Письмо Национального банка Республики Беларусь от 22.07.2010 № 50-15/19 "О подтверждении соответствия в системах класса "Интернет-Банк"

Банки

В связи с участившимися обращениями банков с вопросами о необходимости проведения сертификации программного обеспечения в системах класса "Интернет-Банк" сообщаем следующее.

Согласно статье 21 Закона Республики Беларусь от 10 января 2000 г. "Об электронном документе" программные и технические средства, используемые для создания, обработки, передачи, хранения и защиты электронных документов, подлежат сертификации в порядке, установленном законодательством Республики Беларусь. Сертификация программных и технических средств, необходимых для создания, передачи, обработки и хранения электронных документов, используемых в банковской деятельности, производится органом по сертификации при Национальном банке Республики Беларусь.

В Перечень продукции, услуг, персонала и иных объектов оценки соответствия, подлежащих обязательному подтверждению соответствия в Республике Беларусь, утвержденный постановлением Государственного комитета по стандартизации Республики Беларусь от 16 декабря 2008 г. N 60, включены программные средства, реализующие процессы создания и воспроизведения на бумажном носителе платежных инструкций клиента в форме электронных документов в системах "Клиент-банк".

В данной области действуют технические нормативные правовые акты:

ТР 2008/009/BY "Банковская деятельность. Информационные технологии. Информационная совместимость программных и программно-технических средств платежной системы";

ТКП 063.1-2007 "Банковские технологии. Порядок создания и обработки платежных инструкций клиента в форме электронных документов. Часть 1. Платежное поручение, платежное требование" (с изменением N 1);

ТКП 075-2007 "Банковские технологии. Порядок воспроизведения на бумажном носителе платежных инструкций клиента в форме электронных документов. Часть 1. Платежное поручение. Платежное требование" (с изменением N 1).

Эти документы устанавливают требования к процессам создания, обработки и воспроизведения на бумажном носителе платежных инструкций клиента (платежного поручения, платежного требования) в форме электронных документов и распространяются на все программные средства, осуществляющие данные процессы, не определяя конкретные системы.

Учитывая изложенное, программные средства, реализующие процессы создания платежных инструкций клиента в форме электронных документов и воспроизведения их на бумажном носителе, используемые в системах класса "Интернет-Банк", подлежат обязательному подтверждению соответствия (сертификации).

Информация о процедурах сертификации и технические нормативные правовые акты, на соответствие которым она проводится, размещены на информационном ресурсе ИСС "Банк" в разделе "Сертификация".

Кроме того, при организации предоставления банковских услуг клиентам с использованием систем класса "Интернет-Банк" рекомендуем руководствоваться Принципами управления рисками при осуществлении "электронного банкинга", разработанными Комитетом по банковскому надзору Банка международных расчетов (г. Базель, Швейцария, июнь 2003 г.) (прилагаются). Полная версия документа размещена в сети Интернет на сайте Банка международных расчетов http://www.bis.org/publ/bcbs98.htm.

Заместитель Председателя Правления В.Я.Сенько

Приложение

ПРИНЦИПЫ УПРАВЛЕНИЯ РИСКАМИ ПРИ ОСУЩЕСТВЛЕНИИ "ЭЛЕКТРОННОГО БАНКИНГА"

Под "электронным банкингом" понимается деятельность по предоставлению банковских продуктов и услуг посредством использования электронных средств и каналов передачи информации.

Принципы разделены на три условные группы.

A. Контроль со стороны Наблюдательного совета и исполнительного органа банка. Данная группа включает следующие принципы:

1. Наблюдательному совету и исполнительному органу банка следует установить эффективный управленческий контроль за рисками, возникающими при осуществлении "электронного банкинга", включая введение особой ответственности, политики и контроля за управлением данными рисками.

2. Наблюдательному совету и исполнительному органу банка следует рассматривать и утверждать ключевые аспекты контроля безопасности со стороны банка.

3. Наблюдательному совету и исполнительному органу банка следует установить процессы всестороннего и постоянного контроля и разумной тщательности за управлением аутсорсинговыми и другими отношениями, поддерживающими функционирование системы "электронного банкинга".

B. Контроль безопасности. Данная группа включает следующие принципы:

4. Банку следует принять необходимые меры для достоверной идентификации и авторизации клиентов, с которыми осуществляются операции через Интернет.

5. Банку следует использовать методы идентификации трансакций, которые способствуют невозможности отказа от осуществленной трансакции и устанавливают учет данных трансакций.

6. Банк должен обеспечить проведение необходимых мероприятий, способствующих адекватному распределению обязанностей в системе "электронного банкинга", базах данных и приложениях.

7. Банк должен обеспечить систему "электронного банкинга", базы данных и приложения необходимой системой авторизационного контроля и доступа.

8. Банк должен обеспечить необходимые меры для защиты целостности данных о трансакциях, записях и другой информации в системе "электронного банкинга".

9. Банку следует обеспечить возможность осуществления аудита всех трансакций в системе "электронного банкинга".

10. Банку следует принять необходимые меры для сохранения конфиденциальности ключевой информации в системе "электронного банкинга". Принимаемые меры сохранения конфиденциальности должны быть сопоставимы с характером передаваемой и / или хранящейся в базах данных информации.

С. Управление правовым риском и риском репутации. Данная группа включает следующие принципы:

11. Банку следует обеспечить наличие адекватной информации на своем веб-сайте, которая позволит потенциальным клиентам идентифицировать банк, а также каким образом осуществляется его регулирование до момента осуществления трансакции в системе "электронного банкинга".

12. Банку следует принять необходимые меры для обеспечения строгого соблюдения требований конфиденциальности сведений о клиентах, применяемых в юрисдикции, в которой банк предоставляет продукты и услуги системы "электронного банкинга".

13. Банку следует иметь эффективные технические возможности, процессы непрерывного бизнеса и планирования действий на случай возникновения форс-мажорных обстоятельств в целях обеспечения работоспособности системы "электронного банкинга".

14. Банку следует разработать необходимые планы действий на случай возникновения инцидентов для управления, сдерживания и минимизации проблем, являющихся результатом непредвиденных событий, включая внутренние и внешние воздействия, которые могут препятствовать обеспечению предоставления услуг системы "электронного банкинга".