Развитие информационных технологий в кредитных организациях

10- гибель людей;

Финансовые потери, связанные с восстановлением ресурсов:

2- менее $1000;

6- от $1000 до $10000;

8- от $10000 до $100000;

10- свыше $100000.

Дезорганизация деятельности в связи с недоступностью данных:

2- отсутствие доступа к информации до 15 минут;

4- отсутствие доступа к информации до 1 часа;

6- отсутствие доступа к информации до 3 часов;

8- отсутствие доступа к информации от 12 часов;

10- отсутствие доступа к информации более суток.

Оценка ценности информационных ресурсов

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой-либо угрозы, уязвимости или комбинации угроз и уязвимости, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимости. Это позволяет разработать более эффективную систему защиты информации компании.

На этапе оценки угроз и уязвимости оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимости. Далее активы компании группируются с точки зрения угроз и уязвимости. Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.).

При этом оценка уровней угроз и уязвимости может проводится на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ.

Уровень угроз оценивается, в зависимости от ответов, как:

· очень высокий;

· высокий;

· средний;

· низкий;

· очень низкий.

Уровень уязвимости оценивается, в зависимости от ответов, как:

· высокий;

· средний;

· низкий;

· отсутствует.

Оценка угроз безопасности и уязвимости ресурсов

Возможно проведение коррекции результатов или использование других методов оценки. На основе этой информации рассчитываются уровни рисков в дискретной шкале с градациями от 1 до 7 (этап анализа рисков). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком. Только после этого можно переходить к заключительной стадии метода.

Шаги управления рисками в CRAMM

MM генерирует несколько вариантов мер противодействия, адекватных выявленным рискам и их уровням. Контрмеры разбиваются на группы и подгруппы по следующим категориям:

· Обеспечение безопасности на сетевом уровне;

· Обеспечение физической безопасности;

· Обеспечение безопасности поддерживающей инфраструктуры;

· Меры безопасности на уровне системного администратора.

В результате выполнения данного этапа формируются несколько видов отчетов.

Таким образом, рассмотренная методика анализа и управления рисками полностью применима и в российских условиях, несмотря на то, что показатели защищенности от НСД к информации и требования по защите информации различаются в российских РД и зарубежных стандартах. Особенно полезным представляется использование инструментальных средств типа метода CRAMM при проведении анализа рисков информационных систем с повышенными требованиями в области ИБ. Это позволяет получать обоснованные оценки существующих и допустимых уровней угроз, уязвимости, эффективности защиты.

Необходимо отметить что, современные методики и технологии управления информационными рисками позволяют оценить существующий уровень остаточных информационных рисков в отечественных компаниях. Это особенно важно в тех случаях, когда к информационной системе компании предъявляются повышенные требования в области защиты информации и непрерывности бизнеса. Сегодня существует ряд методик анализа рисков, в том числе с использованием CASE-средств, адаптированных к использованию в отечественных условиях. Существенно, что качественно выполненный анализ информационных рисков позволяет провести сравнительный анализ "эффективность-стоимость" различных вариантов защиты, выбрать адекватные контрмеры и средства контроля, оценить уровень остаточных рисков. Кроме того, инструментальные средства анализа рисков, основанные на современных базах знаний и процедурах логического вывода, позволяют построить структурные и объектно-ориентированные модели информационных активов компании, модели угроз и модели рисков, связанных с отдельными информационными и бизнес-транзакциями и, следовательно, выявлять такие информационные активы компании, риск нарушения защищенности которых является критическим, то есть неприемлемым. Такие инструментальные средства предоставляют возможность построить различные модели защиты информационных активов компании, сравнивать между собой по критерию "эффективность-стоимость" различные варианты комплексов мер защиты и контроля, а также вести мониторинг выполнения требований по организации режима информационной безопасности отечественной компании.

2.3 Защита информации

Во всех секторах общественной жизни использование информационных систем постоянно растет. Такая тенденция повышает требования к безопасности применяемых информационных технологий.

В современных условиях уже не только функциональные возможности информационных систем, но и их защищенность стала для пользователя важным критерием выбора. Были разработаны основные направления в защите банковской информации это:

- защита информации от несанкционированного доступа;

- защита информации в системах связи;

- защита юридической значимости электронных документов;

- защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок;

- защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;

- защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.

1. Защита информации от несанкционированного доступа.

Несанкционированным доступ - нарушение правил разграничения доступа в результате случайных или преднамеренных действий пользователей или субъектов системы разграничения доступа.

Несанкционированный доступ может иметь последствия в виде утечки обрабатываемой конфиденциальной информации и искажения информации или разрушения в результате умышленного нарушения работоспособности Автоматизированной информационной технологии.

Нарушителями могут быть:

- штатные пользователи Автоматизированных информационных технологий;

- сотрудники-программисты, сопровождающие программное обеспечение системы;

- обслуживающий персонал (инженеры);

- другие сотрудники, имеющие санкционированный доступ к Автоматизированным информационным технологиям (в том числе подсобные рабочие, уборщицы и т.д.).

Система разграничения доступа призвана сделать невозможным обход системы разграничения доступа действиями, находящимися в рамках выбранной модели и гарантировать идентификацию пользователя, осуществляющего доступ к данным (аутентификация пользователя).

Регистрация - один из методов поддержания безопасности Автоматизированной информационной технологии, позволяющий проследить за операциями взаимодействия с Автоматизированной банковской системы, происходящими в прошлом.

В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам.

Системы регистрации и учета предназначена для регистрация входа (выхода) в систему (из системы) с фиксацией параметров, времени и даты входа (выхода) субъекта доступа в систему (из системы), результата попытки входа в Автоматизированную банковскую систему и идентификатор (код или фамилия) субъекта, предъявляемый при попытке доступа. Также система производит регистрацию и учет выдачи печатных документов на твердую копию, регистрация запуска (завершения) программ и процессов, попыток доступа программных средств к защищаемым файлам и учет всех защищаемых носителей информации с помощью их маркировки (учет защищаемых носителей проводиться с регистрацией их выдачи/приема).

2. Защита информации в системах связи.

При защите информации в системах связи преследуются цели предотвращения возможности несанкционированного доступа к конфиденциальной и ценной информации, циркулирующей по каналам связи различных видов.

Решаются задачи по обеспечению конфиденциальности информации и обеспечению целостности информации.

Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является криптография и применение специальных связных протоколов.

3. Защита юридической значимости электронных документов.

Форма защиты используются для обработки, хранения и передачи информационных объектов в виде приказов, платежных поручений, контрактов, других финансовых документов.

Особенность передачи подобных документов - необходимость обеспечить аутентификацию (возможность каждой стороны в проводимых операциях удостовериться в личности другой стороны).

Для решения проблемы используются криптографические методы проверки подлинности информационных объектов «цифровые подписи».

Защита информации от утечки по каналам побочных электромагнитных излучений и наводок.

Защита направлена на предотвращение утечки информативных электромагнитных сигналов за пределы охраняемой территории.

Внутри территории применяются режимные меры, исключающие использование аппаратуры перехвата сигналов. Для защиты применяется:

- экранирование помещений;

- проверка оборудования на предмет выявления закладных устройств финансового шпионажа, регистрирующих излучения компьютера, речевые и другие информативные сигналы.

4. Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ.

Условия благоприятные для распространения вирусов:

- Необходимость совместного использования программного обеспечения многими пользователями;

- Трудность ограничения в использовании программ;

- Ненадежность существующих механизмов защиты;

- Разграничения доступа к информации в отношении противодействия вирусу.

Методы защиты от вирусов:

· Применение «иммуностойких» программных средств, защищенных от возможности несанкционированной модификации (разграничение доступа, методы самоконтроля и самовосстановления);

· Применение специальных программ-анализаторов, осуществляющих контроль возникновения отклонений в программах, а также входной контроль новых программ перед их использованием (по характерным признакам наличия в их теле вирусных образований);

· Ежедневное применение разнообразных антивирусных программных продуктов (DrWeb, Антивирус Касперского и.т.д.).

5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.

Связана с защитой имущественных прав при охране интеллектуальной собственности (программ, ценных баз данных).

Защита осуществляется с помощью вставки парольной защиты, проверок по обращению к устройствам хранения ключа, блокировки отладочных прерываний и проверки рабочей ПЭВМ по ее уникальным характеристикам.

Для повышения защищенности применяются дополнительные аппаратные блоки (ключи/платы), подключаемые к разъему принтера или к системной шине ПЭВМ и шифрование файлов, содержащих исполняемый код программы.

Общим свойством средств защиты программ от несанкционированного копирования - ограниченная их стойкость, так как в конечном случае исполняемый код поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков.

Контроль целостности программного обеспечения содержит:

1. Контроль целостности программного обеспечения с помощью внешних средств (программ контроля целостности);

2. Контроль целостности программного обеспечения с помощью внутренних средств (встроенных в саму программу);

3. Контроль целостности программ внешними средствами выполняется при старте системы и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами;

4. Контроль целостности программ внутренними средствами выполняется при каждом запуске программы и состоит в сравнении контрольных сумм отдельных блоков программ с их эталонными суммами. Контроль используется в программах для внутреннего пользования.

Нормы защиты информации, используемые при осуществлении реинжиниринга в банке:

- не обсуждается и не регистрируется информация, касающаяся персонально клиентов банка;

- не обсуждается и не регистрируется информация, касающаяся лицевых счетов клиентов банка;

- не обсуждаются и не регистрируются персональные данные сотрудников банка;

- отдельные операции могут обсуждаться только с исполнителями и их руководителями, заранее назначенными высшим руководством банка;

- данные публичных документов банка не являются коммерческой тайной;

- информация о бухгалтерском учете в банке, об остатках и оборотах по балансовым счетам используется только внутри банка;

- любая информация, помеченная грифом «конфиденциально», является таковой и не подлежит разглашению.

Для защиты от потерь информации при повреждении дисководов сервера используется метод зеркального отображения дисков, резервное копирование данных (холодное, горячее).

Для дополнительной защиты информации могут использоваться разнообразные технические средства:

- источники бесперебойного питания, обеспечивающие безаварийную эксплуатацию системы при кратковременном отключении электроэнергии;

- стримеры, предназначенные для создания резервных копий баз данных и др.

Для организации нет ничего опасней в сфере безопасности, как формальное следование предложениям по использованию тех или иных продуктов и услуг без разработки качественной и адекватной политики безопасности, разработки и внедрения в повседневную практику комплекса организационных, административных и технических мер, а главное без осознания в общем комплексе задач организации роли и места службы безопасности.

Глава 3. Аудит информационных технологий в кредитных организациях

3.1 Определение объема выборки документов, подлежащих проверке

Проверке подлежат документы кредитной организации, относящиеся к вопросам использования систем электронной обработки данных и обеспечения безопасности за весь проверяемый период:

- распорядительные документы кредитной организации (учетная политика, положения, инструкции, распоряжения, приказы в т.ч. по личному составу);

- распорядительные документы филиала кредитной организации (если проверка производится в филиале кредитной организации);

- лицензии и сертификаты на используемые средства вычислительной техники и программное обеспечение;

- договора на закупку и сопровождение элементов программно-технического комплекса;

- договора на предоставление услуг по использованию каналов связи и систем межбанковских коммуникаций (платежных систем);

- договора на обслуживание торговых терминалов кредитной организации, используемых для участия в торгах на валютной и фондовых биржах;

- перспективные планы развития информационных систем;

- документы о предоставлении информационных услуг клиентам;

- регламенты эксплуатации информационных систем и электронной обработки данных;

- данные бухгалтерского учета основных средств и нематериальных активов, относящихся к информационным системам, и акт последней проведенной их инвентаризации;

- отчеты подразделений эксплуатации систем электронной обработки данных;

- отчеты подразделений внутреннего контроля и информационной безопасности;

- аудиторские заключения.

При необходимости может быть затребована техническая документация на используемые кредитной организацией автоматизированные банковские системы и другие документы, необходимые для проведения проверки.

3.2 Порядок проверки применяемых в кредитной организации информационных технологий и отчетности, предоставляемой в Банк России

В процессе проведения проверки необходимо на месте изучить документы кредитной организации, относящиеся к вопросам использования систем электронной обработки данных и обеспечения безопасности при этом, а также убедиться в соответствии процедур использования вычислительной, телекоммуникационной техники, программного обеспечения, мероприятий по защите информации от несанкционированного доступа требованиям законодательных актов и нормативных документов Банка России.

Кроме того, необходимо обратить внимание на соответствие форм документов, выдаваемых из ЭВМ на печать, требованиям нормативных документов Банка России.

Особое внимание необходимо уделить проверке системы внутреннего контроля кредитной организации в условиях компьютерной обработки данных и эффективности ее использования.

При возникновении сомнений в соответствии алгоритмов совершения операций в автоматизированной банковской системе кредитной организации требованиям нормативных документов Банка России, достоверности представляемой отчетности, может возникнуть необходимость в тестировании информационного, математического, программного и технического обеспечения с помощью контрольных примеров, а также тестировании операций и остатков по счетам в компьютерной базе данных.

Проверка систем электронной обработки данных проводится по следующим основным направлениям:

А.) Организационные вопросы.

Проверке подвергаются вопросы организации автоматизации банковской деятельности в проверяемой кредитной организации. Проверяющему необходимо на месте убедиться:

1. Осуществляется ли в кредитной организации планирование развития систем электронной обработки данных?

2. Осуществляется ли контроль руководством кредитной организации процесса автоматизации банковской деятельности? В каких формах?

3. Проводится ли периодическая инвентаризация вычислительной техники и программного обеспечения с оформлением актов, подписанных всеми членами комиссии?

4. Как организовано взаимодействие с разработчиками (поставщиками) аппаратно-программных средств в кредитной организации:

· лицензионность программного обеспечения;

· наличие договоров на сопровождение и техническое обслуживание программно-технического комплекса;

· наличие нелицензионного программного обеспечения.

5. Как решаются организационно-кадровые вопросы в сфере автоматизации деятельности кредитной организации:

· наличие положения о подразделении автоматизации и должностных инструкций на всех специалистов;

· соответствие фактического количества специалистов по автоматизации банковской деятельности штатно-сметному расписанию кредитной организации;

· наличие планов (графиков) работ подразделения автоматизации;

· организация взаимозаменяемости специалистов автоматизации;

· наличие текучести кадров в подразделении автоматизации, возможные ее причины и влияние на функционирование системы электронной обработки данных и возникающие при этом риски.

6. Как осуществляются хранение, дублирование и восстановление информации в кредитной организации:

· наличие регламента создания и обновления архивных и резервных копий информации в электронном виде;

· соблюдение сроков обновления информации, количество архивных и резервных копий;

· процедуры обеспечения конфиденциальности хранимой и резервируемой информации;

· соответствие сроков хранения информации техническим возможностям устройств.

7. Имеется ли в наличии план действий в аварийных ситуациях (пожаре или стихийных бедствиях)?

8. Имеются ли в наличии резервные мощности (электропитание, каналы связи, компьютерные мощности и т.п.) на случай непредвиденного выхода из строя автоматизированных банковских систем?

9. Имеется ли в наличии резервный регламент проведения учетно-операционных и иных работ по обслуживанию клиентов в условиях чрезвычайных ситуаций (режим ручной обработки документов и т.п.)?

Б) Организация системы внутреннего контроля.

1. Разработано ли положение о распределении доступа пользователей к осуществлению операций в программном обеспечении, а также к базам данных в компьютерных системах?

2. Имеются ли в наличии должностные инструкции для всех штатных должностей (связанных с автоматизированной обработкой информации)?

3. Осуществляется ли контроль за состоянием информационной системы кредитной организации и ее безопасностью?

4. С какой периодичностью оценивается уровень безопасности информационной системы кредитной организации?

5. Имеется ли служба внутреннего контроля непосредственно в кредитной организации?

6. Разработана ли система оценки операционного риска, принимаемого на себя кредитной организацией, в т.ч. система контроля и управления риском?

7. Внедрена ли система оценки операционного риска кредитной организации?

8. Осуществляется ли контроль за эффективностью применения процедур защиты конфиденциальной банковской информации, за доступом работников к имеющейся в кредитной организации информации в зависимости от их компетенции, установленной внутренними регламентирующими документами?

В) Соблюдение Положения ЦБР от 16.12.2003г. №242-П “Об организации внутреннего контроля в кредитных организациях и банковских группах”.

Согласно п. 3.1 кредитная организация с целью предотвращения конфликта интересов обязана обеспечить контроль за управлением информационными потоками (получением и передачей информации) и обеспечение информационной безопасности, в том числе реализовать:

- организационно-техническое разделение соответствующих подразделений (в частности, закрытие доступа в компьютерные сети смежным подразделениям);

- создание системы ограничения доступа к информации различного уровня для каждого сотрудника кредитной организации.

Для проверки этого вопроса необходимо рассмотреть внутренние положения кредитной организации о разграничении доступа различным категориям пользователей к АРМ и ресурсам локальной вычислительной сети, оформление заявок на предоставление доступа и используемые программно-аппаратные средства разграничения доступа.

Г) Проверка организации работы по противодействии легализации (отмыванию) доходов, полученных преступным путем. Проверка производится на основании требований Федерального закона от 07.08.2001 №115-ФЗ и Положения Банка России от 20.12.2002 №207-П.

Проверяющему необходимо на месте убедиться в том, что кредитной организацией установлен внутренний регламент формирования и направления в Территориальное управление Банка России сведений, предусмотренных Федеральным законом, всеми ее структурными подразделениями.

Если филиал кредитной организации, имеющий БИК участника расчетов на территории РФ, наделен правом самостоятельного направления в уполномоченный орган сведений об операциях, подлежащих обязательному контролю, то порядок представления таких сведений доведен филиалом до территориального учреждения Банка России в письменной форме.

Кредитная организация формирует отчет в виде электронного сообщения (далее по тексту ОЭС) - сообщение, формируемое кредитной организацией (филиалом кредитной организации), содержащее сведения об операциях, предусмотренные Федеральным законом, представленное в электронной форме и снабженное зарегистрированным(и) кодом (кодами) аутентификации ОЭС кодом аутентификации, затем зашифровывает его на ключах шифрования, используемых для обмена информацией с уполномоченным органом, после чего шифрованное сообщение повторно снабжается кодом аутентификации (далее по тексту КА).

Кредитная организация в день приостановления или совершения операции по финансированию терроризма формирует отдельный ОЭС, содержащий сведения о данной операции, и немедленно направляет его в уполномоченный орган через территориальное учреждение.

При формировании отдельного ОЭС со сведениями об операции по финансированию терроризма в имени файла в 6-м символе ставится знак “5”.

Кредитная организация направляет ОЭС в ТУ ЦБ РФ до 16.00 по местному времени рабочего дня, следующего за днем совершения операции с денежными средствами или иным имуществом, подлежащей обязательному контролю.

В случае если операция с денежными средствами или иным имуществом, подлежащая обязательному контролю, была выявлена кредитной организацией позже рабочего дня, следующего за днем совершения операции, кредитная организация представляет сведения о такой операции в уполномоченный орган в день ее выявления и направляет в уполномоченный орган через территориальное учреждение ОЭС, содержащий эти сведения, в этот же день до 16.00 по местному времени.

ОЭС направленные кредитной организацией в уполномоченный орган через ТУ, по которым получены извещение в виде электронного сообщения (далее по тексту ИЭС) о принятии их ТУ, а также указанные ИЭС и ИЭС уполномоченного органа, полученные кредитной организацией в ответ на данный ОЭС, хранятся кредитной организацией в электронном виде не менее 5 лет со дня получения ИЭС территориального учреждения.

Программные и программно - аппаратные средства криптографической защиты информации и справочники ключей аутентификации (далее по тексту КА) хранятся в ТУ и кредитной организации не менее 5 лет с момента последнего применения при обработке ОЭС (ИЭС).

Кредитной организацией определен и утвержден порядок учета, хранения и использования носителей ключей КА и шифрования, который полностью исключает возможность несанкционированного доступа к ним, а также порядок использования резервных ключей КА и шифрования.

В кредитной организации имеется в наличии второй экземпляр регистрационной карточки открытых ключей КА и шифрования.

Руководством кредитной организации утвержден список лиц - ответственных исполнителей, имеющих доступ к носителям секретных ключей КА и шифрования (с указанием конкретной информации для каждого лица).

Для хранения носителей секретных ключей КА и шифрования в помещениях установлены надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами с двумя экземплярами ключей (один - у исполнителя, другой - в службе безопасности или у руководителя кредитной организации). При хранении в одном хранилище с другими документами носителей секретных ключей КА и шифрования, последние находятся в отдельном контейнере, опечатываемом ответственным исполнителем.

Исключен доступ неуполномоченных лиц к носителям секретных ключей КА и шифрования.

По окончании рабочего дня, а также вне времени формирования и передачи - приема ОЭС и ИЭС носители секретных ключей КА и шифрования хранятся в сейфах.

Обеспечено не допущение:

§ снятия несанкционированных копий с носителей секретных ключей КА и шифрования;

§ ознакомления с содержанием носителей секретных ключей КА и шифрования лиц, к ним не допущенных;

§ передачи носителей секретных ключей КА и шифрования лицам, к ним не допущенным;

§ вывода секретных ключей КА и шифрования на дисплей (монитор) персональной электронной вычислительной машины (ПЭВМ) или принтер;

§ установление носителя секретных ключей КА и шифрования в считывающее устройство (дисковод) ПЭВМ АРМ передачи - приема ОЭС в непредусмотренных режимах функционирования системы обработки и передачи - приема ОЭС (ИЭС), а также в другие ПЭВМ;

§ записи на носитель секретных ключей КА и шифрования посторонней информации.

При компрометации секретного ключа КА кредитной организацией были немедленно предприняты все меры для прекращения любых операций с ОЭС (ИЭС) с использованием этого ключа КА, а также письменно проинформированы о факте компрометации другие участники обмена не позднее рабочего дня, следующего за днем компрометации. Скомпрометированный ключ КА был выведен из действия и внепланово сменен.

По факту компрометации секретного ключа КА кредитной организации было организовано служебное расследование, результаты которого отражены в акте. Наличие акта служебного расследования.

При компрометации ключа шифрования кредитной организацией были приостановлены передача - прием ОЭС (ИЭС) с использованием этого ключа и письменно проинформированы о факте компрометации другие участники обмена не позднее рабочего дня, следующего за днем компрометации. Кредитная организация и территориальное учреждение приняли согласованное решение о сроках замены скомпрометированного ключа и дальнейших действиях по обмену ОЭС (ИЭС) до проведения смены скомпрометированного ключа.

В случаях увольнения, перевода в другое подразделение или на другую должность, изменения функциональных обязанностей сотрудника, имевшего доступ к носителям секретных ключей КА и шифрования, была проведена смена ключей, к которым он имел доступ.

Д) Порядок обеспечения информационной безопасности при обмене электронными документами через расчетную сеть Банка России с использованием средств защиты информации.

Проверка производится на основании Положения Банка России “О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России” от 12.03.1998 №20-П (в редакции Указаний Банка России от 11.04.2000 №774-У) и Договора “Об обмене электронными документами при осуществлении расчетов через расчетную сеть Банка России”, заключенного между территориальным подразделением Банка России и кредитной организацией.

Проверяющему необходимо на месте убедиться в том, что:

1. При работе с электронным документом обеспечивается возможность его воспроизведения на бумажном носителе с сохранением всех реквизитов в соответствии с нормативными актами Банка России;

2. Установленное программное обеспечение средств защиты информации охватывается контролем целостности путем вычисления значений хэш-функции соответствующих файлов;

3. Технологический процесс обработки и обмена электронными документами с использованием средств защиты информации регламентирован и обеспечен инструктивными и методическими документами;

4. Все электронные цифровые подписи кредитной организации зарегистрированы в установленном порядке;

5. Кредитной организацией определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart - карточек и т.п.) с секретными ключами электронной цифровой подписи и шифрования, который полностью исключает возможность несанкционированного доступа к ним;

6. Кредитной организацией приобретен программно-аппаратный центр генерации ключей электронной цифровой подписи (по рекомендациям территориального подразделения Банка России);

7. Кредитная организация ведет архивы входящих и исходящих электронных документов в соответствии со следующими требованиями:

§ входящие электронные документы, прошедшие проверку правильности электронно-цифровой подписи, хранятся совместно с открытыми ключами электронно-цифровой подписи, используемыми для подтверждения их подлинности, с указанием даты и времени получения;

§ все исходящие электронные платежные документы хранятся с указанием даты и времени их отправки;

§ сроки хранения электронных документов должны соответствовать срокам хранения, установленным для расчетных документов на бумажных носителях;

§ порядок хранения электронных документов должен обеспечивать оперативный доступ к электронным документам и возможность распечатки их копий на бумажном носителе.

8. Программные средства, предназначенные для создания и проверки правильности электронной цифровой подписи (далее по тексту ЭЦП), а также документация на эти средства хранятся в кредитной организации в течение сроков хранения электронных документов;

9. Имеются в наличии вторые экземпляры регистрационных карточек открытых ключей электронной цифровой подписи в кредитной организации;

10. Руководством кредитной организации (филиала) утвержден список лиц, имеющих доступ к ключевой информации (с указанием конкретной информации для каждого лица);

11. Для хранения носителей секретных ключей электронной цифровой подписи и шифрования в помещениях кредитной организации установлены надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами;

12. Имеются в наличии два экземпляра ключей от хранилищ (один у исполнителя, другой в службе безопасности);

13. Если кредитная организация хранит носители секретных ключей электронной цифровой подписи в одном хранилище с другими документами, то секретные ключи хранятся в отдельном контейнере, опечатываемом ответственным исполнителем;

14. Исключен доступ неуполномоченных лиц к ключевой информации;

15. По окончании рабочего дня, а также вне времени составления и обмена электронными документами носители секретных ключей электронной цифровой подписи хранятся в сейфах.

Обеспечено не допущение:

§ снятия несанкционированные копии с ключевых носителей;

§ ознакомления с содержанием ключевых носителей или передачи ключевые носители лицам, к ним не допущенным;

§ вывода секретных ключей на дисплей (монитор) ПЭВМ или принтер;

§ установки ключевого носителя в считывающее устройство (дисковод) ПЭВМ АРМ обмена электронными документами в режимах, не предусмотренных функционированием системы обработки и обмена электронными документами с территориальным подразделением Банка России, а также в другие ПЭВМ;

§ записи на ключевой носитель посторонней информации.

16. В случае компрометации секретного ключа электронной цифровой подписи со стороны кредитной организации, было организовано служебное расследование, результаты которого отражены в Акте;

17. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (электронной цифровой подписи и шифрования), была проведена смена ключей, к которым он имел доступ;

18. По истечении установленных сроков хранения электронных документов (далее по тексту ЭД) их уничтожение произведено с одновременным уничтожением копий этих электронных документов на бумажных носителях (акты уничтожения).

Перечень вопросов проверки может быть дополнен с учетом требований приложения к договору “Об обмене электронными документами при осуществлении расчетов через расчетную сеть Банка России”, заключенному между территориальным подразделением Банка России и кредитной организацией, предусматривающего порядок обеспечения информационной безопасности с использованием средств защиты информации.

Е) Осуществление электронных расчетов (кроме расчетной системы Банка России).

Проверка производится на основании Положения Банка России “О безналичных расчетах в Российской Федерации” от 03.10.2002 №2-П, Временного Положения Банка России “О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями” от 10.02.1998 №17-П, а также Рекомендаций об организации и ведении бухгалтерского учета в дополнительных офисах (отделениях) кредитных организациях, изложенных в Приложении №2 к “Правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации” от 05.12.2002 №205-П.

Проверяющему необходимо на месте убедиться в том, что:

1. Документы, регламентирующие порядок передачи расчетных документов в электронном виде предусматривают:

§ договор между банком - отправителем платежа и банком - получателем платежа при проведении расчетных операций по корреспондентским счетам (субсчетам);

§ внутрибанковские правила кредитной организации при проведении операций по счетам межфилиальных расчетов;

§ договор об использовании системы «Банк - клиент» при проведении операций по счетам клиента;

§ направление подтверждения исполнителем платежа отправителю платежа о совершении расчетной операции:

§ договор между банком - отправителем платежа и банком - получателем платежа при проведении расчетных операций по корреспондентским счетам (субсчетам);

§ Внутрибанковские правила кредитной организации при проведении операций по счетам межфилиальных расчетов;

§ договор об использовании системы «Банк - клиент» при проведении операций по счетам клиента.

2. Внутрибанковские правила кредитной организации (Положение ЦБР от 03.10.2002 №2-П):

§ устанавливают процедуру идентификации каждого участника расчетов в системе межфилиальных расчетов кредитной организации (системе технических, телекоммуникационных средств и организационных мероприятиях, обеспечивающих возможность проведения расчетных операций между подразделениями кредитной организации) при осуществлении расчетов (обмен карточками с образцами подписей и оттиском печати, применение аналогов собственноручной подписи в виде кодов, паролей, электронной подписи и т.п.);

§ содержат описание документооборота, порядка передачи и обработки расчетных документов при проведении расчетных операций по счетам межфилиальных расчетов;

§ предусматривают последовательность прохождения документов между подразделениями кредитной организации;

§ закрепляют за каждым подразделением кредитной организации, как участником расчетов, во внутрибанковской расчетной системе уникальный номер, содержащий не более четырех знаков;

§ определяют порядок формирования номеров лицевых счетов межфилиальных расчетов по правилам построения лицевого счета, установленным Банком России, с учетом уникального номера участника расчетов во внутрибанковской расчетной системе;

§ определяют порядок действий подразделений кредитной организации при поступлении расчетного документа для осуществления платежа позже установленной даты перечисления платежа, несвоевременном получении или неполучении подтверждения о совершении платежа по техническим причинам либо в связи с наступлением форс-мажорных обстоятельств.

3. Порядок приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи (далее по тексту АСП) предусматривает (Временное Положение ЦБР от 10.02.1998 №17-П):

§ составление отправителем платежа при передаче информации по каналам связи электронных расчетных документов, подписанных аналогом собственноручной подписи и содержащих реквизиты, необходимых для проведения операций по соответствующим счетам, а также все реквизиты платежных поручений плательщиков;

§ заключение между участниками электронного документооборота договора, который должен содержать:

§ процедуры признания достоверности АСП, порядок и условия ее использования;

§ перечень процедур, используемых для создания АСП и проверки его подлинности для каждого носителя, но котором составлен документ;

§ обязательство участника о признании юридической силы платежных документов, направляемых другим участником и подписываемых АСП;

§ процедуры, обеспечивающие подтверждение достоверности платежных документов, направляемых (получаемых) участниками;

§ ответственность участников документооборота за неисполнение (ненадлежащее исполнение) своих обязательств;

порядок разрешения споров:

a) составление между участниками электронного документооборота акта, подтверждающего регистрацию владельцев АСП, средств создания и проверки АСП (и его наличие);

b) использование участниками электронного документооборота программно-технических и иных средств для создания и проверки АСП;

c) фиксацию участниками электронного документооборота результатов проверки АСП с использованием электронных средств или за собственноручной подписью ответственного исполнителя в специальном журнале (и как это реализовано на практике);

d) возможность представления при необходимости результатов проверки АСП на бумажных носителях;

e) воспроизведение платежного документа, подписанного АСП, на бумажном носителе с сохранением всех реквизитов платежного документа;

f) обеспечение хранения платежных документов, подписанных АСП в течение сроков, установленных действующим законодательством (5 лет).

4. Порядок взаимодействия кредитной организации с дополнительными офисами (отделениями) по электронным каналам связи устанавливает график передачи информации между кредитной организацией и дополнительными офисами (отделениями);

5. Кредитная организация (филиал) к началу операционного дня передает по каналам связи в дополнительные офисы данные по операциям, проведенным по счетам клиентов за истекший день.

Ж) Соблюдение Правил ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ от 05.12.2002 №205-П.

Проверяющему необходимо на месте убедиться, что:

1. Руководителем кредитной организации утвержден порядок и периодичность вывода на печать документов аналитического и синтетического учета.

Ежедневно распечатывается баланс, лицевые счета, по которым были проведены операции и выписки (вторые экземпляры лицевых счетов) по клиентским счетам.

2. Обеспечено сокращение затрат и средств на совершение банковских операций на основе применения средств автоматизации;

3. При ведении счетов только в иностранной валюте при выдаче из ЭВМ на печать остатков лицевых счетов в иностранной валюте итог по всем иностранным валютам счета второго порядка показывается ли также в рублях по действующему курсу Центрального банка Российской Федерации;

4. Программным путем производится группировка счетов в активе и пассиве баланса, где это требуется, по срокам до их окончания;

5. При выдаче из ЭВМ информации по сгруппированным по срокам счетам, кроме баланса, распечатываются ведомости по срокам, исчисленным от даты совершения операции, и срокам, оставшимся до истечения срока;

6. Учет и обработка бухгалтерской документации, составление выходных форм производится с использованием ЭВМ;

7. Регистры бухгалтерского учета ведутся в виде электронных баз данных (файлов, каталогов), сформированных с использованием средств вычислительной техники, если это предусмотрено учетной политикой или другим документом кредитной организации;

8. При хранении регистров бухгалтерского учета обеспечивается их защита от несанкционированных исправлений;

9. В договоре банковского счета определен порядок приема электронных документов клиента, их защиты, оформления и подтверждения;

10. При передаче распоряжений владельцев счетов в виде электронных платежных документов обеспечено использование в них аналогов собственноручной подписи, кодов, паролей или иных средств, подтверждающих, что распоряжение составлено уполномоченным на то лицом;

11. При приеме распоряжений владельцев счетов в виде электронных платежных документов, а также при осуществлении межбанковских расчетов не допускается внесение каких-либо исправлений в поступившие документы;

12. Если учетной политикой кредитной организации предусмотрено ведение книги регистрации лицевых счетов в электронном виде, то:

§ книга регистрации лицевых счетов подписывается аналогами собственноручной подписи главного бухгалтера или его заместителя;

§ при этом обеспечиваются меры защиты информации от несанкционированного доступа;

§ из ЭВМ распечатываются ежедневно отдельные ведомости вновь открытых и закрытых счетов (при условии, что происходило открытие либо закрытие счетов);

§ ведущаяся в ЭВМ книга регистрации счетов выдается на печать на каждое первое число года, следующего за отчетным, а при необходимости - в другие сроки в течение года.

13. Лицевые счета, ведущиеся в виде электронных баз данных, распечатываются для выдачи клиенту в виде выписки, если иное не предусмотрено договором с клиентом;

14. Если прилагаемые к выпискам документы, на основании которых совершены записи по счету, предъявляются клиенту в электронном виде, то указанные документы:

§ подписываются аналогами собственноручной подписи;

§ содержат дату провода документа по лицевому счету.

15. База данных лицевых счетов ведется в ЭВМ с обязательным дублированием, как минимум на двух различных носителях;

16. Ведомость остатков размещенных (привлеченных) средств ведется ежедневно программным путем и выдается из ЭВМ на печать по мере необходимости;

17. Программное обеспечение обеспечивает составление ежедневного баланса по операциям, совершаемым непосредственно кредитной организацией, за истекший день до 12 часов местного времени на следующий рабочий день;

18. Не допускается перепечатывание материалов аналитического и синтетического учета;

19. Программное обеспечение устойчиво и позволяет одновременно отражать в ЭВМ операции во взаимосвязанных регистрах бухгалтерского учета;

20. Применяемые аналоги собственноручной подписи обеспечивают однозначную идентификацию подписи бухгалтерского работника, контролера, а также других должностных лиц, оформивших документ, проверивших его и санкционировавших совершение операции и отражение ее в бухгалтерском учете;

21. Рабочие места сотрудников кредитной организации расположены так, чтобы клиенты и другие посторонние лица не имели доступа к экранам ЭВМ;

22. Руководителем кредитной организации обеспечено:

§ ограничение доступа к совершению операций;

§ конфиденциальность применяемых кодов и паролей;

§ невозможность использования аналога собственноручной подписи другим лицом;

§ применение программного обеспечения, позволяющего своевременно устранять попытки несанкционированного доступа.

23. Если кредитная организация хранит бухгалтерские документы в виде электронных баз данных (файлов, каталогов), сформированных с использованием средств вычислительной техники, то:

§ указанные документы хранятся в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет;

§ обеспечивается возможность распечатывания бумажных копий бухгалтерских документов по формам, установленным нормативными актами Банка России;

§ структура баз данных бухгалтерских документов позволяет группировать документы в соответствии с требованиями, установленными Правилами ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ от 05.12.2002 № 205-П.

З) Соблюдение требований Письма Банка России от 28.05.2001 №66-Т “О порядке округления данных в оборотных ведомостях кредитных организаций”.

При составлении кредитными организациями баланса в форме оборотной ведомости в целых тысячах рублей должны быть соблюдены требования вышеуказанного Письма Банка России.

Проверку по этому направлению целесообразно проводить со специалистом подразделения инспектирования по бухгалтерскому учету. При проведении проверки необходимо убедиться в том, что:

1. Алгоритм округления остатков и оборотов по счетам бухгалтерского учета определен внутрибанковским документом кредитной организации;

2. При составлении алгоритма соблюдены следующие требования:

§ округление является вспомогательной технической операцией при составлении бухгалтерской отчетности и не подлежит отражению в бухгалтерском учете, то есть не оформляется бухгалтерскими проводками;

§ округление выполняется по арифметическим правилам. В отдельных случаях округление может производиться с отступлением от этих правил, т.е. суммы от 500 до 999,99 рублей не учитываются, а суммы от 0,01 до 499,99 рублей принимаются за 1 тысячу рублей;

§ построчный и пографный арифметический контроль;

§ не допускается расхождений между округленной по арифметическим правилам итоговой суммой баланса и величиной, полученной путем суммирования значений по графам в целых тысячах рублей;

§ не допускается расхождений входящих (исходящих) остатков по счетам в оборотных ведомостях за отчетный и предшествующий месяц в случаях отсутствия в течение отчетного месяца движения по балансовым счетам, включая случаи, когда округление входящих (исходящих) остатков производилось с отступлением от арифметических правил;

§ не допускается расхождение входящих и исходящих остатков по идентичным счетам в балансе кредитной организации и балансе Банка России, в связи с чем входящие и исходящие остатки по этим счетам должны округляться строго по арифметическим правилам. При этом построчный контроль при необходимости может быть урегулирован за счет увеличения (уменьшения) на 1 (единицу) дебетовых / кредитовых оборотов по счетам оборотной ведомости;

§ сводный баланс в форме оборотной ведомости (форма 101), подлежащий представлению в Банк России, должен составляться головной кредитной организацией на основе отчетности филиалов, составленной в целых тысячах рублей;

§ не допускается расхождение между формами отчетности по идентичным показателям.

И) Соблюдение Положения Банка России от 26.06.1998 №39-П “О порядке начисления процентов по операциям, связанным с привлечением и размещением денежных средств банками, и отражения указанных операций по счетам бухгалтерского учета”.

...