Статья: обеспечение информационной безопасности при расчетах в системе интернет-банкинга (лукин и.в., сухобоченков с.е., ревенков п.в.) ("расчеты и операционная работа в коммерческом банке", 2009, n 4)

организациями.
Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление ИБ.
Стандарты Банка России по информационной безопасности
Банк России уже давно определил проблему обеспечения ИБ как одну из основных составляющих стабильности банковской системы. Начиная с 2004 г. регулятор приступил к выпуску общекорпоративных стандартов по ИБ.
На сегодняшний день действуют следующие стандарты:
- "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0) <1>;
- "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности" (СТО БР ИББС-1.1);
- "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0" (СТО БР ИББС-1.2).
--------------------------------
<1> С 01.05.2009 действует уже третья редакция данного стандарта.
С содержанием всех вышеназванных стандартов Банка России можно ознакомиться на сайте Сообщества пользователей стандартов Центрального банка Российской Федерации по обеспечению информационной безопасности банковской системы Российской Федерации (http://www.abiss.ru).
Документы регулятора
Помимо вышеперечисленных стандартов, регулятор выпустил ряд документов по тематике поддержания непрерывности выполнения банковских операций кредитными организациями и обеспечения ИБ.
Так, Банком России было выпущено Указание от 05.03.2009 N 2194-У "О внесении изменений в Положение Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", которое содержит Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств.
При разработке такого плана рекомендуется учитывать допустимый размер материальных затрат и допустимый размер потерь информации в случаях выхода из строя технических средств, сбоев в работе автоматизированных информационных систем кредитной организации, в том числе по причине неисполнения своих обязательств поставщиками услуг (провайдерами) кредитной организации.
Письмо N 36-Т было разработано в целях обеспечения:
- надежного ДБО с применением систем интернет-банкинга;
- соответствия требованиям законодательства РФ;
- ИБ систем интернет-банкинга;
- контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет-банкинга;
- противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма при использовании систем интернет-банкинга;
- достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;
- поддержания уровней банковских рисков, связанных с ДБО, в пределах, установленных кредитной организацией.
В Письме ЦБ РФ от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании" приведены основные рекомендации клиентам кредитных организаций, использующих для своих расчетов системы ДБО. Положения данного документа целесообразно включать в информационные сообщения для клиентов (на веб-сайтах кредитных организаций), использующих для выполнения своих операций системы интернет-банкинга, в целях предупреждения их о недопущении ошибочных действий. Следование приведенным в данном документе рекомендациям позволит сократить количество хищений клиентской конфиденциальной информации и предотвратить большинство попыток неправомерного списания денежных средств со счетов клиентов.
В заключение хотелось бы отметить, что распространившийся повсюду экономический кризис привел в ряде кредитных организаций к сокращению финансирования мероприятий, направленных на обеспечение ИБ. В то же время криминальный мир усилил активность в области компьютерных преступлений, что привело к значительному увеличению вредоносных программ и модификации сетевых атак на информационные ресурсы банков. Противостоять этому может только адекватная защита. В противном случае потери от компьютерных преступлений могут быть несоизмеримо велики.
Литература
1. Письмо ЦБ РФ от 07.12.2007 N 197-Т "О рисках при дистанционном банковском обслуживании".
2. Письмо ЦБ РФ от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга".
3. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе. М.: Кудиц-образ, 2004.
И.В.Лукин
Начальник управления
Департамента банковского
регулирования и надзора
Банк России
С.Е.Сухобоченков
Начальник отдела
Департамента банковского
регулирования и надзора
Банк России
П.В.Ревенков
К. э. н.,
заведующий сектором
Департамента банковского
регулирования и надзора
Банк России
Подписано в печать
26.08.2009