Раздел 4. Организация договорных отношений с клиентами - пользователями систем ДБО кредитной организации, в части обеспечения защиты от ВК. Письмо Банка России от 24.03.2014 N 49-Т "О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности"

Раздел 4. Организация договорных отношений с клиентами - пользователями систем ДБО кредитной организации, в части обеспечения защиты от ВК

4.1. При организации защиты от ВК автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитных организаций целесообразно учитывать, что АРМ клиентов кредитной организации, используемые ими для проведения сеансов ДБО (далее - клиентские АРМ систем ДБО), могут оказаться наиболее подверженными атакам ВК в силу возможных недостатков организации их защиты от ВК, а также ограниченных возможностей контроля состояния защиты от ВК со стороны кредитной организации.

4.2. Для снижения банковских рисков, которые связаны с недостаточной защитой от ВК клиентских АРМ систем ДБО (операционного, правового, стратегического, риска потери деловой репутации (репутационного риска) и риска ликвидности), кредитной организации рекомендуется:

4.2.1. Разработать, утвердить уполномоченным органом управления кредитной организации и при необходимости пересматривать требования по организации и осуществлению клиентами - пользователями систем ДБО защиты от ВК клиентских АРМ систем ДБО*(3) (далее - требования по защите от ВК клиентских АРМ систем ДБО), а также порядок подтверждения выполнения клиентами - пользователями систем ДБО указанных требований по запросу кредитной организации*(4).

4.2.2. Изложить требования по защите от ВК клиентских АРМ систем ДБО в договорах (соглашениях), предметом которых является предоставление клиентам услуг ДБО (далее - договоры), а также в эксплуатационной документации на системы ДБО и в памятках, передаваемых клиентам при заключении договоров.

4.2.3. При внесении кредитной организацией изменений в состав и содержание требований по защите от ВК клиентских АРМ систем ДБО информировать клиентов об этом и вносить соответствующие изменения в ранее заключенные договоры и эксплуатационную документацию на системы ДБО.

4.2.4. При изменении порядка подтверждения выполнения клиентами требований по защите от ВК клиентских АРМ систем ДБО вносить соответствующие изменения в ранее заключенные договоры.

4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК.

4.2.6. Организовать консультирование клиентов - пользователей систем ДБО по вопросам защиты от ВК на постоянной основе с использованием телефонной связи, web-сайтов, электронной почты и тому подобное (прежде всего клиентов - пользователей систем ДБО, использующих сеть Интернет).

4.2.7. Организовать информирование клиентов - пользователей систем ДБО кредитной организации о новых разновидностях ВК, угрожающих безопасности клиентских АРМ систем ДБО, способах защиты от их воздействия и устранения последствий такого воздействия.

4.2.8. Организовать сбор информации о выявленных атаках ВК на системы ДБО и об обстоятельствах их обнаружения, систематизацию и анализ такой информации, ее доведение до сведения органов управления кредитной организации, а также информирование компаний - разработчиков средств защиты от ВК.

4.2.9. Организовать оперативное информирование клиентов - пользователей систем ДБО кредитной организации через каналы связи, отличные от используемых для ДБО (SMS-информирование, электронная почта и тому подобное), о поступлении от этих клиентов в кредитную организацию распоряжений о переводе денежных средств через системы ДБО и получение подтверждений клиентов о подлинности таких распоряжений.

4.3. При организации ДБО клиентов целесообразно организовать подготовку и переподготовку работников кредитной организации, ответственных за работу с клиентами - пользователями систем ДБО кредитной организации, обеспечивающие необходимый уровень знаний указанных работников кредитной организации о требованиях к защите от ВК (в том числе о требованиях по защите от ВК клиентских АРМ систем ДБО) и об изменениях в указанных требованиях по мере возникновения новых разновидностей ВК. Рекомендуется также оказывать содействие в устранении возможных недостатков в организации защиты от ВК у клиентов - пользователей систем ДБО.