ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО

от 26 октября 2010 года N 141-Т

О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания

В соответствии с Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547 ("Вестник Банка России" от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74, от 1 апреля 2009 года N 21), одной из целей осуществления внутреннего контроля является принятие мер по поддержанию на не угрожающем финансовой устойчивости кредитной организации и интересам ее кредиторов и вкладчиков уровне банковских рисков.

Банк России направляет Рекомендации по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания, ориентированные на снижение уровней банковских рисков, связанных с использованием кредитными организациями аутсорсинга.

Территориальным учреждениям Банка России довести настоящее письмо до сведения кредитных организаций.

Настоящее письмо подлежит опубликованию в "Вестнике Банка России".

Первый заместитель
председателя Банка России,
Г.Г.Меликьян

Приложение
к Письму Банка России
от 26 октября 2010 года N 141-Т
"О Рекомендациях по подходам
кредитных организаций к выбору провайдеров
и взаимодействию с ними при осуществлении
дистанционного банковского обслуживания"

Рекомендации по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания

Раздел 1. Общие положения

1.1. Настоящие Рекомендации по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания (далее - Рекомендации) разработаны с учетом возможного влияния на банковскую деятельность рисков, связанных с таким обслуживанием, и недостатков в управлении ими в целях обеспечения:

осуществления дистанционного банковского обслуживания (далее - ДБО) в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России, регламентирующих банковскую деятельность и управление банковскими рисками;

надежности ДБО, отвечающей интересам клиентов кредитной организации в части функций ДБО, информационной безопасности систем ДБО, а также выполняемых в них операций и передаваемых, обрабатываемых и хранимых данных, защищенности информационных систем кредитной организации, включая системы ДБО, от сетевых атак.

1.2. В целях настоящих Рекомендаций используются следующие понятия:

система ДБО - совокупность установленных в кредитной организации (ее филиалах, представительствах и внутренних структурных подразделениях) аппаратно-программных средств, с помощью которых осуществляется ДБО;

информационный контур ДБО - совокупность аппаратно-программного обеспечения и технических средств (включая средства связи) кредитной организации и ее провайдеров, обеспечивающих удаленное (вне места нахождения кредитной организации и ее подразделений) информационное взаимодействие кредитной организации и ее клиентов;

_______________

Понятия "провайдер" и "ордер клиента" определены в Письме Банка России от 31 марта 2008 года N 36-Т "О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга" ("Вестник Банка России" от 09.04.2008 N 16).

доступность ДБО - возможность предоставления клиенту банковских услуг на основании его ордеров, передаваемых через систему ДБО, в интервалы времени, определенные договором на оказание услуг ДБО;

функции ДБО - предоставление банковских услуг в объеме, установленном договором на оказание услуг ДБО;

защищенность систем ДБО - невозможность несанкционированного внесения изменений в их функционирование и получение несанкционированного доступа к массивам данных, хранящимся в информационных системах кредитной организации, подтвержденная наличием документально зафиксированных свидетельств принятия кредитной организацией мер в ее обеспечение (полученных, например, по результатам приемосдаточных испытаний в кредитной организации по программе и методике их проведения, включавшим имитацию попыток таких действий);

защищенность операций - невозможность несанкционированного изменения их содержания, подтвержденная наличием документально зафиксированных свидетельств принятия кредитной организацией мер в ее обеспечение (полученных, например, по результатам приемосдаточных испытаний в кредитной организации по программе и методике их проведения, включавшим имитацию попыток таких действий);

защищенность данных (в применении к массивам данных, обрабатываемых и/или хранящихся кредитной организацией) - невозможность их несанкционированного изменения, подтвержденная наличием документально зафиксированных свидетельств (полученных, например, по результатам приемосдаточных испытаний в кредитной организации по программе и методике их проведения, включавшим имитацию попыток таких действий);

сетевая информационная технология - информационная технология, реализуемая с помощью информационно-телекоммуникационных сетей;

сетевая атака - воздействие на аппаратно-программное обеспечение кредитной организации и ее клиентов с применением сетевых информационных технологий с целью изменения его функционирования, воздействия на выполнение банковских операций или получения несанкционированного доступа к массивам данных, хранящимся в информационных системах кредитной организации.

Понятия "информационные технологии", "информационная система" и "информационно-телекоммуникационная сеть" определены Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448).

Раздел 2. Принципы определения подходов кредитных организаций к выбору провайдеров и организации работы с ними при оказании услуг дистанционного банковского обслуживания

2.1. При определении подходов, используемых кредитными организациями при выборе провайдеров и организации работы с ними при осуществлении ДБО, целесообразно основываться на анализе сопутствующих ему факторов риска (причин возникновения новых угроз надежности ДБО, которые могут привести к невыполнению кредитной организацией своих обязательств перед клиентами) и компонентов банковских рисков, под которыми понимаются потенциальные угрозы надежности ДБО и которые возникают вследствие действия этих факторов; указанный анализ проводится исходя из состава провайдеров, требуемых функций и информационного контура ДБО.

2.2. Факторы риска и компоненты банковских рисков, упомянутые в пункте 2.1 настоящих Рекомендаций, рекомендуется описывать во внутреннем документе кредитной организации, регламентирующем управление банковскими рисками, с указанием на его использование в других внутренних документах кредитной организации, касающихся формирования отношений с провайдерами (включая документы, регламентирующие осуществление внутреннего контроля и обеспечение информационной безопасности).

2.3. Описания факторов риска и компонентов банковских рисков, упомянутых в пункте 2.2 настоящих Рекомендаций, рекомендуется излагать по отдельности для провайдеров кредитной организации по каждому виду предоставляемых провайдером услуг (например, доступ к сети Интернет, процессинг (обработка данных), услуги связи, хранение данных и т.д.) с указанием причин возможного возникновения этих факторов и компонентов в связи со спецификой деятельности провайдера (например, использование для связи с провайдером или использование провайдером тех или иных информационных систем, информационно-телекоммуникационных сетей, подверженность новым угрозам надежности ДБО или форс-мажорных обстоятельств, наличие у провайдера контрактов с другими сторонними организациями, от которых зависит его работа, и т.д.).

2.4. При определении подходов, указанных в пункте 2.1 настоящих Рекомендаций, целесообразно оценивать возможности получения от провайдеров информации, необходимой кредитной организации для эффективного управления банковскими рисками, сопутствующими ДБО (в том числе о наличии лицензий на используемое программное обеспечение, на систему обеспечения информационной безопасности провайдера, оборудование связи и т.п.).

Раздел 3. Банковские риски, сопутствующие осуществлению кредитными организациями дистанционного банковского обслуживания с участием провайдеров

3.1. К банковским рискам, уровни которых могут повышаться в связи с применением кредитной организацией ДБО, относятся: операционный, правовой, стратегический, ликвидности и риск потери деловой репутации (репутационный риск). Кредитным организациям целесообразно учитывать тот факт, что переход к ДБО сопровождается усложнением структур этих рисков за счет возникновения в них новых компонентов, обусловленных не существовавшими ранее угрозами надежности кредитных организаций в связи с изменением характера и условий банковской деятельности.

3.2. Причинами повышения уровня операционного риска при использовании ДБО могут являться:

нарушения функционирования (прерывания взаимодействия между клиентом и кредитной организацией в процессе ДБО, искажения передаваемых данных) используемых для осуществления ДБО информационных систем и информационно-телекоммуникационных сетей провайдеров кредитной организации, связанные с авариями, отказами, сбоями в работе оборудования и программного обеспечения, а также недостаточно надежной организацией обеспечения прохождения потоков данных;

недостатки в обеспечении информационной безопасности потоков данных, относящихся к информационному взаимодействию между кредитной организацией и ее клиентами и проходящих через информационные системы провайдеров;

неправомерный доступ к информационным ресурсам кредитной организации с применением сетевых информационных технологий, в том числе при (для) противоправной деятельности;

недостаточная производительность информационных систем и пропускная способность информационно-телекоммуникационных сетей провайдеров, задействованных в информационном контуре ДБО;

недостатки в функционировании аппаратно-программного обеспечения (включая его низкую надежность) провайдеров, в том числе по вине разработчиков такого обеспечения;

недостаточная защищенность информационных систем провайдеров от сетевых атак;

невыполнение сторонними поставщиками услуг (исполнителями работ) договорных обязательств перед провайдерами.

3.3. Причинами повышения уровня правового риска при ДБО могут являться:

нарушения провайдерами требований законодательства Российской Федерации, в том числе из-за недостатков в функционировании их аппаратно-программного обеспечения;

несовершенство законодательства Российской Федерации (неурегулированность отдельных вопросов ДБО и ответственности сторон, в том числе при трансграничном оказании банковских услуг с помощью ДБО), а также особенности правоотношений кредитных организаций, использующих услуги провайдеров под юрисдикцией других государств, для осуществления трансграничного информационного взаимодействия;

неправомерный доступ к конфиденциальной информации во время ее обработки, передачи и (или) хранения провайдерами кредитной организации;

неэффективная организация правовой работы, приводящая к ошибкам в действиях служащих и органов управления кредитной организации при организации взаимодействия с ее провайдерами, в том числе при заключении договоров (контрактов) с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации, включая вопросы определения ответственности провайдеров при невыполнении обязательств по обеспечению осуществления ДБО, которые могут привести к невыполнению кредитной организацией своих обязательств перед клиентами, невыполнению установленных требований по обеспечению соответствия организации и содержанию банковской деятельности, невозможности предоставления информации правоохранительным органам при расследовании противоправной деятельности, а также при заключении с клиентами договоров на ДБО, в том числе определение ответственности сторон при невыполнении соответствующих обязательств;

нахождение филиалов кредитной организации, ее клиентов, пользующихся ДБО, и провайдеров под юрисдикцией других государств.

3.4. Причинами повышения уровня стратегического риска при ДБО могут являться возможные убытки вследствие ошибочных решений органов управления кредитной организации в отношении применения технологии ДБО, и (или) внедрения, сопровождения и использования систем ДБО, и (или) выбора провайдеров, что может быть обусловлено:

отсутствием или недостатками стратегического плана развития кредитной организации, предусматривающего использование ДБО;

невозможностью достижения стратегических целей, поставленных кредитной организацией, в связи с отсутствием или необеспечением в полном объеме необходимыми ресурсами (финансовыми, материально-техническими, людскими) и невыполнением организационных мер (управленческих решений) в части ДБО и систем, с помощью которых оно осуществляется, включая информационные системы и информационно-телекоммуникационные сети провайдеров;

ошибками в выборе видов ДБО или реализующих его технических решений, включая информационные системы и информационно- телекоммуникационные сети провайдеров;

чрезмерными затратами на внедрение и сопровождение систем ДБО и (или) их нерентабельностью, а также вынужденным отказом от услуг провайдеров (с учетом как финансовых, так и технических причин) и функционально связанными с ними информационными системами кредитной организации;

ошибками (просчетами) в политике кредитной организации, проводимой в отношении направлений банковской деятельности, связанных с применением ДБО в целом.

3.5. Причинами повышения уровня риска потери деловой репутации (репутационного риска) при ДБО могут являться:

уничтожение, искажение или хищение данных о клиентах кредитной организации, их счетах и банковских операциях и сделках в связи с сетевыми атаками в информационном контуре ДБО (в том числе нарушение банковской тайны, конфиденциальности данных и т.д.);

недоступность для клиентов кредитной организации, пользующихся ДБО, требуемых им функций системы ДБО или нарушение непрерывности функционирования аппаратно-программного обеспечения этой системы и (или) других технических средств, используемых провайдерами, приводящие к невыполнению кредитной организацией своих обязательств перед клиентами;

негативная оценка клиентами кредитной организации качества ДБО (например, прерывание взаимодействия между клиентом и кредитной организацией в процессе ДБО, длительные задержки реакции на ордера клиентов и пр.) по причинам, связанным с невыполнением провайдерами кредитной организации своих договорных (контрактных) обязательств.

3.6. В условиях ДБО причиной повышения уровня риска ликвидности может стать неплатежеспособность кредитной организации, если своевременное или полное выполнение ею своих финансовых обязательств перед клиентами оказывается невозможно по техническим причинам, не зависящим от нее. Причинами повышения уровня указанного риска могут являться:

отказы и сбои в компьютерных системах провайдеров (в том числе кредитных организаций - контрагентов), через которые проходит информация, необходимая для осуществления ДБО;

аварии и отказы в информационно-телекоммуникационных сетях, предоставляемых провайдерами, через которые проходит информация в рамках ДБО.

3.7. Во внутренних документах кредитной организации при описании банковских рисков, перечисленных в пункте 3.1 настоящих Рекомендаций, целесообразно отражать их зависимость от провайдеров по каждому виду деятельности в соответствии с пунктом 2.3 настоящих Рекомендаций.

3.8. При использовании кредитной организацией нескольких систем ДБО рекомендуется учитывать возможное взаимное влияние компонентов банковских рисков, сопутствующих применению каждой такой системы, ввиду их проявления в структуре разных рисков (например, сбой в работе аппаратно-программного обеспечения, являющийся причиной возникновения операционного риска, может привести к негативной реакции клиента, проявляющейся в повышении уровня репутационного риска).

3.9. При выборе провайдера целесообразно предусмотреть его информирование о подходах к управлению банковскими рисками, принятых в кредитной организации, в части, относящейся к виду предоставляемых провайдером услуг.

3.10. При необходимости привлечения для осуществления ДБО нескольких провайдеров целесообразно использовать настоящие Рекомендации при выборе каждого из них независимо друг от друга.

Раздел 4. Принципы учета факторов риска и компонентов банковских рисков, связанных с пользованием услугами провайдеров для осуществления дистанционного банковского обслуживания

4.1. В целях обеспечения эффективности управления банковскими рисками, в состав которых входят компоненты, связанные с использованием услуг провайдеров для осуществления ДБО, органам управления кредитной организации рекомендуется при выборе провайдеров, обоснованном с точки зрения минимизации указанных рисков:

обеспечивать точное соответствие планов внедрения и развития ДБО стратегическим целям кредитной организации с учетом его возможной зависимости от провайдеров;

определить во внутреннем документе кредитной организации подходы, используемые при выборе провайдеров, необходимых в ее банковской деятельности, и сопровождения (поддержания) договорных отношений с ними на долгосрочную перспективу;

определить во внутренних документах кредитной организации меры по контролю с ее стороны над надежностью провайдеров в части обеспечения ими осуществления ДБО, которое от них непосредственно зависит, а также обязанность по осуществлению данного контроля конкретным подразделением и ответственными исполнителями самой кредитной организации;