и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.
В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4[84].
[90]).В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:
— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;
— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;
— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;
— политика подбора надежного персонала;
— порядок ограничения использования мобильных носителей информации;
— порядок сбора информации о совершении компьютерных мошенничеств;
— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;
— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;
— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;
— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;
— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);
— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;
— порядок ведения, использования и защиты компьютерных журналов;
— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);
— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;
— порядок ведения претензионной работы с удаленными клиентами;
— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;
— порядок мониторинга профилей операционной деятельности клиентов;
— порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;
— порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.
Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.
Суммируя сказанное выше касательно технических мероприятий, необходимо также:
— разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;
— применение средств обнаружения сетевого мониторинга (sniffing’a);
— применение межсетевых экранов при соединении сегментов сетей;
— применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;
— применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;
— проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;
— ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;