Методический журнал
Bнутренний контроль в кредитной организации

Безоговорочными трендами для банков сегодня являются кибер­устойчивость и новые методы информационной безопасности, а атаки злоумышленников на банки и банкоматы, которые имели место в прошлом году, заставляют выработать адекватные меры противодействия. На вопросы о том, какими должны быть эти меры, мы попросили ответить заместителя начальника Главного управления безопасности и защиты информации Банка России Артема Сычева.

Что такое внутренний нарушитель информационной безопасности, в чем его отличия от инсайдера, чем это все регулируется — эти и многие другие вопросы часто задают себе специалисты по защите информации в SOC, сталкиваясь с необходимостью интерпретации и категоризации нестандартных действий работников. Как разрешить эти вопросы? Какие лучшие практики помогут выполнить требования законодательства и регулятора, в частности решить поставленную Банком России в 2017 году задачу выявления признаков манипулирования рынком у профессиональных участников рынка ценных бумаг?

В последние пару лет о SOC (ситуационном центре информационной безопасности) не говорил только ленивый. Многие крупные организации либо уже имеют SOC в каком-то виде, либо задумываются о его создании. В чем же сложности обеспечения эффективной работы SOC, когда все необходимые технические средства у компании уже есть и ответственный персонал назначен? Какие основные векторы атак должен выявлять любой SOC?

Собираясь воспользоваться преимуществами Security Operation Center (SOC), банку следует учесть, что не всем организациям нужно строить собственный SOC. Во многих случаях имеет смысл использовать внешний SOC. Какие критерии помогут определиться с решением о создании собственного SOC или выборе поставщика? Что можно, а что нельзя передать на аутсорсинг? Как понять, о чем говорит отсутствие предупреждений от внешнего SOC: о том, что в банке все замечательно, или о том, что внешний SOC просто не работает?

Если еще два-три года назад основной целью киберпреступников были единичные клиенты банков, то сейчас это сами банки. Универсальной точкой входа в сеть банка стало хорошо составленное фишинговое письмо с вредоносным вложением или ссылкой, поэтому возросла роль сотрудников банка в предотвращении кибермошенничества. Какие три основных заблуждения персонала играют на руку мошенникам? Как провести обучение и повысить осведомленность пользователей сети банка и как ее проверить? Существуют ли готовые продукты и решения для этих задач?

Начало 2017 года ознаменовалось длинной чередой событий, связанных с информационной безопасностью и сулящих существенные изменения в банковской отрасли. Среди прочего в действие введен SWIFT Security Framework — набор новых правил информационной безопасности для всех участников международной межбанковской системы SWIFT. Он требует от банков введения новых контролей и защитных мероприятий, исполнение которых станет обязательным к 2018 году. Что несет этот документ банкам и смогут ли они с его помощью усилить свой периметр безопасности?

Опыт проведения аудитов безопасности демонстрирует такие ошибки, как недостаточное разграничение доступа, возможность получения доступа к backend-системам и системам администрирования: эти ошибки встречаются практически в каждом банке и банковском приложении. Какие инструменты помогут повысить защищенность приложений на разных уровнях?

2017 год станет годом открытия нового легального канала привлечения клиентов для банков: уже летом планируется запустить совместный проект Банка России и Минкомсвязи России по удаленной идентификации с использованием учетной записи ЕСИА и биометрической идентификации. Какие преимущества несет банкам этот проект? Есть ли ограничения на подключение к нему? Можно ли уже сейчас самостоятельно внедрить в банке биометрические решения?

Реализация хищения сотрудником банка максимально приближена к стандартной операции, которая не вызовет подозрений. Выявление такого мошенничества связано с решением задач, не всегда традиционных для классических систем контроля или противодействия мошенничеству. Как построить схему детектирования внутренних хищений, в частности со «спящих» счетов? Как сформировать общий массив данных, пригодных для анализа? Что делать, когда модификация IT-систем не представляется возможной?

В 2017 году началось применение МСА российскими аудиторами. Значительная часть введенных стандартов регулирует формирование аудиторского заключения. В чем отличия содержания и структуры аудиторского заключения, составленного по МСА 700 «Формирование мнения и составление заключения о финансовой отчетности», от содержания и структуры заключения по ФСАД 1/2010? Как выражать аудиторское мнение в зависимости от «концепции достоверного представления» или «концепции соответствия»?

Внутренний аудит межфункционального взаимодействия — новое для аудиторов направление, появление которого обусловлено централизацией бизнес-процессов и возникновением смежных областей на стыке ответственности бизнес-подразделений. Одним из его элементов является внутренний аудит процесса аккредитации строительных объектов для жилищного кредитования физических лиц. Какие риски присущи бизнес-процессу аккредитации? Какие аудиторские инструменты применять для его анализа?

Когда три уровня контроля (банковский надзор, внутренний и внешний аудит) не синхронизированы, а степень ответственности у всех одна, как выровнять информационное поле для всех участников процесса? Какие проблемы могут подстерегать на этом пути? Что может быть индикатором необходимости оперативно проверить деятельность кредитной организации для контрольных служб — внутренних и внешних?

Управление рисками — один из важных элементов системы комплаенса. Стандарты риск-менеджмента, широко используемые в практике ведения бизнеса, практически не применимы для управления плохо предсказуемыми рисками — «черными лебедями». В нашей статье рассматриваются такие способы организации операционного процесса, при которых банк не будет испытывать катастрофических финансовых потерь при реализации подобных рисков.

В банке общепринятой мерой антикоррупционного комплаенса в части взяточничества является принятие Политики по противодействию коррупции, содержащей запрет на совершение коррупционных действий, в том числе дачу/получение прямых взяток. С правильностью этой меры не поспоришь, однако является ли она исчерпывающей? Взятки могут скрываться за обычными расходами, что влечет за собой массу нюансов, которые в том числе следует учесть при подготовке Политики. Как службе комплаенса организовать работу по учету и контролю подарков и знаков делового гостеприимства?