Методический журнал
Bнутренний контроль в кредитной организации

Поверхность атаки — это совокупность информационных систем, которые доступны потенциальному нарушителю. Чем таких систем больше, тем выше вероятность, что администратор совершил ошибку при их конфигурировании и сопровождении или в программных продуктах, на базе которых функционирует та или иная информационная система, будут обнаружены уязвимости безопасности. В статье представлены методика определения поверхности атаки для внешнего нарушителя, которому доступны публичные банковские сервисы, и примеры применения методики в трех реальных банках.

На сегодняшний день образцы голоса и компьютерные слепки лиц граждан собирают уже примерно 130 банков в 4500 отделениях. По требованиям регулятора, к июлю техническими средствами для сбора биометрических данных (БДн) должны быть оснащены порядка 60% отделений, а к концу года эта доля должна увеличиться до 100%. Помимо этого, банки обязаны обеспечить надежную защиту собираемых данных. Эта статья призвана помочь ИБ-специалистам банков разобраться в нормативных новшествах и определиться с необходимыми разовыми и регулярными работами.

Отличная работа специалистов по банковской безопасности зачастую не видна топ-менеджменту банка. Руководство даже начинает думать, что отсутствие атак — это не заслуга подразделения по защите информации, которое можно и сократить. Как трансформировать отношение бизнеса к деятельности ИБ в кратчайшие сроки и при этом не затрачивать много ресурсов — ни временных, ни финансовых, ни людских?

«Пишите письма», — советовал Остап Бендер. И мошенники, атакующие банки, пишут. Фишинговые рассылки убедительно и почти без ошибок имитируют корреспонденцию от контрагентов со счетами-фактурами и актами сверки. В ход идут фальшивые предупреждения от ФинЦЕРТ и макеты дизайна банковских карт — все для того, чтобы сотрудник банка открыл вредоносное вложение или перешел по ссылке на зараженный сайт. Какого рода атаки в последнее время наиболее «популярны» у APT-группировок? Что делать, чтобы снизить воздействие социальной инженерии на сотрудников?

Что мы получили по результатам внедрения МСФО в операционную практику кредитных организаций? С позиции оценки кредитного риска — принятие вероятностных сценариев его изменения в течение срока действия кредитного договора. Из чего состоит процесс аудита кредитного риска теперь? Из двух базовых оценок: первая — регуляторная, основанная на выполнении требований Положения № 590-П, вторая — оценка ожидаемых кредитных убытков в соответствии с требованиями МСФО (IFRS) 9. Попробуем определить, что необходимо принять для оценки ожидаемых кредитных убытков из регуляторной практики оценки уровня обесценения.

Каковы преимущества применения моделей во внутреннем аудите? Приводит ли digital-трансформация функции внутреннего аудита к рискам сокращения сотрудников СВА? В статье на примере аудита корпоративного кредитования рассмотрены плюсы и минусы внедрения моделей в процессы внутреннего аудита. Преимущества моделей по сравнению с ручной обработкой данных проиллюстрированы на опыте идентификации отклонений в кредитовании корпоративных клиентов.

Как выделить приоритетные для бизнес-целей банка IT-процессы и определить степень соответствия текущего уровня зрелости процесса целевому уровню? В этой статье хотелось бы поделиться двумя «живыми» примерами из своей многолетней практики, которые на первый взгляд мало связаны между собой, но, как мы увидим, являются «ягодами одного поля», и с ними может столкнуться любая кредитная организация.

Обширная практика применения Закона № 115-ФЗ свидетельствует о размытом понимании банками спорных операций. Динамика судебных разбирательств позволяет сделать вывод, что в последнее время суды с большим желанием занимают сторону предпринимателей (юридических лиц и ИП). Какие ошибки, приводящие к формированию отрицательной практики, банки допускают чаще всего? Какие действия позволят такие ошибки устранить или нивелировать негативные последствия?

В этом номере мы завершаем рассмотрение четырех этапов управления регуляторным (комплаенс) риском. Какие показатели использовать в качестве ключевых индикаторов риска? Когда целесообразно разработать дополнительные ключевые индикаторы риска? Как реагировать на превышение пороговых значений ключевых индикаторов риска? Какие меры принимать для управления уровнем остаточного регуляторного риска?

Стратегия национальной кибербезопасности Соединенных Штатов Америки, принятая в сентябре 2018 года (далее — Стратегия), породила ряд рисков глобального характера, которые естественным образом могут трансформироваться в риски, непосредственно касающиеся российских кредитных организаций. Несмотря на сильную идеологическую составляющую, опасности для банков вполне реальны. Что это за новые риски и какие способы защиты доступны банкам вне зависимости от действий государственных органов?