обязанностей между отдельными структурными подразделениями или сотрудниками, задействованными в разработке (приобретении) и эксплуатации СЭБ.

План разработки (приобретения) СЭБ должен представлять собой общий документ, содержащий описание основных процедур, распределение сроков исполнения и ответственности.

Проект плана разработки (приобретения) СЭБ обсуждается членами комитета по технологиям, по результатам обсуждения в план вносятся необходимые корректировки, он одобряется комитетом по технологиям и утверждается куратором по ИТ.

Общий план разработки (приобретения) СЭБ должен доводиться до руководителей всех задействованных в плане подразделений и соответствующих специалистов данных подразделений.

В связи с тем что разработка (приобретение отдельных модулей) СЭБ представляет собой сложный многозадачный последовательный процесс, требующий согласованности с существующими бизнес-процессами в кредитной организации, архитектурой ее внутренних распределенных автоматизированных систем, целесообразным является включение в план пунктов, описывающих отчетные или контрольные мероприятия.

Включение таких контрольных точек позволит руководству кредитной организации, СВК и другим заинтересованным подразделениям контролировать исполнение плана и при необходимости своевременно вносить изменения в те или иные мероприятия.

Контрольные точки следует включать в план таким образом, чтобы они позволяли выделять и объединять функционально и технологически связанные между собой виды работ в группы, поддающиеся автономному анализу или тестированию с целью контроля качества их исполнения.

Например, включение в план непосредственно разработки СЭБ позволит осуществлять тестирование отдельных модулей программного обеспечения и комплексов аппаратного обеспечения значительно раньше этапа контрольных испытаний СЭБ, что даст возможность выявить часть источников рисков, заложенных на первоначальных этапах, и вовремя устранить их.

Немаловажным является детальное распределение ответственности за исполнение плана работ. Такое распределение ответственности может фиксироваться в плане работ, в отдельном документе либо в совокупности распорядительных документов.

Подготовка распределения ответственности возлагается на комитет по технологиям. При подготовке должны учитываться функции задействованных подразделений и обязанности их сотрудников, отраженные во внутренних документах кредитной организации, текущие планы деятельности данных подразделений и другие факторы, влияющие на текущую деятельность подразделений.

Распределение должно включать в себя в том числе перечень подразделений или сотрудников кредитной организации, ответственных:

– за разработку описания комплекса требований (бизнес-требований) к программному обеспечению в рамках СЭБ;

– разработку технопроектной документации к программному и аппаратному обеспечению СЭБ;

– разработку технорабочей документации к программному и аппаратному обеспечению СЭБ;

– разработку программного обеспечения в рамках СЭБ;

– проведение конъюнктурного анализа и приобретение у сторонних организаций-разработчиков программного обеспечения в рамках СЭБ;

– организацию и проведение контрольных испытаний, периодического тестирования, мониторинг возникающих ошибок и сбоев СЭБ;

– сопровождение СЭБ.

Все перечисленные мероприятия являются основой для оценки качества организации этапа планирования реализации СЭБ службами внутреннего аудита и контроля. При этом основными и минимально необходимыми являются следующие вопросы:

– утвержден ли план разработки, внедрения и эксплуатации новой СЭБ?

– утверждены ли приказ, распоряжение или иной документ «Распределение ответственности по проекту»?

– определены ли ответственные за разработку описания комплекса требований (бизнес-требований) к программному обеспечению системы?

– определены ли ответственные за разработку технорабочей документации к программному обеспечению в рамках СЭБ?

– определены ли ответственные за разработку программного обеспечения СЭБ?

– определены ли ответственные за проведение конъюнктурного анализа и приобретение у сторонних организаций-разработчиков программного обеспечения в рамках СЭБ?

– определены ли ответственные за организацию и проведение контрольных испытаний, периодического тестирования, мониторинг возникающих ошибок и сбоев СЭБ?

– определены ли ответственные за сопровождение СЭБ?

7.2.4. Организация (адаптация) процедур внутреннего аудита и контроля на этапе проектирования системы электронного банкинга

Данный этап предусматривает работы, связанные непосредственно с проектированием СЭБ. Они заключаются по большей части в разработке проектной документации, содержащей основные взаимоувязанные проектные решения по системе в целом, ее функциям и всем видам обеспечения СЭБ, достаточные для разработки, наладки и функционирования СЭБ, ее проверки и обеспечения работоспособности.

Учитывая, что СЭБ представляет собой сложное в организационном и технологическом плане решение, значительное внимание следует уделять качеству организации ее документарного обеспечения и качеству самих документов.

Одним из аспектов является систематизация документарной базы, обусловленная потребностью вносить изменения в документы по мере развития системы с учетом их взаимосвязи. В противном случае внесение изменений в отдельные документы может привести к возникновению противоречий с положениями, отраженными в других документах.

В целях систематизации документарного обеспечения СЭБ должен быть разработан перечень необходимой проектной и рабочей документации[126] на СЭБ. Перечень проектной документации утверждается одним из руководителей кредитной организации, курирующим вопросы применения информационных технологий (куратором по ИТ).

К разрабатываемой проектной документации могут относиться следующие документы.

1. Описание постановки комплекса задач или иной подобный документ. Представляет собой комплекс задач или совокупность технических заданий на разработку комплекса программных и аппаратных средств, составляющих информационный контур СЭБ.

Описание постановки комплекса задач может включать в себя:

– информацию об основании разработки СЭБ: указываются документ (документы), на основе которого планируется разработка, а также орган или ответственное лицо кредитной организации, утвердившие данный документ;

– информацию о функциональном назначении будущей системы или модуля СЭБ;

– в основной части документа – требования к системе или модулю СЭБ. Наиболее детально должны быть описаны требования к функциональным характеристикам системы и ее модулей. Подлежат описанию все бизнес-процедуры, связанные с обслуживанием клиентов и соответствующими внутрибанковскими процессами по обработке информации, поступившей от клиентов, и информации задействованных подразделений и функциональных узлов кредитной организации;

– условия эксплуатации СЭБ (кратко), в том числе количество клиентов, которое предполагается подключить к работе с СЭБ на момент ввода ее в эксплуатацию, а также с учетом динамики развития кредитной организации. Должны быть оговорены количество пользователей внутри кредитной организации, периоды функционирования, периоды технического обслуживания и т. д.;

– дополнительно – требования к техническим характеристикам аппаратных средств, совместимости с программным обеспечением, использующимся в деятельности кредитной организации, и т. д.

Описание постановки комплекса задач – основной проектный документ СЭБ, отражающий требования к информационному и функциональному контурам с точки зрения различных аспектов. Данный документ является связующим в комплексе проектной документации: на его основе при необходимости подготавливаются частные технические задания и требования к отдельным элементам информационного контура.

В подготовке описания постановки комплекса задач должны быть задействованы специалисты подразделения – заказчика СЭБ, а также ряд представителей других подразделений, к компетенции которых относятся соответствующие вопросы.

2. Описание системы защиты или иной подобный документ. По содержанию данный документ является частным техническим заданием СЭБ на реализацию процедур и средств информационной безопасности в рамках информационного контура.

Документ должен содержать:

– перечень критически важной информации, обрабатываемой и генерируемой в среде СЭБ;

– перечень технических средств обеспечения информационной безопасности информационного контура СЭБ;

– описание организационных процедур обеспечения информационной безопасности;

– описание технологических средств и систем защиты и обеспечения целостности информации, варианты их сопряжения и функционирования в информационном контуре СЭБ;

– механизм организации парольной защиты, администрирования и систематизации данной работы;

– механизм реализации антивирусной защиты СЭБ.

Приложением к данному документу могут выступать:

– детальное распределение прав и обязанностей внутрибанковских пользователей СЭБ;

– описание их ролей с функциональной точки зрения и прав «владения» определенными массивами информации.

3. Альбом выходных форм или иной подобный документ. Это частный документ, связанный с описанием постановки комплекса задач и содержащий описание всех диалоговых окон и выходных форм СЭБ, доступных как для клиентов кредитной