Шрифт:
Интервал:
Закладка:
Методики испытаний разрабатывают на основе описания постановки комплекса задач и утвержденных программ испытаний с использованием типовых методик испытаний (при наличии). Отдельные положения типовых методик испытаний могут уточняться и конкретизироваться в разрабатываемых методиках испытаний в зависимости от особенностей СЭБ и условий проведения испытаний. Содержание разделов методик устанавливается подразделением-разработчиком совместно с подразделением – заказчиком СЭБ.
Все перечисленные выше аспекты могут являться основой для оценки качества организации этапа испытаний, сдачи и приемки в эксплуатацию СЭБ службами внутреннего аудита и внутреннего контроля. Основными и минимально необходимыми вопросами являются следующие:
– разработаны ли «Программа и методика испытаний СЭБ» или иной подобный документ?
– разработан ли «Контрольный пример испытаний СЭБ» или иной подобный документ?
– назначен ли ответственный за организацию испытаний СЭБ?
– определены ли члены экспертной комиссии по проведению испытаний СЭБ?
– входит ли в состав экспертной комиссии представитель подразделения-разработчика?
– входит ли в состав экспертной комиссии представитель подразделения, ответственного за сопровождение СЭБ?
– входит ли в состав экспертной комиссии представитель организации – поставщика системы или модулей СЭБ?
– входит ли в состав экспертной комиссии представитель организации-провайдера?
– входит ли в состав экспертной комиссии представитель подразделения информационной безопасности?
– входит ли в состав экспертной комиссии представитель подразделения-заказчика?
– отражены ли в протоколе результаты испытаний, а также выявленные ошибки и сбои?
– согласован ли протокол испытаний членами экспертной комиссии?
– оформляется ли процедура передачи в эксплуатацию СЭБ или модулей СЭБ актом приемки-передачи?
– согласуется ли акт приемки-передачи подразделением-разработчиком, подразделением-заказчиком, куратором информационных технологий либо членами комитета по технологиям?
7.2.7. Организация (адаптация) процедур внутреннего аудита и контроля на этапе эксплуатации системы электронного банкинга
Качество организации процедур внутреннего аудита и контроля в части организационных мер предоставления услуг и выполнения операций посредством СЭБ зависит от следующих моментов:
– предусматривается ли проверка СВА соответствия перечня услуг и операций, которые предлагаются клиентам, перечню, заявленному в договорах с клиентами и технической документации;
– разработаны ли и утверждены ли внутренние документы, определяющие порядок предоставления и изменения доступа клиентов к услугам и операциям по технологии ЭБ;
– разработана ли и утверждена ли методика оценки и мониторинга источников рисков, связанных с использованием СЭБ.
Важной с точки зрения минимизации операционного и репутационного рисков кредитной организации является качественная организация информационного обеспечения СЭБ.
Целесообразной является разработка кредитной организацией внутреннего документа, регламентирующего процедуры изменения и дополнения публикуемой информации. Эффективность данного документа может зависеть от того, содержит ли он:
– порядок принятия решений о внесении изменений и дополнений в публикуемую информацию;
– порядок назначения сотрудников, ответственных за внесение изменений и дополнений в публикуемую информацию;
– порядок контроля своевременности и полноты внесения изменений и дополнений в публикуемую информацию.
В части правового обеспечения при организации соответствующих процедур внутреннего контроля следует обращать внимание:
– на наличие в договорах на банковское обслуживание клиентов положений, определяющих перечень предоставляемых услуг в рамках СЭБ и обязанности клиентов по соблюдению порядка предоставления услуг;
– наличие установленного порядка внесения изменений в договоры с клиентами, который регламентирует унификацию договоров на предоставление услуг посредством СЭБ.
Для повышения качества организации деятельности служб разработки и сопровождения СЭБ необходимо обращать внимание на то, регламентированы ли следующие моменты:
– статус руководителей служб разработки и сопровождения СЭБ, их подчиненность и подотчетность куратору информационных технологий;
– профессиональный уровень (профессиональная подготовка по технологии ЭБ) руководителей служб разработки и сопровождения СЭБ;
– организационно-штатная структура и персональный состав подразделений служб разработки и сопровождения СЭБ (численность, квалификация и др.);
– профессиональный уровень сотрудников служб разработки и сопровождения СЭБ (профессиональная подготовка по технологии ЭБ);
– закрепление обязанностей за сотрудниками служб разработки и сопровождения СЭБ;
– периодичность и формы отчетов о своей деятельности, представляемых службой автоматизации.
Для повышения качества планирования применения и развития СЭБ необходимы:
– наличие тактических планов развития СЭБ, их соответствие стратегическому плану развития технологий, применяемых кредитной организацией;
– своевременность (актуальность) разработки (корректировок) тактических планов развития СЭБ в соответствии с политикой управления электронными системами кредитной организации;
– определение статуса должностных лиц (куратора информационных технологий, членов комитета по технологиям), согласовывающих и утверждающих тактические планы (корректировки) развития СЭБ;
– наличие формализованных процедур внесения изменений (корректировок) в планы развития СЭБ;
– обеспечение своевременности и периодичности проведения совещаний комитета по технологиям, на которых рассматриваются вопросы управления и развития СЭБ;
– регулярность рассмотрения комитетом по технологиям отчетов о выполнении планов развития СЭБ.
Немаловажной с точки зрения организации процедур внутреннего контроля также является должная организация учета информационных активов (программных и аппаратных средств, других информационных ресурсов – источников данных), составляющих информационный контур СЭБ. Для этого необходимы:
– наличие реестра аппаратных средств в составе информационного контура СЭБ;
– наличие формализованных процедур внесения изменений в реестр аппаратных средств;
– наличие ответственного за ведение и внесение изменений в реестр аппаратных средств;
– проведение на периодической основе и наличие актов инвентаризации аппаратных средств в составе информационного контура СЭБ;
– наличие реестра программных средств в составе информационного контура СЭБ;
– наличие формализованных процедур внесения изменений в реестр программных средств;
– наличие ответственного за ведение и внесение изменений в реестр программных средств;
– проведение на периодической основе и наличие актов инвентаризации программных средств в составе информационного контура СЭБ;
– наличие реестра информационных ресурсов в составе информационного контура СЭБ;
– наличие формализованных процедур внесения изменений в реестр информационных ресурсов;
– наличие ответственного за ведение и внесение изменений в реестр информационных ресурсов;
– проведение на периодической основе и наличие актов инвентаризации информационных ресурсов в составе информационного контура СЭБ.
В части качества процессов контроля функционирования аппаратных и программных средств СЭБ необходимы:
– наличие процедур и средств контроля нагрузки и режимов функционирования аппаратных и программных средств кредитной организации;
– документарное отражение результатов контроля в специализированных электронных журналах и (или) на бумажных носителях;
– соблюдение своевременности и периодичности составления прогнозов будущих потребностей в аппаратных и программных средствах СЭБ;
– учет прогнозов при составлении и утверждении планов развития СЭБ.
В части качества организации процедур внутреннего контроля в отношении сопровождения и реагирования на инциденты (сбои) в процессе эксплуатации СЭБ целесообразно уделять внимание:
– обеспечению своевременности и регулярности технического обслуживания компьютерного, телекоммуникационного и прочих видов оборудования информационного контура СЭБ согласно рекомендациям производителей;
– определению процедур реагирования на инциденты (сбои) в процессе эксплуатации аппаратных и программных средств СЭБ;
– закреплению обязанностей сотрудников регистрировать и сообщать обо всех случаях сбоев функционирования;
– наличию порядка (рекомендаций) действий пользователей СЭБ при возникновении инцидентов (сбоев);
– наличию в службе автоматизации лиц, ответственных за устранение последствий инцидентов (сбоев);
– наличию порядка регистрации случаев инцидентов (сбоев) в процессе эксплуатации аппаратно-программных средств, а также выбору корректирующих мер по недопущению в дальнейшем потенциальных сбоев в СЭБ;
– учету результатов анализа произошедших инцидентов (сбоев) при составлении планов развития СЭБ.
В части качества организации процедур информационной безопасности целесообразно уделять внимание:
– наличию в высшем руководстве кредитной организации собственного куратора СИБ (рекомендуется, чтобы служба автоматизации и СИБ не имели общего куратора);
– назначению лица, ответственного за защиту основных информационных ресурсов СЭБ (администратора информационной безопасности СЭБ);
– регламентации деятельности администраторов информационной безопасности СЭБ нормативно-методическими документами, разработанными в кредитной организации;
– обеспечению своевременности и периодичности проведения специалистами СИБ или администраторами информационной безопасности СЭБ проверок обеспечения