Раздел 4. Внутренние документы кредитной организации, устанавливающие порядок управления рисками интернет-банкинга
4.1. Внутренними документами кредитной организации рекомендуется регламентировать работу на всех технологических участках информационного контура интернет-банкинга, организационное и информационное взаимодействие с клиентами и провайдерами, а также функционирование аппаратно-программного обеспечения интернет-банкинга.
4.2. Во внутренних документах кредитной организации, связанных с управлением интернет-банкингом и контролем за функционированием реализующих его систем, рекомендуется определить:
4.2.1. Роль органов управления и структурных подразделений кредитной организации, в том числе:
распределение полномочий между органами управления кредитной организации (совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительные органы);
распределение прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений кредитной организации, служащих кредитной организации, в обязанности которых входит выполнение функций в рамках интернет-банкинга и управление связанными с ним рисками интернет-банкинга;
реализация учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения систем интернет-банкинга;
определение допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании систем интернет-банкинга;
определение порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и принятие мер, обеспечивающих снижение уровня рисков.
4.2.2. Порядок обеспечения непрерывности управления, в том числе:
испытание систем интернет-банкинга на соответствие требованиям, предъявляемым к осуществлению банковских операций;
меры по обеспечению надежности функционирования систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга (в том числе внутрибанковских автоматизированных систем кредитной организации, систем и комплексов провайдеров);
взаимосвязанные внутрибанковские процессы и процедуры, необходимые для осуществления обслуживания в рамках интернет-банкинга;
план действий на случай чрезвычайных обстоятельств с учетом специфики интернет-банкинга, включающий меры по предотвращению влияния источников (факторов) рисков, а также меры по защите интересов кредитной организации и ее клиентов, пользующихся интернет-банкингом, включая восстановление обслуживания;
документирование и анализ информации о сетевых атаках, других противоправных действиях, о нарушениях функционирования систем интернет-банкинга и доведение этой информации до органов управления кредитной организации;
действия при возникновении нештатных ситуаций во внутрибанковских автоматизированных системах кредитной организации, связанных с осуществлением операций интернет-банкинга (включая умышленные повреждения, сетевые и вирусные атаки), и в системах и комплексах провайдеров (с описаниями мероприятий по выявлению нарушений и защите от них функционирования информационного контура интернет-банкинга, попыток неправомерного доступа к программно-информационным ресурсам и мер по их предупреждению, а также порядок информирования органов управления кредитной организации о таких ситуациях).
4.2.3. Порядок управления рисками интернет-банкинга, в том числе:
описание наиболее вероятных внутренних и внешних источников (факторов) рисков интернет-банкинга;
разработка различных способов оценки и минимизации рисков интернет-банкинга;
организация процесса управления рисками интернет-банкинга и мониторинга источников (факторов) рисков интернет-банкинга;
назначение ответственного лица (лиц) за реализацию процессов управления рисками интернет-банкинга и их мониторинга.
4.2.4. Требования к организационно-техническому обеспечению в части:
организации, ведения, сопровождения (поддержания функционирования), модернизации и закрытия (отказ от использования) WEB-сайта, применяемого для интернет-банкинга, а также распределения обязанностей, ответственности, подотчетности и контроля в отношении содержания WEB-сайта***;
порядка пользования сетью Интернет служащими кредитной организации;
разграничения прав и полномочий доступа служащих кредитной организации к системам интернет-банкинга;
планирования, внедрения, применения (эксплуатации), модификации в случае модернизации обслуживания в рамках интернет-банкинга;
содержания технического описания внутрибанковских автоматизированных систем, на которых основаны и реализованы системы интернет-банкинга, в том числе схемы вычислительной сети кредитной организации с указанием потоков данных (передаваемых, обрабатываемых и хранимых);
содержания инструкций, правил, руководств и иных документов для операторов внутрибанковских автоматизированных систем, администраторов этих систем и администраторов информационной безопасности, а также служащих кредитной организации, обслуживающих эти системы;
актуализации документации на технические средства, используемые кредитной организацией для интернет-банкинга, а также контроль их модификации (в том числе меры по предотвращению внесения несанкционированных изменений в соответствующее аппаратно-программное обеспечение систем интернет-банкинга и в информационные массивы);
установления договорных отношений с клиентами, пользующимися услугами интернет-банкинга, и контроля выполнения обязательств сторон;
установления договорных отношений с провайдерами и контроля выполнения обязательств сторон.
4.2.5. Порядок обеспечения информационной безопасности в части:
политики обеспечения информационной безопасности с учетом особенностей интернет-банкинга, внешних и внутренних угроз информационной безопасности и защите банковских операций и данных, возможных сценариев реализации угроз, а также способов противодействия таким угрозам, как неправомерное уничтожение, изменение, копирование данных, доступ к ним со стороны неуполномоченных лиц;
методической и консультационной помощи клиентам, доведения до них информации о принимаемых рисках, информирования клиентов об осуществляемых по их счетам операциях, а также о типичных признаках противоправных действий и о необходимом комплексе мер по защите информации.
4.2.6. Порядок обеспечения внутреннего контроля в части:
состава системы внутреннего контроля с учетом особенностей интернет-банкинга, в том числе описания встроенных средств автоматизированного (программного) контроля, используемых для целей противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также для выявления и документирования подозрительных операций;
действий по выявлению нарушений и недостатков при осуществлении кредитными организациями банковских операций с применением систем интернет-банкинга;
действий по устранению нарушений и недостатков, выявленных службой внутреннего контроля.
4.2.7. Порядок противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в части:
взаимодействия подразделений информатизации, информационной безопасности, службы внутреннего контроля и служащего (структурного подразделения), ответственного за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете, используя аналог собственноручной подписи, коды, пароли и иные средства, подтверждающие наличие указанных полномочий;
идентификации и изучения клиентов интернет-банкинга (в первую очередь клиентов, с которыми кредитная организация осуществляет банковские операции с повышенной степенью риска) и соблюдения принципа "Знай своего клиента".