфических
деталей.
В корпоративной политике ИБ организации БС РФ
рекомендуется определять высокоуровневые правила и требования к деятельности по
управлению рисками, в том числе по анализу и выработке позиций в отношении
рисков.
Корпоративная политика ИБ организации БС РФ
может быть представлена как в виде комплекта документов, так и в виде единого
обобщающего документа.
В корпоративную политику ИБ организации БС РФ
рекомендуется включать следующие положения:
– определение ИБ в терминах деятельности
данной организации БС РФ, области действия политики, целей, задач и принципов
обеспечения ИБ организации БС РФ;
– изложение намерения обеспечения ИБ,
направленного на достижение указанных целей и на реализацию принципов
обеспечения ИБ;
– общие сведения об активах, подлежащих
защите, их классификацию;
– модели угроз и нарушителей (внутреннего
и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на
противодействие которым ориентирована корпоративная политика ИБ;
– высокоуровневое изложение правил и
требований в области ИБ, представляющих особую важность для организации БС РФ,
например:
– обеспечение соответствия законодательным
актам, нормативным документам РФ в области обеспечения ИБ и нормативным актам
Банка России;
– требования к управлению ИБ;
– требования по предотвращению и
обнаружению компьютерных вирусов и другого вредоносного программного
обеспечения;
– требования по управлению непрерывностью
бизнеса;
– санкции и последствия нарушений политики
безопасности;
– определение общих ролей и обязанностей,
связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
– перечень частных политик ИБ, развивающих
и детализирующих положения корпоративной политики ИБ, а также указание
подразделений организации БС РФ, ответственных за их соблюдение и/или
реализацию;
– положения по контролю реализации
корпоративной политики информационной безопасности организации БС РФ;
– ответственность за реализацию и
поддержку документа;
– условия пересмотра (выпуска новой
редакции) документа.
К разработке и согласованию корпоративной
политики ИБ рекомендуется привлекать представителей следующих служб организации
БС РФ, связанных с ее информационной сферой:
– руководство организации БС РФ;
– профильные подразделения;
– служба информатизации;
– служба безопасности (информационной
безопасности).
Корпоративная политика ИБ должна быть утверждена
руководителем организации БС РФ (например, председателем, генеральным
директором, президентом, руководителем филиала).
На основе корпоративной политики безопасности
информационных и коммуникационных технологий должны быть разработаны указания,
обязательные для выполнения всеми менеджерами и служащими. Это может
потребовать подписи на документе от каждого служащего, который признает за
собой ответственность за безопасность внутри организации. Далее должна быть
разработана и реализована Программа компетентности и обучения безопасности, в
которой указываются все эти ответственности.
Должен быть назначен ответственный за
корпоративную политику безопасности информационных и коммуникационных
технологий и за обеспечение того, что эта политика отражает требования и
действующий статус организации. Этот ответственный обычно является официальным
лицом корпоративной безопасности информационных и коммуникационных технологий,
который, кроме прочего, должен отвечать и за последующую деятельность, которая
включает проверку соответствия безопасности, повторные анализы и аудиты,
обработку инцидентов и слабостей безопасности и любые изменения в корпоративной
политике безопасности информационных и коммуникационных технологий, которые
могут оказаться необходимыми в результате проведения этих действий.
2.3 Разработка частных политик
Второй уровень документов по обеспечению ИБ
составляют документы, определяющие правила, требования и принципы, используемые
применительно к отдельным областям ИБ, видам и технологиям деятельности
организации БС РФ.
Кроме того, в состав документов данного уровня
рекомендуется включить планы работ по обеспечению ИБ организации БС РФ и
стандарты технологий обеспечения ИБ организации БС РФ.
Не рекомендуется повторение одинаковых правил в
различных частных политиках. Включение в частную политику правила,
содержащегося в другой (существующей) политике, целесообразно осуществлять
посредством соответствующей ссылки. Например, для того чтобы в «Политику
обеспечения ИБ информационных банковских технологических процессов» включить
требования по антивирусной защите, следует сделать ссылку на «Политику
антивирусной защиты» (при ее наличии).
Частные политики формируются на основании
принципов, требований и задач, определенных в корпоративной политике ИБ
организации БС РФ, с учетом детализации, уточнения и дополнительной
классификации активов и угроз, определения владельцев активов, анализа, оценки
рисков и возможных последствий реализаций угроз в границах области действия
регламентируемой области или технологии.
В частные политики ИБ организации БС РФ рекомендуется
включать положения, определяющие:
– цели и задачи ИБ, на обеспечение которых
направлена частная политика;
– область действия политики, определение
объектов (активов) защиты, уязвимостей, угроз и оценка рисков, связанных с
объектами защиты;
– сведения о виде деятельности, на
обеспечение ИБ которой направлено действие положений частной политики, о
совокупности банковских технологий, применяемых в рамках выполнения данного
вида деятельности, и об основных технологических процессах, реализующих указанные
технологии;
– определение субъектов (ролей), на
которых распространяется действие документа. В качестве субъектов (ролей) могут
рассматриваться как структурные подразделения организации БС РФ, так и
отдельные исполнители;
– содержательную часть документа
(требования и правила);
– обязанности по обеспечению ИБ в рамках
области действия частной политики ИБ, описание функций субъектов (ролей) над
управляемыми объектами в рамках регламентируемых технологических процессов;
– состав ссылочных документов;
– положения по контролю реализации частной
политики ИБ;
– ответственность за реализацию и
поддержку документа;
– условия пересмотра документа.
В состав планов работ по обеспечению ИБ
организации БС РФ рекомендуется включать, но не ограничиваться ими:
– планы по реализации и внедрению
процедур, требований и мер обеспечения ИБ;
– планы мероприятий по обеспечению
деятельности в рамках управления ИБ;
– планы мероприятий по управлению
документами, связанными с обеспечением ИБ;
– планы работ по обслуживанию аппаратных
средств и программных систем, используемых для обеспечения ИБ;
– планы мероприятий по обучению и
повышению осведомленности служащих организации БС РФ.
В планах работ по обеспечению ИБ рекомендуется
описывать перечень, порядок, объем (в той или иной форме), сроки выполнения
мероприятий по реализации задач обеспечения ИБ организации БС РФ, а также
указывать руководителей, исполнителей и ответственность за выполнение этих
мероприятий.
Планы по обеспечению ИБ как минимум должны
определять:
– последовательность выполнения
мероприятий в рамках деятельности по обеспечению ИБ;
– сроки начала и окончания запланированных
мероприятий;
– субъектов (лиц или структурные
подразделения), ответственных за выполнение каждого указанного мероприятия.
Стандарты технологий обеспечения ИБ организации
БС РФ устанавливают требования и характеристики, предназначенные для всеобщего
и многократного использования, касающиеся обеспечения ИБ организации БС РФ.
Стандарты технологий обеспечения ИБ организации БС РФ могут разрабатываться как
в отношении специализированных технологий обеспечения ИБ, так и в отношении
технологий, реализуемых банковскими информационными системами.
Структуру и содержание стандартов технологий
обеспечения ИБ организации БС РФ рекомендуется разрабатывать на основе
требований ГОСТ Р 1.4-2004.
К разработке и согласованию частных политик
обеспечения ИБ рекомендуется привлекать представителей:
– руководства организации БС РФ и
профильных подразделений;
– служб информатизации и безопасности.
Документы второго уровня могут быть утверждены
руководителем организации БС РФ (профильного подразделения организации БС РФ),
его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию
которых входят вопросы, отраженные в этих документах.
Контроль доступа, идентификация.
Необходимо обратить внимание на два момента:
– следует избегать множественных паролей в
различных системах для одного пользователя;
– тщательно отслеживать прекращение
доступа к системам покинувших организацию сотрудников.
Вредоносные программы. Современные тенденции
таковы, что компаниям приходится тратить миллионы долларов на ликвидацию
последствий от вредоносных программ (таких как черви, вирусы, трояны и пр.) и
еще большее количество денег - на обеспечение информационной безопасности при
помощи оборудования, программного обеспечения, консультаций экспертов и
постоянного обучения персонала. Серьезность воздействия и усложнение
вредоносных программ постоянно возрастает, и регулярных обновлений антивирусных
программ уже недостаточно для защиты.
2.4 Разработка должностных инструкций и
положений
Несмотря на то, что в ТК РФ не содержится
упоминания о должностной инструкции, она является важным документом,
содержанием которого является не только трудовая функция работника, круг
должностных обязанностей, пределы ответственности, но и квалификационные
требования, предъявляемые к занимаемой должности. При этом, если порядок
составления инструкции нормативными правовыми актами не урегулирован,
работодатель самостоятельно решает, как ее оформить и вносить в нее изменения.
Уровень организационной культуры. Исследования
показали, что большинство организаций наблюдают за своими сотрудниками и
пытаются контролировать использование корпоративных информационных ресурсов, в
основном акцентируя внимание на использовании сети Интернет и сообщений
электронной почты. В случае проведения контрольных мероприятий сотрудники
обязательно должны быть об этом уведомлены.
Для организации рекомендуется определить и
задокументировать список сведений, подлежащих защите, и заключать соглашение о
конфиденциальности как со своими сотрудниками, так и с внешними организациями,
имеющими доступ к сведениям подобного рода.
Третий уровень документов по обеспечению ИБ
составляют документы, содержащие требования к процедурам обеспечения ИБ,
выполняемым работниками в рамках технологических процессов, реализующих
технологии, требования ИБ к которым определены в частных политиках организации
БС РФ.
В документах, содержащих требования ИБ к процедурам,
выполняемым как структурными подразделениями организации БС РФ, так и ее
работниками, рекомендуется давать детализированные описания порядка выполняемых
действий и (или) вводимых ограничений, что должно позволить четко определить
правила выполнения задач обеспечения ИБ на каждом рабочем месте, для каждой
роли ИБ, а также установить конкретную ответственность за выполнение
предписанных требований.
К документам, содержащим требования ИБ к
процедурам, относятся, например:
– инструкции по обеспечению ИБ, в том
числе и должностные;
– руководства по обеспечению ИБ, например,
по классификации активов;
– методические указания по обеспечению ИБ;
– документы, содержащие требования к
конфигурациям.
Инструкции, руководства, методические указания
по обеспечению ИБ содержат свод правил, устанавливающих порядок и способ
выполнения отдельных операций по обеспечению ИБ.
К инструкциям, руководствам, методическим
указаниям по обеспечению ИБ предъявляются повышенные требования четкости и
ясности изложения текста. Документы этого уровня, в отличие от документов
вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников
для решения определенных им (например, ролью) задач либо конкретные
ограничения.
Рекомендуется, чтобы инструкции, руководства,
методические указания по обеспечению ИБ содержали:
– определение субъекта (субъектов),
деятельность которых регламентируется инструкцией, и/или наименование
деятельности, которая описывается инструкцией;
– ресурсы, необходимые для выполнения
деятельности;
– детальное описание выполняемых операций,
включая накладываемые ограничения, и результат выполнения операций;
– обязанности субъекта (субъектов) в
рамках выполнения регламентируемой деятельности;
– права и ответственность субъекта
(субъектов).
Документы, содержащие требования к
конфигурациям, определяют конкретные значения параметров систем и их
компонентов, а также способы их настройки, позволяющие обеспечить требуемый
уровень ИБ.
Документы, содержащие процедурные требования ИБ,
могут быть утверждены лицами, ответственными за реализацию соответствующих
видов деятельности по обеспечению ИБ.
Глава 3.
Ввод в эксплуатацию
.1 Ознакомление сотрудников
Внутренние угрозы. ИБ должна быть составной
частью бизнес-процессов организации, охватывая всех сотрудников, независимо от
их служебного положения. По статистике, только 20% проблем ИБ можно решить
технически, остальные 80% - проблемы, связанные с персоналом компании, который
намеренно или случайно совершает ошибки, ведущие к существенным потерям в
бизнесе.
Обучение персонала предусматривает решение
следующих вопросов: контроль доступа к корпоративным данным при найме и
увольнении сотрудников, проведение регулярного обучения сотрудников
установленным правилам ИБ и ознакомление с предусмотренными мерами
ответственности за их нарушение.
В область эффективного менеджмента входят такие
вопросы операционной безопасности, как разграничение полномочий и обеспечение
функциональной взаимозаменяемости сотрудников. Операционная безопасность
является объектом пристального внимания сотрудников, отвечающих за ИБ, а также
внешних и внутренних аудиторов и других регулирующих организаций. Объясняется
это тем, что операции, проводимые персоналом компании, должны соответствовать
определенным принципам и быть прозрачными для проверок на предмет отсутствия
мошенничества, преступного сговора, модификации платежных документов,
разграничения функций ввода и подтверждения правильности введенной информации.
.2
Создание документов 4-го уровня
Четвертый уровень документов по обеспечению ИБ
составляют документы, содержащие записи о результатах реализации деятельности
по обеспечению ИБ, регламентированной документами верхних уровней.
Свидетельства выполненной деятельности совместно с документами более высоких
уровней иерархии могут служить документированным доказательством реализации
требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ
организации БС РФ.
К этой группе документов относятся, например:
– реестры и описи (например, опись
информационных активов организации БС РФ);
– регистрационные журналы, в том числе
журналы регистрации инцидентов;
– протоколы (например, протокол проведения
испытаний);
– листы ознакомления;
– обязательства (например, обязательства о
неразглашении);
– акты;
– договоры;
– отчеты.
Наличие документов организации БС РФ, содержащих
свидетельства выполненной деятельности по обеспечению ИБ, определяется
требованиями, зафиксированными во внутренних документах по обеспечению ИБ
верхних уровней иерархии.
Документы, содержащие свидетельства выполненной
деятельности по обеспечению ИБ, могут быть представлены как в электронной
форме, так и на бумажном носителе.
Рекомендуется по возможности дублировать
документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ,
представленные в электронной форме, на бумажный носитель.
Должно обеспечиваться архивное хранение
документов, содержащих свидетельства выполненной деятельности по обеспечению
ИБ. Время хранения может определяться как требованиями законодательных актов
Российской Федерации и требованиями Банка России, так и требованиями самой
организации БС РФ.
.3 Аудит
Итак, мы разработали политику безопасности,
воплотили в жизнь ее положения. Как теперь оценить ИБ фирмы? может быть, все
усилия потрачены впустую? На эти вопросы поможет ответить аудит безопасности. Существуют
фирмы, предоставляющие подобные услуги. Известны, по крайней мере, два подхода
к оценке.
Первый - оценка безопасности на качественном
уровне. Эксперт высказывает свое видение состояния дел в фирме, дает
рекомендации по устранению замеченных им изъянов. Недостаток такого подхода -
его субъективизм. Хотелось бы иметь действительно независимую оценку ИБ. Причем
было бы неплохо, чтобы эту количественную, оценку признавали и другие фирмы -
ваши потенциальные партнеры. Очевидно, что для этого необходима разработка
некоторого набора правил или стандарта в области безопасности информационных
систем.
К счастью, почти ничего создавать не надо:
стандарт, позволяющий дать количественную оценку ИБ, уже имеется. Речь идет о
международном стандарте ISO
17799. Этот документ был принят международным институтом стандартов в конце
2002 года на основе ранее разработанного Великобританией стандарта BS7799.
И хотя он пока не является общепринятым документом в нашей стране, он не
противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.
Стандарт ISO
17799 позволяет получить количественную оценку комплексной безопасности фирмы.
Этот процесс настолько формализован, что существует программное обеспечение,
позволяющее самостоятельно выполнить оценку безопасности своей компании. Это
программное обеспечение представляет собой, по существу, вопросник.
Сгенерированный программой отчет отправляется в адрес фирмы, имеющей полномочия
на проведение сертификации на соответствие этому стандарту, и та присылает вам
соответствующий знак и процент соответствия стандарту.
.4 Обязанности и роль внешних аудиторов
Несмотря на то что внешние аудиторы по
определению не являются частью банковского учреждения и поэтому не входят в его
систему внутреннего контроля, их деятельность, в процессе которой с
руководством обсуждаются рекомендации по улучшению внутреннего контроля,
оказывает важное влияние на качество внутреннего контроля. К тому же внешние
аудиторы обеспечивают обратную связь, помогающую следить за эффективностью
системы внутреннего контроля.
Поскольку главной целью внешнего аудита является
предоставление заключения о годовой финансовой отчетности банка, внешние
аудиторы должны оценить эффективность службы внутреннего контроля банка, чтобы
по возможности опираться на ее выводы в своей работе. По этой причине внешние
аудиторы должны хорошо понимать систему внутреннего контроля банка для того,
чтобы оценить, в какой степени они могут полагаться на нее при определении
характера, сроков и сфер аудиторской проверки.
Специфическая роль внешних аудиторов и методы,
которые они используют в своей работе, зависят от конкретной страны. Согласно
профессиональным стандартам аудита, принятым во многих странах, аудиторские
проверки должны проводиться на основе плана и осуществляться с целью получения
достаточной уверенности, что финансовые отчеты свободны от существенных
искажений. Также на выборочной основе аудиторы проверяют документальные
подтверждения операций и учетных записей, являющихся основанием для финансовой
(бухгалтерской) и публикуемой отчетности. Аудитор оценивает используемые
принципы и правила бухгалтерского учета и существенные допущения, сделанные
руководством, а также общее представление финансовой отчетности. В некоторых
странах надзорные органы требуют, чтобы внешние аудиторы представляли
конкретную оценку круга вопросов, адекватности и эффективности системы
внутреннего контроля банка, включая систему внутреннего аудита.
3.5 Возможные технические решения
Суть проблемы. В крупных системах велико
количество пользователей, приложений и информационных ресурсов, взаимосвязи
между ними сложны и разнообразны. В таких системах, как правило, применяются
различные средства защиты, но при построении системы защиты очень важно
правильно ее внедрить, грамотно ее эксплуатировать.
И если первая задача обычно проблем не вызывает,
то задача эксплуатации, управления системой на протяжении ее жизненного цикла
часто становится камнем преткновения.
За безопасность информационных систем чаще всего
отвечает специальное подразделение - служба безопасности, однако управление
частью встроенных в приложения и операционные системы механизмов защиты лежит
на IT-подразделении. Эти
настройки зачастую даже не контролируются службой безопасности.
А это означает, что рано или поздно наступает
момент, когда настройки системы защиты и настройки штатных механизмов начинают
расходиться. Это происходит потому, что отсутствуют процедуры, регламентирующие
внесение изменений в информационную систему и в настройки механизмов
безопасности. Кроме того, внести изменения в реальные настройки системы гораздо
проще и быстрее, чем оформить их ( да и набрать номер администратора или
забежать к нему по пути куда-либо проще, чем писать заявку). В результате в
определенный момент времени практически невозможно ответить на вопрос: почему к
данному ресурсу имеют доступ данные пользователи? Потеряна история всех
производимых изменений, и уже нельзя определить - правильно или нет
сконфигурированы - пусть даже самые совершенные - механизмы защиты.
Возможные последствия. Цена ошибок за
неправильное администрирование измеряется либо предоставлением пользователю
необоснованно больших компетенций (а равно создание огромной уязвимости в
информационной системе), либо в какой-то момент он не может получить
необходимый ему доступ, при этом, возможно, срывается выполнение задач
организации в целом.
Проблема управления безопасностью растет как
снежный ком и усложняется по мере развития информационной системы.
Решить эту проблему организационными методами не
удается. Увеличение численности сотрудников IT-подразделения
и службы безопасности только ее усугубляет. Специализация сотрудников на
управлении отдельными прикладными системами порождает иную проблему - проблему
координации их работы.
Исключительно технические методы решения задачи
также неприемлемы. Универсальная консоль управления всеми приложениями
положения не спасает, поскольку не решен главный вопрос - кто и как должен
принимать решения о том, какие изменения нужны.
Поэтапное решение проблемы. Сферы
ответственности за обеспечение безопасности в организации размыты - нужно
жестко затвердить полномочия всех участников процесса. Есть проблемы
взаимодействия - жестко регламентируем механизмы обращения между
подразделениями, создав, по сути, документооборот по ИБ. Самое сложное -
организация контроля за реально происходящим в информационной системе. Затем
необходимо связать все перечисленное воедино.
К счастью, в настоящее время на рынке уже
существуют технологии, которые позволяют решить эту непростую задачу. Свои
разработки предлагают компании Oracle
и IBM. Отрадно, что в
ряду гигантов IT-индустрии
есть и отечественный разработчик - компания «Информзащита», готовая предложить
свою систему Комплексного Управления Безопасностью (КУБ).
Уникальность предлагаемых решений состоит в
слиянии двух подходов к управлению безопасности - технического и
организационного, которые самостоятельно, то есть по отдельности, не работают.
Защита от локального администратора
Нередко сотрудники компании располагают
привилегиями локальных администраторов на своих компьютерах, что противоречит
рекомендациям Microsoft
по безопасности Windows.
Пользуясь этим, рядовые пользователи могут удалять любые установленные на их
компьютерах программы, в том числе защиту информации, антивирусы и т.п.
удивительно, но факт: множество компаний не учитывает эту потенциальную «дыру»
в собственной безопасности.
С помощью программы DeviceLock
вы задаете список учетных записей (пользователей и/или групп), которым будет
разрешено администрировать (устанавливать, удалять, менять разрешения и другие
настройки) DeviceLock.
В этом случае даже пользователи, имеющие преимущество локального
администратора, не смогут внести серьезные коррективы в работу своих
компьютеров, если не находятся в списке администраторов DeviceLock.
«Белый» список USB-устройств,
позволяющий авторизовать определенные модели - которые не будут заблокированы,
несмотря на установленные разрешения, - теперь поддерживает приборы с
уникальным серийными номерами. Таким образом, возможно разрешить доступ к
определенному устройству и при этом заблокировать доступ к другим подобным
(этой же модели этого же производителя).
DeviceLock
работает с групповой политикой Windows
и помогает осуществлять аудит действий пользователя при помощи сменных
носителей и USB-устройств.
Интеграция в Active
Directory и возможность
управления через групповые политики Windows
значительно упрощают централизованный контроль доступа для системных
администраторов.
Заключение
информационная безопасность
кредитное учреждение
Задачей в данной квалификационной работе было
провести анализ проблем, связанных с созданием политики ИБ в кредитных
учреждениях, систематизировать имеющиеся стандарты и рекомендации в этой
области и разработать методическое руководство для создания безопасной
обстановки в области ИБ.
В первой главе рассмотрены базовые принципы, без
реализации которых невозможно построение эффективной и безопасной деловой
обстановки на объектах данного вида. Особое внимание уделено управлению рисками
и в особенности актуальным на данный момент операционным рискам, а так же
системе внутреннего контроля.
Во второй главе приведены этапы создания
политики ИБ, рекомендации по ее содержанию, рассмотрен в отдельности каждый
уровень создаваемой политики. Делается акцент на подготовке самого текста
документа, что должно быть, а чего нужно избежать.
В третьей главе описаны особенности внедрения
политики ИБ и подготовка документов 4-го уровня, представлены методы оценки
построенной системы ИБ на примере аудита и разработаны возможные способы
решения некоторых возникающих технических проблем.
Таким образом цель работы достигнута,
поставленные задачи решены.
Список использованной литературы
1. Информационная безопасность
№5, ноябрь 2004
. Информационная безопасность
№1, февраль-март 2005
. Информационная безопасность
№4, август-сентябрь 2005
. Рекомендации в области
стандартизации Банка РоссииРС БР ИББС-2.0-2007 “Обеспечение информационной
безопасности организаций банковской системы Российской Федерации.Методические
рекомендации по документации в области обеспечения информационной безопасности
в соответствии с требованиями СТО БР ИББС-1.0 (введены в действие распоряжением
ЦБР от 28 апреля 2007 г. N Р-348)
. Стандарт Банка России СТО
БР ИББС_1.0_2008 обеспечение информационной безопасности организаций банковской
системы Российской Федирации
6. Ресурсы
сайта www.risk24.ru <http://www.risk24.ru>
. Ресурсы
форума www.bankir.ru
Статьи:
. В.Г. Грибунин. Политика
безопасности: разработка и реализация
. В.Д. Провоторов. Защитить,
чтобы не проиграть
10. В.А.
Галатенко. Категорирование информации и информационных систем. Обеспечение
базового уровня информационной безопасности. www.citforum.ru
<http://www.citforum.ru>
. С.
Белялова. Эффективное управление информационной безопасностью
12. DeviceLock 5.72 -
защита от локального администратора!