StiuCum - home - informatii financiare, management economic - ghid finanaciar, contabilitatea firmei
Solutii la indemana pentru succesul afacerii tale - Iti merge bine compania?
 
Management strategic - managementul carierei Solutii de marketing Oferte economice, piata economica Piete financiare - teorii financiare Drept si legislatie Contabilitate PFA , de gestiune Glosar de termeni economici, financiari, juridici


Castiga timp, fa bani - si creste spre succes
finante FINANTE

Finante publice, legislatie fiscala, contabilitate, informatii fiscale, asistenta contribuabili, transparenta institutionala, formulare fiscale din domaniul finantelor publice si private (Declaratii fiscale · Fise fiscale · Situatii financiare · Raportari anuale)

StiuCum Home » FINANTE » banci si burse

Practici pentru minimizarea riscului e-banking, recomandate de comitetul de la basel

Practici pentru minimizarea riscului e-banking, recomandate de Comitetul de la Basel

Controlul securitǎtii sistemului e-banking

Acesta este realizat prin urmǎtoarele:

1). Fiecare utilizator al sistemului sau aplicatiei de e-banking, incluzand toti clientii, utilizatorii interni din cadrul bǎncii si furnizorii de servicii externi trebuie sǎ aibǎ asociatǎ, in cadrul profilului de securitate creat si modificat dinamic, o autorizare de acces si privilegii de acces bine definite. Controlul de acces la nivel logic trebuie sǎ corespundǎ segregǎrii sarcinilor in cadrul sistemului. Definirea standardelor de securitate si de calitate si autorizarea pe scheme de certificǎri poate fi particularǎ fiecǎrei institutii sau standardizatǎ la nivelul sistemului bancar national, pentru a stabili si imbunǎtǎti nivelul securitǎtii activitǎtilor ebanking.



Bǎncile pot de asemenea stabili asignarea de drepturi de acces intr-o manierǎ centralizatǎ sau distribuitǎ. De exemplu, ar putea exista o singurǎ autoritate de autorizare responsabilǎ cu asocierea de drepturi de acces unor identitǎti specifice, a unor roluri sau grupuri de useri din cadrul unei bǎnci sau pot exista mai multe autoritǎti de autorizare in functie de necesitǎti in cadrul unor directii de activitate a bǎncii.

2). Sistemele e-banking si datele vehiculate de acestea trebuie clasificate si protejate in

functie de senzitivitatea[1] si importanta lor. Trebuie folosite mecanisme specifice de protejare a tuturor sistemelor, serverelor, bazelor de date si aplicatiilor e-banking, cum ar fi criptarea, controlul accesului, recuperarea datelor din eroare etc.

3). Stocarea datelor senzitive sau cu inalt nivel de risc pe laptopuri sau statii de lucru trebuie evitatǎ sau minimizatǎ la maximum caz in care este absolut necesarǎ protejarea prin criptare, controlul accesului la informatia respectivǎ si planuri de recuperare a datelor.

4). Trebuie instauratǎ o supraveghere fizicǎ a serverelor, aplicatiilor si datelor, astfel incat sǎ fie impiedicat accesul neautorizat la acestea. Aceastǎ supraveghere include protejarea la accesul neautorizat al unor vizitatori, colaboratori ocazionali sau traditionali sau tehnicieni care ar putea avea acces la sistem desi nu sunt direct implicati in serviciile e-banking.

5). Trebuie utilizate tehnici specifice de minimizare a amenintǎrilor externe la adresa sistemelor e-banking, incluzand folosirea :

a). programelor de scanare de virusi la toate punctele de intrare in sistem(servere ce faciliteazǎ accesul de la distantǎ, proxy servere, servere de e-mail) si pe fiecare statie de lucru;

b) programe de detectare periodicǎ a incercǎrilor de intruziune si alte instrumente de verificare a punctelor slabe si/sau de verificare a violǎrii politicilor si procedeelor de control ale retelei de comunicatie, a serverelor si a firewallurilor;

c). teste de penetrare atat din interior cat si din exterior.

6). Procesele de securizare trebuie revizuite cu rigurozitate si aplicate tuturor angajatilor si furnizorilor de servicii ce detin pozitii senzitive.

Basel II vine sa intareasca ideea de necesitate a securizarii sistemului informational bancar prin legarea puternica a capitalului necesar unei banci de riscul operational.

Riscul operational este definit de Basel II ca fiind riscul pierderii rezultate in urma neconformitatilor sau inadecvarii proceselor interne, personalului, sistemelor sau din cauza unor evenimente externe.

Din aceasta cerinta relativa la riscul operational rezulta nu numai necesitatea disponibilitatii informatiilor dar si confidentialitatea si integritatea acestora.

In aceasta acceptiune, metodele de securizare a informatiilor din cadrul unui Sistem de Management al Securitatii Informatiilor constituie o piatra de temelie in managementul riscului operational alaturi de cerintele Sistemului de management al calitatii precum si a altor cerinte best practices din domeniul financiar.

Managementul sistemelor si serviciilor furnizate de terti

Acesta constǎ din urmǎtoarele elemente:

1). Bǎncile trebuie sǎ adopte procese corespunzǎtoare pentru evaluarea deciziilor de a subcontracta pǎrti ale sistemului e-banking sau servicii componente.

. Managerii bǎncii trebuie sǎ identifice obiectivele strategice, beneficiile si costurile asociate intrǎrii intr-o relatie de subcontractare pentru e-banking cu terti.

. Decizia de a subcontracta o functionalitate sau un serviciu cheie din cadrul sistemului e-banking trebuie sǎ fie in concordantǎ cu strategiile de afaceri ale bǎncii, sǎ fie bazatǎ pe definirea unor necesitǎti clar definite impuse de activitatea de e-banking si fundamentatǎ pe cunoasterea riscurilor specifice asociate subcontractǎrii.

. Toate ariile bǎncii afectate de relatia subcontractare trebuie sǎ inteleagǎ modul in care furnizorul/furnizorii de servicii vor sustine strategia e-banking si modalitatea in care acesta/acestia se vor incadra in structura operationalǎ a sistemului e-banking.

2). Bǎncile trebuie sǎ efectueze analize de risc si sǎ intreprindǎ toate testele necesare selectǎrii unui furnizor de servicii pentru sistemul de e-banking atat inaintea selectǎrii lui cat si in timpul furnizǎrii de servicii, pentru a se asigura cǎ serviciile furnizate respectǎ parametrii initiali.

. Bǎncile trebuie sǎ aibǎ in vedere dezvoltarea de procese pentru solicitarea de oferte potentialilor furnizori de servicii si criterii de alegere a celei mai bune oferte.

. Odatǎ identificat cel mai bun potential furnizor de servicii, banca trebuie sǎ realizeze o trecere in revistǎ a tuturor factorilor, incluzand o analizǎ de risc a puterii financiare a potentialului furnizor de servicii, a reputatiei acestuia, a politicilor si a procedeelor de control si gestiune a riscului pe care acesta le aplicǎ si abilitatea sa de a-si indeplini indatoririle contractuale, in calitate de furnizor de servicii.

. De asemenea, bǎncile trebuie sǎ efectueze controale regulate pentru verificarea abilitǎtilor furnizorului de servicii de a-si indeplini indatoririle si obligatiile si, dacǎ e nevoie sǎ efectueze toate testele legate de managementul riscului e-banking pe toatǎ durata contractului. Periodicitatea verificǎrii capacitǎtii furnizorului de servicii de a-si indeplini obligatiile trebuie sǎ se bazeze pe natura materialǎ a operatiunilor subcontractate si pe periodicitatea schimbǎrilor survenite in sistemul de management al riscului in timp, fatǎ de momentul incheierii contractului de furnizare de servicii.

. Bǎncile trebuie sǎ se asigure cǎ s-au alocat toate resursele necesare supravegherii activitǎtii subcontractate pe care se bazeazǎ sistemul e-banking.

. Responsabilitǎtile de supraveghere a aranjamentelor de subcontractare trebuie clar definite si asociate.

. Banca trebuie sǎ dispunǎ de o variantǎ de subcontractare sau de inlocuire a acesteia, si de gestiune a riscului de incheiere a relatiei de subcontractare.

3). Bǎncile trebuie sǎ adopte mǎsuri specifice pentru a asigura adecvarea contractelor ce guverneazǎ e-banking. Contractele ce guverneazǎ activitǎti e-banking subcontractate trebuie sǎ se refere, de exemplu, la urmǎtoarele:

. Responsabilitǎtile contractuale ale pǎrtilor cat si responsabilitatea luǎrii deciziilor, inclusiv pentru orice serviciu sub-subcontractat sunt clar definite;

. Responsabilitǎtile pentru furnizarea si primirea de informatii cǎtre si de la furnizorul de servicii sunt clar definite. Informatia de la furnizorul de servicii trebuie sǎ fie obtinutǎ la timp si sǎ fie suficient de cuprinzǎtoare, astfel incat banca sǎ poatǎ evalua nivelul calitǎtii serviciului si nivelul de risc. Trebuie incluse in contract si stabilite limite materiale caracteristice stǎrii de furnizare a serviciilor si utilizate proceduri pentru a notifica banca in caz de discontinuitate in furnizarea serviciilor, in caz de descoperire a unei brese in sistemul de securitate si pentru orice alte evenimente care pot induce bǎncii un risc material.

. Prevederi care privesc in special acoperirea asigurǎrii, proprietatea asupra datelor stocate pe serverele sau in bazele de date de la furnizorii de servicii si dreptul bǎncii de a-si recupera datele dupǎ expirarea sau terminarea contractului de furnizare de servicii trebuie sǎ fie clar definite.

. Trebuie clar definit nivelul de performantǎ asteptat atat in conditii normale de functionare cat si in circumstante neprevǎzute.

. Se definesc garantii si resurse financiare adecvate, de exemplu, prin stipularea unor clauze de audit, pentru a se asigura faptul cǎ furnizorul de servicii functioneazǎ si se aliniazǎ politicilor bǎncii.

. Pentru cazul alegerii unui furnizor de servicii din afara tǎrii de origine a bǎncii, se stipuleazǎ in contractul de outsourcing[2], legile si reglementǎrile cǎrei tǎri se aplicǎ referitor la elementele de protectie a clientului si la caracterul privat al informatiilor cu privire la clienti.

. Se defineste explicit, in contractul de subcontractare dreptul bǎncii de a conduce si/sau efectua inspectii si controale in domeniul securitǎtii, a controlului intern efectuat in cadrul furnizorilor de servicii, in domeniul capacitǎtii de continuitate a furnizǎrii serviciiilor si a planurilor de asigurare a continuitǎtii functionale in cazul producerii unor evenimentele exceptionale.

Ca si in cazul oricǎror alte contracte legale pe care o bancǎ le incheie cu terti, departamentul sau comisia juridicǎ din cadrul bǎncii trebuie sǎ parcurgǎ si sǎ evalueze toate conditiile si termenii stipulati in contractele ce guverneazǎ aranjamentele de tip outsourcing pentru functionarea e-banking.

4). Bǎncile trebuie sǎ se asigure cǎ sunt realizate operatii periodice de audit intern si/sau extern pentru operatiile subcontractate, la cel putin acelasi nivel la care aceste operatiuni si cu cel putin acelasi nivel de cuprindere la care acestea s-ar fi efectuat dacǎ respectivele operatii ar fi fost realizate in-house, de cǎtre bancǎ. Bǎncile care nu au personal specializat in audit, ar trebui, ca un minim necesar, sǎ detinǎ personal care nu este implicat in relatiile cu furnizorii de servicii, personal care sǎ verifice periodic eficacitatea supravegherii aranjamentului de subcontractare.

. Pentru cazurile in care relatiile de subcontractare implicǎ servicii sau aplicatii e-banking complexe din punct de vedere tehnologic sau critice din punct de vedere al bǎncii, este indicat ca bǎncile sǎ apeleze pentru audit la terti independenti care sǎ detinǎ expertiza tehnicǎ necesarǎ.

5). Este indicat ca bǎncile sǎ-si defineascǎ un plan de revenire din situatii neprevǎzute intervenite in relatia de subcontractare:

. Este indicat ca bǎncile sǎ isi evalueze si sǎ-si imbunǎtǎteascǎ periodic planurile de interventie in situatiile neprevǎzute ce pot interveni ca urmare a relatiei de subcontractare pentru sistemele si serviciile e-banking critice.

. Planurile de interventie in situatii neprevǎzute trebuie sǎ includǎ solutii pentru scenariile cele mai nefavorabile posibil de apǎrut, pentru a se asigura continuitatea serviciilor e-banking chiar in cazul intreruperii furnizǎrii de servicii de cǎtre tertii implicati in subcontractare.

. Este indicat ca bǎncile sǎ detinǎ o echipǎ care sǎ fie responsabilǎ cu gestionarea situatiilor de crizǎ si recuperarea din situatia de crizǎ cat si cu evaluarea impactului financiar al intreruperii furnizǎrii de servicii pentru e-banking.

6). Bǎncile care furnizeazǎ servicii e-banking unor terti este indicat sǎ se asigure cǎ operatiunile, responsabilitǎtile si indatoririle sunt suficient de clare in angajamentul contractual, astfel incat, cei cǎrora le furnizeazǎ asemenea servicii vor fi capabili sǎ-si conducǎ propriile activitǎti de reevaluare a precautiilor necesare ce intervin ca urmare a relatiei de subcontractare si de supraveghere a acestei relatii.

. Bǎncile au responsabilitatea de a furniza institutiilor pentru care se constituie in furnizor de servicii, toate informatiile necesare pentru identificarea, controlul si monitorizarea oricǎrui risc asociat cu aranjamentul de furnizare a serviciilor ebanking.

Autorizarea aplicatiilor e-banking

Practicile de autorizare a aplicatiilor e-banking includ urmǎtoarele:

1). Este indicatǎ atribuirea de privilegii de acces si de autorizǎri specifice pentru toti indivizii, agentii sau sistemele care iau parte la activitǎti e-banking.

2). Toate sistemele e-banking trebuie construite in asa fel incat sǎ se asigure cǎ interactioneazǎ cu o bazǎ de date de autorizare validǎ.

3). Nici un agent sau sistem individual nu trebuie sǎ aibǎ autoritatea de a-si modifica autoritatea sau propriile privilegii de acces intr-o bazǎ de date de autorizare e-banking. Cum acest lucru poate fi imposibil si pentru cazul userilor administratori de sistem, este indicat sǎ fie stabilite alte proceduri de control si de impǎrtire a sarcinilor si responsabilitǎtilor pentru a monitoriza activitǎtile acestui tip de useri.

4). Orice adǎugare sau modificare a privilegiilor de acces a unui individ sau a unui sistem in baza de date de autorizare trebuie autorizatǎ intr-o manierǎ corespunzǎtoare de o sursǎ imputernicitǎ cu aceastǎ autorizare, este inregistratǎ si face obiectul urmǎririi si evaluǎrii in procesele de audit.

5). Trebuie instaurate mǎsuri corespunzǎtoare care sǎ asigure rezistenta bazei de date de autorizare la incercǎri de violare. Orice astfel de tentativǎ trebuie detectatǎ de sistemul de monitorizare continuǎ. Orice astfel de tentativǎ trebuie sǎ fie complet descrisǎ si toate informatiile despre ea sǎ fie stocate pentru analizarea la cel mai apropiat proces de audit.

6). Orice bazǎ de date de autorizare a accesului e-banking care a suferit o violare este indicat sǎ nu fie repusǎ in uz panǎ nu este inlocuitǎ cu o bazǎ de date validatǎ.

7). Este indicat sǎ existe proceduri de control pentru a preveni schimbǎrile in nivelurile de autorizare care intervin in timpul sesiunii de tranzactii e-banking si orice incercare de alterare a autorizǎrii trebuie inregistratǎ si adusǎ in atentie conducerii.

Audit si urmǎrire a sistemelor e-banking

Voi desemna prin cuvantul log(eng.) orice inregistrare colateralǎ, de cele mai multe ori fǎrǎ rol functional pentru aplicatia in sine, asociatǎ unei functii, proceduri sau grup de functii si proceduri. Aceastǎ inregistrare poate contine informatii cu privire la modul in care a fost realizatǎ operatiunea, ce user a declansat operatiunea, de ce date a avut nevoie sau ce date a modificat operatiunea si orice alte informatii pe care arhitectii de sistem le-au considerat necesare supravegherii functionǎrii aplicatiei, controlului informatiilor critice, istoricul operatiilor pe datele critice si a persoanelor care au afectuat aceste operatii etc. Aceste inregistrǎri au un rol foarte important in activitǎtile de audit si control.

1). Trebuie mentinute suficiente informatii de tip log pentru toate tranzactiile e-banking pentru a ajuta la stabilirea unei urmǎriri clare a operatiilor efectuate si pentru rezolvarea deciziilor disputabile.

2). Sistemele e-banking trebuie sǎ fie construite si instalate sǎ captureze si sǎ mentinǎ evidente probatorii in fata legii prin detinerea controlului asupra acestor probe si in asa fel incat sǎ impiedice violarea acestor probe sau inregistrarea de false probe.

3). In cazul in care sistemele de procesare si sistemele de urmǎrile si inregistrare a log ului pentru audit nu se aflǎ in cadrul bǎncii ci la terti :

. Banca trebuie sǎ se asigure cǎ are acces la log ul relevant stocat la furnizorul de servicii.

. Log ul pentru audit tinut de furnizorii de servicii sǎ fie in concordantǎ cu standardele bǎncii.


Mentinerea caracterului privat al informatiilor cu privire la clientii e-banking

Aceasta constǎ din:

2). Bǎncile trebuie sǎ utilizeze tehnici de criptare corespunzǎtoare, specifice protocoalelor sau altor controale de securitate pentru a asigura confidentialitatea datelor clientilor e-banking.

3). Este indicat ca bǎncile sǎ isi dezvolte proceduri de procese de control pentru verificarea periodicǎ a infrastructurii de securitate si a protocoalelor e-banking.

4). Se recomandǎ ca bǎncile sǎ se asigure cǎ furnizorii de servcii au politici de confidentialitate si caracter privat in concordantǎ cu cele ale bǎncii.

5). Bǎncile trebuie sǎ efectueze pasii necesari pentru informarea clientilor e-banking in legǎturǎ cu caracterul privat si cu confidentialitatea informatiilor lor. Acesti pasi pot include :

. Informarea clientilor cu privire la politica de confidentialitate a bǎncii, eventual prin intermediul paginii de web a bǎncii. Un limbaj clar si concis in exprimarea acestor politici trebuie folosit pentru a asigura intelegerea completǎ a acestora, de cǎtre toti clientii. Descriei lungi si cu citǎri din legile in vigoare si regulamentele bǎncii, vor fi cu sigurantǎ citite doar de un numǎr foarte mic de clienti.

. Instruirea clientilor cu privire la necesitatea protejǎrii parolelor personale sau codurilor personale de identificare sau a altor date personale sau ale bǎncii.

. Furnizarea de informatii cu privire la conditiile de securitate ale calculatoarelor personale, inclusiv beneficiile utilizǎrii unor programe de tip antivirus, cu privire la controlul accesului fizic si personal la firewall[3] uri pentru legǎturi statice la Internet.

Asigurarea capacitǎtii de functionare, a continuitǎtii operationale si a gestiunii conditiilor exceptionale

Recomandǎrile Comitetului de la Basel sunt:

1). Trebuie sǎ se identifice si cuantifice caracterul critic din toate serviciile si aplicatiile e-banking, inclusiv cele ce includ terti furnizori de servicii.

2). Trebuie realizatǎ o evaluare a riscului pentru fiecare serviciu sau aplicatie criticǎ pentru e-banking, inclusiv implicatiile potentiale ale oricǎrei intreruperi operationale in riscul de credit, de piatǎ, de lichiditate, legal, operational sau reputational.

3). Trebuie luatǎ in considerare posibilitatea de dezvoltare de alternative de procesare pentru satisfacerea cererii atunci cand sistemele e-banking se apropie de limite definite ale capacitǎtii de servire.

4). Planurile de continuitate operationalǎ in e-banking trebuie sǎ ia in considerare, in determinarea planurilor de recuperare din discontinuitate, toate relatiile care se bazeazǎ pe terti furnizori si sǎ examineze orice alte depedente externe necesare.

5). Planurile de gestiune a situatiilor exceptionale trebuie sǎ fie stabileascǎ un proces de restaurare sau de inlocuire ale capacitǎtilor de procesare e-banking, proces care sǎ reconstruiascǎ informatia care stǎ la baza tranzactiilor si sǎ includǎ mǎsurile care trebuie luate pentru a readuce disponibilitatea operationalǎ a sistemelor si aplicatiilor e-banking critice in cazul unei discontinuitǎti operationale.





[1] senzitivitatea= delicatetea lor

[2] outsorcing= contract folosit in cazul unor furnizorii de servicii externi

[3] firewall= program de protectie a calculatorului care nu permite accesul altor persoane la el prin intermediul internetului



Politica de confidentialitate



Copyright © 2010- 2024: Stiucum - Toate Drepturile rezervate.
Reproducerea partiala sau integrala a materialelor de pe acest site este interzisa.

Termeni si conditii - Confidentialitatea datelor - Contact