Дистанционное банковское обслуживание
1
POS (Point Of Sale) – пункт продаж, место продавца (кассира). POS-терминал– устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских карт. WAP (Wireless Application Protocol) – протокол беспроводного взаимодействия, служит для обеспечения беспроводного доступа к сервисам Интернет с помощью мобильного телефона. SMS (Short Message Service) – служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения. GPRS (General Packet data Radio Service) – общая служба радиопередачи пакетированных данных, предназначенная для осуществления экономичного обмена данными с помощью мобильного телефона, включая обеспечение WAP-доступа к Интернету. WiFi (Wireless Fidelity) – обозначение некоторых типов беспроводных локальных вычислительных сетей (WLAN), в которых используются спецификации семейства 802.11.
2
По аналогии с принципами «знай своего клиента» и «знай своего работника».
3
Наиболее явно этот риск проявляется в тех случаях, когда клиенты кредитной организации оказываются перед неработающим банкоматом, сообщающим, что «к сожалению, обслуживание невозможно» или «с вашим банком нет связи».
4
Building Financial Systems for the Poor. Международный опыт применения дистанционного банкинга: Первые итоги. Ольга Томилова, С GAP, Всемирный Банк, Москва, 20 ноября 2008 г., Российский Микрофинансовый Центр: VII Ежегодная конференция.
5
В законодательстве Российской Федерации отсутствует понятие электронных денег.
6
Национальное агентство финансовых исследований. Опрос «Пользование и удовлетворенность услугами ДБО предприятиями малого бизнеса», проведенный в июле – сентябре 2008 г.
7
Анкетирование проводилось на основании п. 76 «Стратегии развития банковского сектора Российской Федерации на период до 2008 года», принятой Правительством РФ и Центральным банком РФ, и на основании письма Банка России от 1 августа 2008 г. № 94-Т в продолжение работы по созданию системы мониторинга использования кредитными организациями современных технологий дистанционного банковского обслуживания (ДБО).
8
Около половины из них разработаны самими кредитными организациями (т. е. являются совершенно уникальными), остальные – различными компаниями, действующими на рынке банковского программного обеспечения.
9
По этому вопросу см. письмо Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по управлению рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».
10
Полная регламентация порядка создания, архитектуры и содержания web-сайтов кредитных организаций невозможна и не нужна, но, исходя из необходимости защиты интересов клиентов кредитных организаций, в том числе потенциальных, и повышения «транспарентности» этих организаций, Банк России пришел к заключению о необходимости подготовки Указания оперативного характера от 3 февраля 2004 г. № 16-Т «О Рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций в сети Интернет» (в настоящее время подготовлена к выпуску его новая редакция).
11
Подробно об этом и других аспектах процессного подхода к применению технологий электронного банкинга см.: Лямин A.B. Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора/ Управление в коммерческом банке. 2006. № 6. С. 83–94; 2007. № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70.
12
Соответственно, речь идет о несанкционированном проникновении в локальные вычислительные сети кредитных организаций, взломе их компьютерных систем (с целенаправленным разрушением средств защиты, баз данных и пр.), перехвате данных персональной идентификации и фальсификации доменных имен с целью совершения хищений финансовых средств со счетов клиентов (пользователей Интернета) и др. Количество web-сайтов, с которых можно свободно «скачать» программное обеспечение для взлома компьютерных систем, атак на организации и их клиентов, а также получить информацию о недостатках в защитных средствах операционных систем, прокси-серверов, сетевых экранов и т. п., исчисляется многими тысячами (по информации web-сайта www.antiphishing.org, знакомство с содержанием которого полезно специалистам кредитных организаций).
13
Имеются в виду такие разновидности резервирования, при первой из которых резервные системы (серверы, автоматизированные рабочие места, устройства копирования данных и т. п.) работают одновременно с основным оборудованием (в «горячем» режиме), а при второй – резервное оборудование выключено, так что для его инициации требуется некоторое время (прогрев, загрузка программного обеспечения, считывание резервных массивов данных и т. д.).
14
Это следующие основные подразделения кредитной организации: информационных технологий (ИТ или информатизации автоматизации), внутреннего контроля, обеспечения информационной безопасности, финансового мониторинга (в рамках внутреннего контроля или как обособленное), правового обеспечения, предоставления корпоративных и (или) розничных услуг, сервис-центр. Конкретный состав определяется структурой кредитной организации и распределением ответственности в ней в части поддержки ИБ.
15
В российском банковском секторе уже накоплено немало примеров, связанных с проблемами функционирования АП О провайдеров разного рода, из-за чего оказывалось невозможным выполнение кредитными организациями своих обязательств перед клиентами, с сетевыми атаками через системы провайдеров или их пассивностью в содействии парирования таких атак на кредитные организации, несоответствием уровня обслуживания и т. п.
16
E-Banking. IT Examination Handbook, Federal Financial Institutions Examination
Council. Washington, DC, USA, August 2003.
17
Intrusion Prevention System (IPS) и Intrusion Detection Systems (IDS), размещаемые как в локальной вычислительной сети, так и на хостах кредитной организации.
18
Иногда называемые также информационными системами управления (ИСУ).
19
См., например: Internet Banking, Comptroller's Handbook, I–IB, Office of the Comptroller of the Currency, Washington, DC, October 1999.
20
Boyd С., Jacob К. Mobile Financial Services and the Underbanked: Opportunities and Challenges for M-banking and M-payments. The Center for Financial Services Innovation., Chicago, IL, April 2007.
21
Используется терминология Стандарта Банка России СТО БР ИББС– 1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
22
Одним из примеров могут являться организация отношений между коммерческим банком «Таврический» и оператором мобильной связи «Билайн»: кредитная организация использует для оплаты услуг дистрибьюторскую сеть провайдера.
23
См. письмо Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
24
См., например: С GAP (Консультационная группа помощи бедным) Focus Note № 48. Washington, DC, June 2008.
25
Под мобильными платежными системами здесь понимаются системы платежей и перевода стоимости, построенные на основе нефинансовых организаций, движение расчетных единиц (передача поручений, инструкций) в которых осуществляется посредством использования мобильных устройств (телефонов) и не опосредует операций по личным банковским счетам абонентов.