Развитие информационных технологий в кредитных организациях

Согласно п. 3.6 с 01.01.1999 программным путем должно быть обеспечено ежедневное начисление процентов в разрезе каждого договора нарастающим итогом с даты последнего отражения начисленных процентов по лицевым счетам.

Проверку по этому направлению целесообразно проводить со специалистом подразделения инспектирования по депозитным операциям. В случае возникновения необходимости нужно рассмотреть и проверить алгоритм расчета начисления процентов по всем видам вкладов с помощью контрольных примеров. Подвергнуть особой проверке правильность начисления процентов при автоматической пролонгации вклада или его переводе на срок “до востребования”.

К) Соблюдение Положения Банка России от 09.10.2002 №199-П “О порядке ведения кассовых операций в кредитных организациях на территории РФ”.

1. Согласно п.1.19 книги учета денежной наличности и других ценностей, книги учета принятых и выданных денег (ценностей) могут вестись с использованием компьютерного оборудования и соответствующего программного обеспечения;

2. Компьютерное оборудование и соответствующее программное обеспечение должно предусматривать невозможность изменения одним работником данных, ранее внесенных другими работниками в вышеуказанные книги в электронной форме;

3. Обслуживание граждан может производиться одним кассовым работником с возложением на него обязанностей операционного работника при наличии в компьютерном оборудовании и соответствующем программном обеспечении системы контроля, исключающей доступ кассового работника к проведению операций по счету клиента без его поручения.

Проверку по этому направлению целесообразно проводить со специалистом подразделения инспектирования по ведению кассовых операций.

М) Соответствие выходных форм документов, получаемых из ЭВМ, требованиям, определенным в нормативных документах Банка России.

Выходные формы документов, получаемых из ЭВМ должны соответствовать требованиям, определенным в нормативных документах Банка России (Правила от 05.12.2002 №205-П, Положение от 03.10.2002 №2-П и т.д.).

Н) Наличие положения, регламентирующего процедуры проведения антивирусного контроля и порядок его выполнения.

Основанием для включения в проверку этого пункта послужила статья 273 УК РФ “Создание, использование и распространение вредоносных программ для ЭВМ” и комментарии Генеральной Прокуратуры РФ к Уголовному Кодексу РФ. Кроме того, инструкция Центрального Банка России от 22.07.2002 №102-И “О правилах выпуска и регистрации ценных бумаг кредитными организациями на территории РФ”предписывает кредитным организациям представлять в Банк России информацию в электронном виде, не содержащую компьютерных вирусов. Поскольку законодательными актами и нормативными документами Банка России не регламентирован порядок осуществления антивирусного контроля в кредитных организациях, необходимо рассмотреть внутренние положения коммерческого банка (филиала, небанковской кредитной организации) по этому вопросу.

О) Наличие положения, регламентирующего порядок использования сети Internet и порядок его выполнения.

Бесконтрольное использование сети Internet вызывает реальные угрозы проникновения в вычислительную технику компьютерных вирусов, а также несанкционированного доступа к ресурсам и обрабатываемым данным в ПЭВМ и локальных вычислительных сетях кредитных организаций. Поскольку законодательными актами и нормативными документами Банка России не регламентирован порядок использования сети Internet в кредитных организациях, необходимо рассмотреть внутренние положения коммерческого банка (филиала, небанковской кредитной организации) по этому вопросу.

П) Выполнение положений внутренних документов кредитной организации, предусматривающих использование систем электронной обработки данных.

Проверяющему необходимо на месте убедиться в строгом соблюдении положений внутренних документов кредитных организаций, регламентирующих использование систем электронной обработки данных и соблюдения процедур обеспечения безопасности и защиты информации при этом.

Р) Проверка программного обеспечения депозитарного учета.

В случае использования депозитарием кредитной организации программного обеспечения, в особенности разработанного собственными силами, следует выяснить, отвечает ли оно требованиям нормативных актов к защите информации от несанкционированного доступа и сохранности целостности данных в соответствии с Указанием Банка России от 28.10.1998 №385-У.

1. Использует ли депозитарий для ведения счетов депо и формирования документов программное обеспечение и электронные базы данных?

§ если да, то кто разработчик?

2. сертифицированы ли данные программы?

§ если да, то какой организацией?

3. Имеются ли в системе средства резервного копирования данных?

§ как часто производится резервное копирование (срок)?

4. имеются ли на документах, полученных из информационной системы и являющихся отчетными перед депонентами подписи должностных лиц?

С) Анализ применяемых в кредитной организации информационных технологий, программных продуктов и технических средств обработки и защиты банковской информации.

Описательно приводится информация об автоматизации отдельных участков работы кредитной организации. Для объективности оценок о достаточности имеющихся информационных систем и программных продуктов с учетом масштабов деятельности кредитной организации проверяющему рекомендуется проанализировать наличие и совместимость по интерфейсам таких систем и продуктов, как:

программно-технические комплексы “Операционный день банка”, “Банк-клиент”, “Обменный пункт” и т.д.;

системы, обеспечивающих участие в межбанковских расчетах на внутри- и межрегиональном, а также международном уровнях;

торговые терминалы для участия в торгах на валютной, фондовой бирже и иных площадках финансового рынка;

системы обслуживания пластиковых (платежных) карт;

другие функциональные системы, включая обеспечение информационной безопасности.

В целях всестороннего анализа состояния непрерывности информационных технологий, бесперебойности функционирования и эффективности использования задействованных в кредитной организации программно-аппаратных средств обработки банковской информации необходимо изучить данные, отражающие факты и обстоятельства имевших место сбоев в работе информационных систем, попыток несанкционированного доступа к защищаемой банковской информации и иных критических ситуаций, которые повлекли или могли повлечь нанесение существенного материального и иного ущерба кредитной организации, ее кредиторам и вкладчикам, а также материалы проведенных служебных расследований по имевшим место происшествиям.

Во взаимосвязи с анализом работоспособности и надежности в ходе инспекционной проверки производится оценка степени защищенности действующих в кредитной организации информационных систем и программных комплексов.

Кроме того, может быть дана экспертная оценка оптимальности технического оснащения и организации обработки информации кредитной организации на основании опроса специалистов структурных подразделений проверяемого коммерческого банка (отделения, филиала) и субъективного суждения проверяющего.

В случае необходимости, в процессе проверки возможно проведение анализа эксплуатируемого в кредитной организации программного обеспечения на наличие контроля:

§ соответствия реквизитов вводимых электронных платежных документов “Справочнику БИК РФ”, актуальность используемого справочника и периодичность его обновления;

§ защитного разряда в лицевом счете;

§ реквизитов документов с использованием других справочников (например, “План счетов бухгалтерского учета в кредитных организациях, расположенных на территории РФ”).

Наличие подобных функций контроля в программном комплексе кредитной организации позволяет снизить количество возвратов ошибочных электронных документов корреспондирующими сторонами по результатам логического контроля и исключить непроизводительные затраты времени при совершении безналичных расчетов.

При проведении анализа применяемых в кредитной организации информационных технологий и изложения его результатов рекомендуется использовать структуру международного стандарта безопасности информационных систем ISO 17799 Международный стандарт безопасности ISO 17799 разработан ISO (the International Organization for Standartization) и IEC (the International Electrotechnical Commission) и является официальным документом, регламентирующим все вопросы информационной безопасности..

Организационные меры по обеспечению безопасности:

· управление форумами по информационной безопасности;

· координация вопросов, связанных с информационной безопасностью;

· распределение ответственности за обеспечение безопасности;

· классификация и управление ресурсами;

· инвентаризация ресурсов;

· классификация ресурсов;

· безопасность персонала;

· безопасность при выборе персонала;

· тренинги персонала по вопросам безопасности;

· реагирование секьюрити на инциденты и неисправности;

· физическая безопасность;

· управление коммуникациями и процессами;

· рабочие процедуры и ответственность;

· системное планирование;

· защита от злонамеренного программного обеспечения (вирусов, троянских коней);

· управление внутренними ресурсами;

· управление сетями;

· безопасность носителей данных;

· безопасность информации и программного обеспечения;

· контроль доступа;

· бизнес требования для контроля доступа;

· управление доступом пользователей;

· контроль и управление удаленного (сетевого) доступа;

· контроль доступа в операционную систему;

· контроль и управление доступом к приложениям;

· мониторинг доступа и использования систем;

· мобильные пользователи;

· разработка и техническая поддержка вычислительных систем;

· требования по безопасности систем;

· безопасность приложений;

· криптография;

· безопасность системных файлов;

· безопасность процессов разработки и поддержки;

· управление непрерывностью бизнеса;

· процесс управления непрерывного ведения бизнеса;

· непрерывность бизнеса и анализ воздействий;

· создание и внедрение плана непрерывного ведения бизнеса;

· тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса;

· соответствие системы основным требованиям;

· соответствие требованиям законодательства;

· анализ соответствия политики безопасности;

· анализ соответствия техническим требованиям;

· анализ системного аудита.

Проверяющему совместно со всеми членами рабочей группы необходимо убедиться в соответствии форм отчетности, выдаваемых из ЭВМ на печать, требованиям нормативных документов Банка России.

При возникновении сомнений в достоверности представляемой отчетности, необходимо провести тестирование информационного, математического, программного и технического обеспечения с помощью контрольных примеров, а в случае необходимости - проанализировать соответствие совершенных операций и остатков по счетам в компьютерной базе данных данным бухгалтерского учета.

3.3 Возможные нарушения, допускаемые кредитными организациями. Оформление результатов проверки

Возможные нарушения, допускаемые кредитными организациями при использовании систем электронной обработки данных, вытекают из несоблюдения требований законодательных актов и нормативных документов Банка России.

Типовой перечень возможных нарушений и недостатков, допускаемых кредитными организациями при использовании информационных технологий, может быть существенно расширен за счет конкретизации нижеприведенных формулировок, а также в случаях установления нарушений требований внутренних документов коммерческого банка (филиала, небанковской кредитной организации).

Возможные нарушения, допускаемые кредитными организациями при использовании информационных технологий следующие.

1) Организационные вопросы:

- отсутствие плана действий в аварийных ситуациях (пожаре или стихийных бедствиях);

- отсутствие резервных мощностей (электропитание, каналы связи, компьютерные мощности и т.п.) на случай непредвиденного выхода из строя автоматизированных банковских систем;

- отсутствие резервного регламента проведения учетно-операционных и иных работ по обслуживанию клиентов в условиях чрезвычайных ситуаций (режим ручной обработки документов и т.п.).

2) Организация системы внутреннего контроля:

- несоответствие данных отчета “Состояние внутреннего контроля в банке по состоянию на …” реальному положению дел;

- отсутствие положения о распределении доступа пользователей к осуществлению операций в программном обеспечении, а также к базам данных в компьютерных системах;

- отсутствие должностных инструкций для всех штатных должностей, связанных с автоматизированной обработкой информации;

- отсутствие контроля за состоянием информационной системы кредитной организации и ее безопасностью;

- отсутствие системы оценки операционного риска, принимаемого на себя кредитной организацией, в т.ч. системы контроля и управления риском.

3) Разграничение доступа к информационным ресурсам кредитной организации:

- отсутствие внутренних документов, регламентирующих администрирование автоматизированной банковской системой (далее по тексту АБС) и локальной вычислительной сети (далее по тексту ЛВС) кредитной организации;

- отсутствие ответственных лиц (соответствующих записей в их должностных инструкциях) за администрирование АБС и ЛВС кредитной организации;

- несвоевременное изменение прав доступа пользователям при переводе в другое подразделение, увольнении;

- отсутствие авторизации при проведении операций;

- проведение (подтверждение проведения) банковских операций специалистами подразделения автоматизации;

- самостоятельное исправление ошибок, допущенных пользователями АБС, специалистами подразделения автоматизации;

- внесение изменений в базы данных АБС нештатными средствами (редакторами баз данных, программами-отладчиками);

- проведение доработок и отладок программного обеспечения с использованием рабочих (актуальных) баз данных;

- предоставление доступа пользователям к исходным текстам программ, аппаратной и программной документации;

- проведение операций ввода информации в АБС, ее подтверждения и контроля одним пользователем;

- возможность несанкционированного копирования информации из АБС на съемные носители информации.

4) Противодействие легализации (отмыванию) доходов, полученных преступным путем.

- не установление кредитной организацией внутреннего регламента формирования и направления в ТУ Банка России сведений, предусмотренных Федеральным законом, всеми ее структурными подразделениями;

- не доведение филиалом кредитной организации, наделенным правом самостоятельного направления в уполномоченный орган сведений об операциях, подлежащих обязательному контролю, порядка представления таких сведений до территориального учреждения Банка России в письменной форме;

- не выполнение кредитной организацией порядка подписания ОЭС КА и шифрования сообщения;

- несвоевременное направление кредитной организацией ОЭС в ТУ ЦБ РФ;

- не соблюдение кредитной организацией сроков хранения ОЭС и ИЭС в электронном виде (не менее 5 лет со дня получения ИЭС);

- не соблюдение кредитной организацией сроков хранения программных и программно-аппаратных средств криптографической защиты информации и справочников ключей КА;

- кредитной организацией не определен и не утвержден порядок учета, хранения и использования носителей секретных ключей КА и шифрования, полностью исключающий возможность несанкционированного доступа к ним, а также порядок использования резервных ключей КА и шифрования;

- отсутствие в кредитной организации второго экземпляра регистрационной карточки открытых ключей КА и шифрования;

- руководством кредитной организации не утвержден список лиц - ответственных исполнителей, имеющих доступ к носителям секретных ключей КА и шифрования (с указанием конкретной информации для каждого лица);

- хранение носителей секретных ключей КА и шифрования не в надежных металлических хранилищах (сейфах), оборудованных надежными запирающими устройствами с двумя экземплярами ключей (один - у исполнителя, другой - в службе безопасности или у руководителя кредитной организации). При хранении в одном хранилище с другими документами носителей секретных ключей КА и шифрования, последние не находятся в отдельном контейнере, опечатываемом ответственным исполнителем;

- не исключение доступа неуполномоченных лиц к носителям секретных ключей КА и шифрования;

- по окончании рабочего дня, а также вне времени формирования и передачи - приема ОЭС и ИЭС носители секретных ключей КА и шифрования не хранятся в сейфах;

- не обеспечение не допущения:

§ снятия несанкционированных копий с носителей секретных ключей КА и шифрования;

§ ознакомления с содержанием носителей секретных ключей КА и шифрования лиц, к ним не допущенных;

§ передачи носителей секретных ключей КА и шифрования лицам, к ним не допущенным;

§ вывода секретных ключей КА и шифрования на дисплей (монитор) персональной электронной вычислительной машины (ПЭВМ) или принтер;

§ установление носителя секретных ключей КА и шифрования в считывающее устройство (дисковод) ПЭВМ АРМ передачи - приема ОЭС в непредусмотренных режимах функционирования системы обработки и передачи - приема ОЭС (ИЭС), а также в другие ПЭВМ;

§ записи на носитель секретных ключей КА и шифрования посторонней информации.

- при компрометации секретного ключа КА кредитной организацией не были немедленно предприняты все меры для прекращения любых операций с ОЭС (ИЭС) с использованием этого ключа КА, а также не были письменно проинформированы о факте компрометации другие участники обмена не позднее рабочего дня, следующего за днем компрометации. Скомпрометированный ключ КА не был выведен из действия и внепланово сменен;

- по факту компрометации секретного ключа КА кредитной организации не было организовано служебное расследование;

- результаты служебного расследования по факту компрометации секретного ключа КА не отражены в акте;

- отсутствие акта служебного расследования по факту компрометации секретного ключа КА;

- при компрометации ключа шифрования кредитной организацией не были приостановлены передача - прием ОЭС (ИЭС) с использованием этого ключа и не были письменно проинформированы о факте компрометации другие участники обмена не позднее рабочего дня, следующего за днем компрометации. Кредитная организация и территориальное учреждение не приняли согласованное решение о сроках замены скомпрометированного ключа и дальнейших действиях по обмену ОЭС (ИЭС) до проведения смены скомпрометированного ключа;

- в случаях увольнения, перевода в другое подразделение или на другую должность, изменения функциональных обязанностей сотрудника, имевшего доступ к носителям секретных ключей КА и шифрования, не была проведена смена ключей, к которым он имел доступ.

5) Соблюдение требований Положения Банка России от 12.03.1998 №20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России» (в редакции Указаний Банка России от 11.04.2000 №774-У):

§ при работе с электронным документом не обеспечивается возможность его воспроизведения на бумажном носителе с сохранением всех реквизитов в соответствии с нормативными актами Банка России.

§ установленное программное обеспечение средств защиты информации не охватывается контролем целостности путем вычисления значений хэш-функции соответствующих файлов.

§ технологический процесс обработки и обмена электронными документами с использованием средств защиты информации регламентирован и обеспечен инструктивными и методическими документами.

§ не все электронные цифровые подписи кредитной организации зарегистрированы в установленном порядке.

§ кредитной организацией не определен и/или не утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart - карточек и т.п.) с секретными ключами электронной цифровой подписи и шифрования, который полностью исключает возможность несанкционированного доступа к ним.

§ кредитной организацией не приобретен программно-аппаратный центр генерации ключей электронной цифровой подписи (по рекомендациям территориального подразделения Банка России).

§ кредитная организация не ведет архивы входящих и исходящих ЭД в соответствии со следующими требованиями:

1. входящие ЭД, прошедшие проверку правильности ЭЦП, хранятся совместно с открытыми ключами ЭЦП, используемыми для подтверждения их подлинности, с указанием даты и времени получения;

2. все исходящие ЭПД хранятся с указанием даты и времени их отправки;

3. сроки хранения ЭД должны соответствовать срокам хранения, установленным для расчетных документов на бумажных носителях;

4. порядок хранения ЭД должен обеспечивать оперативный доступ к ЭД и возможность распечатки их копий на бумажном носителе.

программные средства, предназначенные для создания и проверки правильности электронной цифровой подписи (ЭЦП), а также документация на эти средства не хранятся в кредитной организации в течение сроков хранения электронных документов;

не имеются в наличии вторые экземпляры регистрационных карточек открытых ключей электронной цифровой подписи в кредитной организации;

руководством кредитной организации (филиала) не утвержден список лиц, имеющих доступ к ключевой информации (с указанием конкретной информации для каждого лица);

для хранения носителей секретных ключей электронной цифровой подписи и шифрования в помещениях кредитной организации не установлены надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами;

не имеются в наличии два экземпляра ключей от хранилищ (один у исполнителя, другой в службе безопасности);

если кредитная организация хранит носители секретных ключей электронной цифровой подписи в одном хранилище с другими документами, то секретные ключи не хранятся в отдельном контейнере, опечатываемом ответственным исполнителем;

не исключен доступ неуполномоченных лиц к ключевой информации;

по окончании рабочего дня, а также вне времени составления и обмена электронными документами носители секретных ключей электронной цифровой подписи не хранятся в сейфах;

не обеспечено не допущение:

1. снятия несанкционированные копии с ключевых носителей;

2. ознакомления с содержанием ключевых носителей или передачи ключевых носителей лицам, к ним не допущенным;

3. вывода секретных ключей на дисплей (монитор) ПЭВМ или принтер;

4. установки ключевого носителя в считывающее устройство (дисковод) ПЭВМ АРМ обмена электронными документами в режимах, не предусмотренных функционированием системы обработки и обмена электронными документами с территориальным подразделением Банка России, а также в другие ПЭВМ;

5. записи на ключевой носитель посторонней информации;

6. в случае компрометации секретного ключа электронной цифровой подписи со стороны кредитной организации, не было организовано служебное расследование;

7. результаты проведенного служебного расследования по факту компрометации секретного ключа электронной цифровой подписи со стороны кредитной организации не отражены в Акте;

8. в случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (электронной цифровой подписи и шифрования), не была проведена смена ключей, к которым он имел доступ;

9. по истечении установленных сроков хранения электронных документов (ЭД) их уничтожение не произведено с одновременным уничтожением копий этих электронных документов на бумажных носителях (акты уничтожения).

6) В осуществлении электронных расчетов (кроме расчетной системы Банка России).

a) отсутствие (несоблюдение требований) документов, регламентирующих порядок и правила передачи расчетных документов в электронном виде (Положение ЦБР от 03.10.2002 № 2-П);

b) внутрибанковские правила кредитной организации (Положение ЦБР от 03.10.2002 № 2-П):

§ не устанавливают процедуру идентификации каждого участника расчетов в системе межфилиальных расчетов кредитной организации;

§ не содержат описание документооборота, порядка передачи и обработки расчетных документов при проведении расчетных операций по счетам межфилиальных расчетов;

§ не предусматривают последовательность прохождения документов между подразделениями кредитной организации;

§ не закрепляют за каждым подразделением кредитной организации, как участником расчетов, во внутрибанковской расчетной системе уникальный номер;

§ не определяют порядок формирования номеров лицевых счетов межфилиальных расчетов по правилам построения лицевого счета, установленным Банком России, с учетом уникального номера участника расчетов во внутрибанковской расчетной системе;

§ не определяют порядок действий подразделений кредитной организации при поступлении расчетного документа для осуществления платежа позже установленной даты перечисления платежа, несвоевременном получении или неполучении подтверждения о совершении платежа по техническим причинам либо в связи с наступлением форс-мажорных обстоятельств;

§ несоответствие порядка приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи требованиям Временного Положения Банка России от 10.02.1998 №17-П:

- несоответствие реквизитов электронных расчетных документов установленным требованиям;

- не заключение между участниками электронного документооборота договора;

- заключенный договор не содержит процедуры признания достоверности аналога собственноручной подписи (далее по тексту АСП) и ее использования;

- заключенный договор не содержит перечень процедур, используемых для создания АСП и проверки его подлинности для каждого носителя, но котором составлен документ;

- заключенный договор не содержит обязательство участника о признании юридической силы платежных документов, направляемых другим участником и подписываемых АСП;

- заключенный договор не содержит процедур, обеспечивающих подтверждение достоверности платежных документов, направляемых (получаемых) участниками;

- заключенный договор не содержит ответственность участников документооборота за неисполнение (ненадлежащее исполнение) своих обязательств;

- заключенный договор не содержит порядок разрешения споров.

§ не составление между участниками электронного документооборота акта, подтверждающего регистрацию владельцев АСП, средств создания и проверки АСП (и его наличие);

§ не использование участниками электронного документооборота программно-технических и иных средств для создания и проверки АСП;

§ невозможность фиксации участниками электронного документооборота результатов проверки АСП с использованием электронных средств;

§ не осуществление фиксации результатов проверки АСП за собственноручной подписью ответственного исполнителя в специальном журнале;

§ невозможность представления результатов проверки АСП на бумажных носителях;

§ невозможность воспроизведения платежного документа, подписанного АСП, на бумажном носителе с сохранением всех реквизитов платежного документа;

§ не обеспечение хранения платежных документов, подписанных АСП в течение сроков, установленных действующим законодательством (5 лет);

§ не соответствие порядка взаимодействия кредитной организации с дополнительными офисами требованиям Приложения 2 к Правилам № 205-П:

- отсутствие графика передачи информации между кредитной организацией и дополнительными офисами (отделениями);

- несвоевременная передача кредитной организацией по каналам связи в дополнительные офисы данных по операциям, проведенным по счетам клиентам за истекший день.

7) Соблюдение Правил ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ от 05.12.2002 г. №205-П:

§ не утверждение руководителем кредитной организации порядка и периодичности вывода на печать документов аналитического и синтетического учета;

§ не выведение ежедневно на печать баланса, бухгалтерского журнала, лицевых счетов, по которым были проведены операции, а также выписки (вторые экземпляры лицевых счетов) по клиентским счетам;

§ не выведение на печать итога по всем остаткам лицевых счетов в иностранной валюте счета второго порядка в рублях по действующему курсу Центрального Банка Российской Федерации;

§ не произведение программным путем группировки счетов по срокам до их окончания в активе и пассиве баланса, где это требуется;

§ не распечатывание из ЭВМ ведомостей по срокам, исчисленным от даты совершения операции, и срокам, оставшимся до истечения срока;

§ не определение в договоре банковского счета порядка приема электронных документов клиента, их защиты, оформления и подтверждения;

§ не обеспечение использования аналогов собственноручной подписи, кодов, паролей или иных средств, подтверждающих составление распоряжения уполномоченным на то лицом, при передаче распоряжений владельцев счетов в виде электронных платежных документов;

§ внесение каких-либо исправлений в поступившие распоряжения владельцев счетов в виде электронных платежных документов;

§ если учетной политикой кредитной организации предусмотрено ведение книги регистрации лицевых счетов в электронном виде, то:

- книга регистрации лицевых счетов не подписывается аналогами собственноручной подписи главного бухгалтера или его заместителя;

- при этом не обеспечиваются меры защиты информации от несанкционированного доступа;

- из ЭВМ не распечатываются ежедневно отдельные ведомости вновь открытых и закрытых счетов (при условии, что происходило открытие либо закрытие счетов);

- ведущаяся в ЭВМ книга регистрации счетов не выдается на печать на каждое первое число года, следующего за отчетным, а при необходимости - в другие сроки в течение года.

§ не распечатывание для выдачи клиенту в виде выписки лицевых счетов, ведущихся в виде электронных баз данных;

§ в случае, если прилагаемые к выпискам документы, на основании которых совершены записи по счету, предъявляются клиенту в электронном виде, то указанные документы:

- не подписываются аналогами собственноручной подписи уполномоченного лица;

- не содержат дату провода документа по лицевому счету.

§ не ведение базы данных лицевых счетов в ЭВМ с обязательным дублированием, как минимум, на двух различных носителях информации;

§ не ведение ежедневно программным путем ведомости остатков размещенных (привлеченных) средств и не выдача ее на печать по мере необходимости;

§ не обеспечение программным обеспечением возможности составления ежедневного баланса по операциям, совершенным непосредственно кредитной организацией, за истекший день до 12 часов местного времени на следующий рабочий день;

§ перепечатывание материалов аналитического и синтетического учета;

§ не обеспечение однозначной идентификации подписей должностных лиц кредитной организации с помощью применяемых аналогов собственноручной подписи;

§ размещение рабочих мест сотрудников кредитной организации так, что клиенты и другие посторонние лица имеют доступ к экранам ЭВМ;

§ не обеспечением руководителем кредитной организации ограничения доступа к совершению операций;

§ не обеспечением руководителем кредитной организации конфиденциальности применяемых кодов;

§ не обеспечением руководителем кредитной организации невозможности использования аналога собственноручной подписи другим лицом;

§ не обеспечением руководителем кредитной организации применения программного обеспечения, позволяющего своевременно устранять попытки несанкционированного доступа;

§ не обеспечение хранения бухгалтерских документов в виде электронных баз данных в течение сроков, устанавливаемых в соответствии с правилами организации архивного дела (не менее пяти лет);

§ не обеспечение возможности распечатывания бумажных копий бухгалтерских документов по формам, установленным нормативными актами Банка России.

8) Соблюдение требований Письма Банка России от 28.05.2001 № 66-Т:

§ отсутствие во внутрибанковских документах кредитной организации описания алгоритма округления оборотов и остатков по счетам бухгалтерского учета;

§ оформление операций округления до целых тысяч рублей бухгалтерскими проводками с отражением в бухгалтерском учете кредитной организации;

§ отсутствие в алгоритме округления построчного и пографного арифметического контроля;

§ наличие расхождений между округленной по арифметическим правилам итоговой суммой баланса и величиной, полученной путем суммирования по графам в целых тысячах рублей;

§ наличие расхождений между входящими (исходящими) остатками по счетам за отчетный и предшествующий месяц в случаях отсутствия в течение текущего месяца движения по этим счетам;

§ наличие расхождений между входящими и исходящими остатками по идентичным счетам в балансе кредитной организации и балансе Банка России;

§ наличие расхождений между формами отчетности по идентичным показателям.

9) Соблюдение Положения Банка России от 26.06.1998 №39-П:

§ не обеспечение ежедневного начисления процентов программным путем в разрезе каждого договора нарастающим итогом с даты последнего отражения начисленных процентов по лицевым счетам.

10) Соблюдение Положения Банка России от 09.10.2002 №199-П:

§ не обеспечение компьютерным обеспечением невозможности изменения одним работником данных, введенным другими работниками в книгу учета принятых и выданных денег (ценностей) в электронной форме;

§ отсутствие в компьютерном оборудовании и компьютерном обеспечении системы контроля, исключающей доступ кассового работника к проведению операций по счету клиента без его поручения (при совмещении кассовым работником своих обязанностей с обязанностями операционного работника).

11) Соответствие выходных форм документов, получаемых из ЭВМ требованиям, определенным в нормативных документах Банка России:

§ несоответствие выходных форм документов, получаемых из ЭВМ, требованиям нормативных документов Банка России.

12) Проверка программного обеспечения депозитарного учета:

§ отсутствие сертификации программного обеспечения депозитарного учета (Закон РФ “Об информации, информатизации и защите информации” от 20.02.1995 №24-ФЗ).

Возможные недостатки, допускаемые кредитными организациями при использовании информационных технологий.

1) Организационные вопросы:

§ отсутствие планирования развития систем электронной обработки данных;

§ отсутствие контроля со стороны руководства кредитной организации процесса автоматизации банковской деятельности;

§ не проведение периодической инвентаризации вычислительной техники и программного обеспечения;

§ оформление актов инвентаризации вычислительной техники и программного обеспечения ненадлежащим образом;

§ отсутствие договоров на сопровождение и техническое обслуживание программно-технического комплекса;

§ использование нелицензионного программного обеспечения;

§ отсутствие положения о подразделении информатизации и должностных инструкций на всех специалистов;

§ не ознакомление специалистов со своими должностными инструкциями;

§ отсутствие планов (графиков) работ подразделения автоматизации;

§ отсутствие взаимозаменяемости специалистов автоматизации;

§ отсутствие регламента создания и обновления архивных и резервных копий информации в электронном виде;

§ несоблюдение сроков обновления информации, количества создаваемых архивных и резервных копий;

§ отсутствие процедур обеспечения конфиденциальности хранимой и резервируемой информации;

§ несоответствие организационно-распорядительных документов подразделения автоматизации кредитной организации ГОСТ Р 6.30-97 “Унифицированная система организационно-распорядительной документации. Требования к оформлению документов”.

2) Организация системы внутреннего контроля:

§ отсутствие контроля за эффективностью применения процедур защиты конфиденциальной банковской информации, за доступом работников к имеющейся в кредитной организации информации в зависимости от их компетенции, установленной внутренними регламентирующими документами.

3) Соблюдение Правил ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ от 05.12.2002 №205-П:

§ не обеспечение сокращения затрат и средств на совершение банковских операций на основе применения средств автоматизации;

§ учет и обработка бухгалтерской документации, ведение регистров бухгалтерского учета, оставление выходных форм без использования ЭВМ;

§ неустойчивость программного обеспечения.

4) Отсутствие внутрибанковского документа, регламентирующего проведение антивирусного контроля.

5) Отсутствие внутрибанковского документа, регламентирующего порядок использования сети Internet.

6) Несоблюдение внутренних документов кредитной организации, предусматривающих использование систем электронной обработки данных.

7) Недостаточная автоматизация работы подразделений кредитной организации.

Установление в процессе проведения инспекционной проверки вышеперечисленных нарушений и недостатков, как правило, свидетельствует о возрастании операционного риска и риска потери репутации кредитной организации из-за операционных сбоев.

Оформление результатов проверки.

Оформление результатов проверки банковских информационных технологий производится в соответствии с требованиями инструкции Центрального Банка России от 25.08.2003 №105-И актом или разделом акта инспекционной проверки.

В акт инспекционной проверки включаются нарушения требований действующего банковского, валютного законодательства и нормативных документов Банка России, а также недостатки, увеличивающие риски возникновения угроз устойчивости системы электронных расчетов региона и автоматизированных банковских систем кредитных организаций. Кроме того, в акт инспекционной проверки могут быть включены другие моменты, заслуживающие, по мнению проверяющего, внимания со стороны руководства, как территориального подразделения Банка России, так и кредитной организации.

Заключение

В настоящее время наблюдается тенденция к объединению различных типов информационных технологий в единый компьютерно - технологический комплекс, который носит название интегрированного. Особое место в нем принадлежит средствам коммуникации, обеспечивающим не только чрезвычайно широкие технологические возможности автоматизации управленческой деятельности, но и являющимся основой создания самых разнообразных, глобальных вычислительных сетей, электронной почты, цифровых сетей интегрального обслуживания. Все они ориентированы на технологическое взаимодействие совокупности объектов, образуемых устройствами передачи, обработки, накопления и хранения, защиты данных, представляют собой интегрированные компьютерные системы обработки данных большой сложности, практически неограниченных эксплуатационных возможностей для реализации управленческих процессов в экономике.

Интегрированные компьютерные системы обработки данных проектируется как сложный информационно-технологический и программный комплекс. Он поддерживает единый способ представления данных и взаимодействия пользователей с компонентами системы, обеспечивает информационные и вычислительные потребности специалистов в их профессиональной работе.

Повышение требований к оперативности информационного обмена и управления, а следовательно, к срочности обработки информации, привело к созданию не только локальных, но и многоуровневых и распределенных систем организационного управления объектами, какими являются, например, банковские, налоговые, снабженческие, статистические и другие службы. Их информационное обеспечение реализуют сети автоматизированных банков данных, которые строятся с учетом организационно-функциональной структуры соответствующего многоуровневого экономического объекта, машинного ведения информационных массивов. Эту проблему в новых информационных технологиях решают распределенные системы обработки данных с использованием каналов связи для обмена информацией между базами данных различных уровней. За счет усложнения программных средств управления базами данных повышаются скорость, обеспечиваются защита и достоверность информации при выполнении экономических расчетов и выработке управленческих решений.

В многоуровневых и распределенных компьютерных информационных системах организационного управления одинаково успешно могут быть решены как проблемы оперативной работы с информацией, так и проблемы анализа экономических ситуаций при выработке и принятии управленческих решений.

Потребность в аналитической работе при переходе к рынку в условиях перестройки экономических отношений, образования новых организационных структур, функционирующих на основе различных форм собственности, неизмеримо взрастает. Возникает необходимость в накоплении фактов, опыта, знаний в каждой конкретной области управленческой деятельности. Преобладает заинтересованность в тщательном исследовании конкретных экономических, коммерческих, производственных ситуаций с целью принятия в оперативном порядке экономически обоснованных и наиболее приемлемых решений.

Зарубежные специалисты выделяют пять основных тенденций развития информационных технологий. Кратко охарактеризуем их.

Первая тенденция связана с изменением характеристик информационного продукта, который все больше превращается в гибрид между результатом расчетно-аналитической работы и специфической услугой, предоставляемой индивидуальному пользователю ПЭВМ.

Отмечаются способность к параллельному взаимодействию логических элементов Автоматизированной информационной технологии (АИТ), совмещение всех типов информации (текста, образа, цифр, звуков) ориентацией на одновременное восприятие человеком посредством органов чувств.

Прогнозируется ликвидация всех промежуточных звеньев на пути от источника информации к её потребителю, например, становится возможным непосредственное общение авторов и читателя. Продавца и покупателя, певца и слушателя, ученых между собой, преподавателя и обучающегося, специалистов на предприятии через систему видеоконференций, электронный киоск, электронную почту.

В качестве ведущей называется тенденция к глобализации информационных технологий в результате использования спутниковой связи и всемирной сети INTERNET, благодаря чему люди могут общаться между собой и общей базой данных, находясь в любой точке планеты.

Конвергенция рассматривается как последняя черта современного процесса развития АИТ, которая заключается в стирании различий между сферами материального производства и информационного бизнеса, в максимальной диверсификации видов деятельности фирм и корпораций, взаимопроникновении различных отраслей промышленности, финансового сектора и сферы услуг.

Таким образом, новые информационные технологии - основа перехода общественного развития от индустриальной к информационной эпохе в мировом масштабе.

Завершая работу, необходимо отметить, что значимость банковского инспектирования за прошедшие годы подтверждена практически и многократно, причем известно, что по существу только инспекционная информация дает реальную основу для поддержки принятия конкретных решений в отношении кредитных организаций, в чем и реализуется надзорная и регулирующая функции Банка России. Аудит автоматизированных систем кредитной организации имеет большое значение для оценки финансового состояния банка и должен периодически включаться в план инспекционных проверок. Необходимо расширять и совершенствовать методику по проверке данного направления деятельности кредитной организации.

Список использованной литературы

1. Федеральный закон от 7 августа 2001 г. №115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (с изменениями от 25 июля, 30 октября 2002 г., 28 июля 2004 г.)

2. Закон РФ от 9 июля 1993 г. №5351-I "Об авторском праве и смежных правах" (с изменениями от 19 июля 1995 г., 20 июля 2004 г.)

3. Закон РФ от 23 сентября 1992 г. №3523-I "О правовой охране программ для электронных вычислительных машин и баз данных" (с изменениями от 24 декабря 2002 г., 2 ноября 2004 г.)

4. Федеральный закон от 20 февраля 1995 г. №24-ФЗ "Об информации, информатизации и защите информации" (с изменениями от 10 января 2003 г.)

5. Указание ЦБР от 11 апреля 2000 г. № 774-У "О внесении изменений и дополнений в Положение Банка России (временное) "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России" от 12.03.98 №20-П"

6. Указание ЦБР от 28 октября 1998 г. №385-У "Об особенностях осуществления Банком России проверок депозитарной деятельности кредитных организаций"

7. Положение ЦБР от 16 декабря 2003 г. №242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"

8. Положение о сертификации средств защиты информации, утвержденное постановлением Правительства Российской Федерации от 26.06.95 №608 "О сертификации средств защиты информации"

...