– в случае трансграничных соглашений о заказной обработке – определение того, законы и правила какой страны будут применимы, включая и те, которые относятся к обеспечению конфиденциальности и другим видам защиты прав клиентов;

– четкое определение права банка на проведение независимых проверок и (или) аудита обеспечения безопасности, средств внутреннего контроля и непрерывности деловых операций, а также планов на случай непредвиденных обстоятельств.

4. Банкам следует обеспечить периодическое проведение внутренних и (или) внешних аудиторских проверок заказных операций, по меньшей мере в том же масштабе, который требовался бы, если бы такие операции проводились в самом банке[102]. В отношении внешних взаимодействий, включающих критичные или технологически сложные виды обслуживания/программные приложения, банкам может потребоваться организация других периодических проверок, выполняемых независимыми сторонними компаниями, которые обладают достаточной технической квалификацией.

5. Банкам следует разработать планы на случай непредвиденных обстоятельств, связанных с заказной деятельностью в области ЭБ:

– необходимо разрабатывать такие планы для всех критичных систем и видов обслуживания в рамках ЭБ, которые были возложены на сторонние организации, осуществляющие заказную обработку, и периодически тестировать эти планы;

– в планах на случай непредвиденных обстоятельств следует учитывать правдоподобные сценарии наихудшего развития событий с точки зрения обеспечения непрерывности обслуживания в рамках ЭБ, если произойдут нарушения в работе, влияющие на выполнение заказных операций;

– необходимо иметь точно определенную группу сотрудников, ответственную за обеспечение восстановления и оценивание физического результата в случае прерывания заказного обслуживания в рамках ЭБ.

6. Банкам, которые возлагают обслуживание в рамках ЭБ на сторонние организации, следует удостовериться в том, что их операции, ответственность и обязательства определены достаточно точно, так, чтобы обслуживаемые учреждения могли адекватно осуществлять эффективные проверки соблюдения обязательств и текущее наблюдение за действующими отношениями.

7. Банки несут ответственность за предоставление обслуживаемым учреждениям информации, необходимой для определения, контроля и мониторинга любых рисков, связанных с соглашениями по обслуживанию в рамках ЭБ.

5.2.2. Средства обеспечения безопасности (Принципы 4-10)

Ввиду того что СД банка несет ответственность за обеспечение наличия должных процессов контроля безопасности для операций ЭБ, содержание этих процессов требует особого внимания со стороны органов управления из-за более сложных проблем с безопасностью, которые возникают при операциях ЭБ[103].

Следующие вопросы являются особенно значимыми:

– аутентификация;

– невозможность отказных операций;

– целостность данных и транзакций;

– разделение обязанностей;

– средства управления авторизацией;

– поддержание аудиторских записей;

– конфиденциальность важнейшей банковской информации.

Принцип 4: банкам следует принимать должные меры по аутентификации идентичности и авторизации[104] клиентов, с которыми они осуществляют деловые операции через интернет.

В банковском деле принципиально важно подтверждение того, что конкретный запрос на взаимодействие (связь), транзакцию или доступ имеет легитимный характер. Соответственно, банкам следует применять надежные методы для верификации идентичности и авторизации новых клиентов, так же как и для аутентификации идентичности и авторизации зарегистрированных клиентов, обращающихся за проведением электронных транзакций.

Верификация клиентов (при определении происхождения счета) важна для снижения риска хищений идентификационных данных, мошеннических действий со счетами и отмывания денег. Если банк не может адекватно аутентифицировать клиентов, то возможны получение несанкционированного доступа к счетам по операциям ЭБ и в конечном итоге финансовые потери и ущерб для репутации банка из-за мошенничества, утечки конфиденциальной информации или непреднамеренного вовлечения в преступную деятельность.

Установление и аутентификация идентичности того или иного лица, а также авторизация доступа к банковским системам в условиях полностью электронной открытой сети связи могут оказаться трудной задачей. Легитимная авторизация пользователя может быть фальсифицирована с помощью разнообразных методов, обычно называемых «мистификация»[105]. Онлайновые хакеры могут также перехватить сеанс легитимно авторизованного лица, используя «вынюхивателя»[106], и выполнять действия вредоносного или криминального характера. Помимо прочего, процессы контроля аутентификации могут быть обойдены посредством воздействия на базы данных, хранящие аутентификационные сведения.