Размещено на http://www.allbest.ru/

Оглавление

Обозначения и сокращения

Введение

Глава 1. Система управления банковскими рисками, связанными с информационными технологиями, и современные требования к ее эффективности

1.1 Изменения в структуре банковского риска, связанные с внедрением и развитием информационных технологий

1.2 Система управления рисками банка в области информационных технологий

1.3 Современные международные требования к управлению информационными рисками

Глава 2. Международные технологии анализа и стандарты управления информационными рисками

2.1 Международная практика обеспечения информационной безопасности

2.2 Управление рисками и международные стандарты

2.3 Технологии анализа информационных рисков

Глава 3. Управление информационными рисками в кредитных организациях: нормативные требования и опыт проверок на современном этапе

3.1 Особенности отечественного законодательства и нормативной базы

3.2 Деятельность Банка России в области управления информационными рисками кредитных организаций

3.3 Практика анализа информационных технологий в ходе проверок кредитных организаций

Глава 4. Оценка эффективности системы управления рисками в области информационных технологий в ходе проверки кредитной организации

Заключение

Список использованной литературы

Приложение

Обозначения и сокращения

АБС	- автоматизированная банковская система
ДБО	- дистанционное банковское обслуживание
ИБ	- информационная безопасность
ИР	- информационный риск
ИТ	- информационные технологии
КИС	- корпоративная информационная система
КО	- кредитная организация
ЛВС	- локальная вычислительная сеть
НСД	- несанкционированный доступ
СВТ	- средства вычислительной техники
СЗИ	- средство защиты информации
СКЗИ	- средство криптографической защиты информации
ЭВМ	- электронно-вычислительная машина
CISO	- Chief Information Security Officer/Глава службы информационной безопасности

Введение

В настоящее время широкое использование передовых информационных технологий является отличительной чертой финансово-кредитной системы всего мира, в том числе и нашей страны. Применение информационных технологий, с одной стороны, расширяет возможности информационного обслуживания деятельности банков, а с другой стороны, приводит к появлению новых банковских услуг и видов банковского обслуживания клиентов кредитных организаций.

Вместе с тем, использование информационных технологий связано с изменениями в структуре основных банковских рисков и выделением специфических рисков, что ставит перед кредитными организациями задачу построения системы управления рисками в области информационных технологий. Очевидно, что вопросы внедрения, использования и развития информационных технологий, а также подходы к управлению рисками в этой области должны определяться самими кредитными организациями с учетом требований действующего законодательства Российской Федерации и нормативных актов Банка России. Эффективная система управления рисками в области информационных технологий призвана обеспечить информационную безопасность - состояние защищенности интересов и целей кредитной организации в информационной сфере.

При этом, задачей органов банковского надзора является, на взгляд автора, оценка эффективности системы управления рисками кредитных организаций в области информационных технологий. Представляется, что такая оценка может быть осуществлена в ходе проверки, а ее результат следует учитывать при формировании оценки всей системы управления рисками кредитной организации.

Поставленная задача осложняется тем, что существующая на сегодняшний день в нашей стране нормативно-правовая база в области обеспечения информационной безопасности в основном охватывает только технические стороны вопроса защиты информации. В значительно меньшей степени затрагиваются меры организационного обеспечения информационной безопасности - стратегия и тактика применения защитных мер, концепция и политика безопасности, планы защиты информационных ресурсов организаций в штатных и нештатных условиях функционирования. В этой связи, важным и необходимым шагом в направлении обеспечения информационной безопасности отечественной банковской системы явилось введение в действие в 2004 году Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Однако, в настоящее время в ряде кредитных организаций осуществляется лишь опытное внедрение данного стандарта, в рамках которого определяются пути практического применения его положений.

На сегодняшний день задачу оценки эффективности системы управления рисками кредитной организации в области информационных технологий можно решить, наряду с использованием положений Стандарта Банка России, с помощью сложившейся практики обеспечения информационной безопасности, которая обсуждается в отечественных средствах массовой информации. Подобная практика использует, главным образом, международный опыт - разработанные в экономически развитых странах стандарты обеспечения информационной безопасности, представляющие признанные подходы к вопросам управления рисками в области информационных технологий, которые позволяют осуществить надлежащее построение и функционирование в организации системы менеджмента информационной безопасности.

В настоящее время, как показывает практика инспекционной деятельности, в ряде территориальных учреждений Банка России в ходе проведения проверок кредитных организаций предпринимаются попытки анализа банковских информационных технологий и управления возникающими в связи с их использованием рисками. При этом, отсутствие единых подходов к оценке управления рисками кредитных организаций в области информационных технологий негативно сказывается на качестве надзорной информации, отражаемой в актах проверок, поскольку круг проверяемых вопросов и содержательная сторона их описания значительно различаются в том или ином территориальном учреждении Банка России, что в конечном итоге не позволяет составить целостную картину состояния обеспечения информационной безопасности отечественных кредитных организаций.

Указанные обстоятельства определяют актуальность настоящего исследования, целью которого является разработка подхода к оценке системы управления рисками кредитной организации в области информационных технологий в виде практических рекомендаций для использования в ходе проведения проверки.

Поставленной автором цели предполагается достигнуть в представленной работе с помощью решения ряда задач, к которым относятся, во-первых, анализ отечественной нормативной базы, а также использование международного опыта, систематизированного в зарубежных стандартах, определяющих принципы организации обеспечения информационной безопасности, и во-вторых, обобщение результатов инспекционной деятельности ряда территориальных учреждений Банка России, посвященной вопросам оценки управления рисками кредитных организаций в области информационных технологий.

Глава 1. Система управления банковскими рисками, связанными с информационными технологиями, и современные требования к ее эффективности

1.1 Изменения в структуре банковского риска, связанные с внедрением и развитием информационных технологий

Бурное развитие электронных технологий, происходящее с середины прошлого века, их интенсивное внедрение в финансовый сектор экономики приводит к расширению состава банковских услуг и видов банковского обслуживания клиентов кредитных организаций, возможностей сбора, накопления, обработки и хранения различной внутренней и внешней информации, используемой банками в своей деятельности. Наиболее яркими примерами внедрения информационных технологий Информационная технология - приёмы, способы и методы применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных [10]. в банковской сфере, в частности, являются появление и непрерывное совершенствование систем электронных расчетов, внедрение технологий дистанционного обслуживания клиентов, развитие внутрибанковских информационных коммуникаций, позволяющие существенно увеличивать объемы и скорость проводимых банками платежей, расширять временные и географические границы обслуживания клиентов, наращивать объемы получаемой из различных источников информации, создавать системы качественного управленческого учета, обеспечивать оперативный расчет различных финансово-экономических показателей в целях проведения анализа, оценки и прогнозирования рисков банковской деятельности и принятии на этой основе эффективных управленческих решений. Указанные преимущества, а также довольно жесткая конкуренция в финансовом секторе экономики приводят к тому, что невозможно представить себе современный банк, не использующий в своей деятельности те или иные информационные технологии (ИТ).

Вместе с тем, очевидно, что интенсивное внедрение передовых электронных технологий связано с принятием банками дополнительных рисков в области ИТ и ставит перед кредитными организациями серьезные задачи управления данными рисками.

Как известно, в документах Базельского комитета по банковскому надзору выделяются следующие категории риска, свойственного банковскому бизнесу: системный, стратегический, кредитный, страновой, рыночный, процентный, риск ликвидности, валютный, операционный, правовой, репутационный. На сегодняшний день большинство исследователей и экспертов считают, что развитие ИТ в банковской деятельности не приводит к появлению каких-либо принципиально новых видов рисков, однако, происходят сдвиги в конфигурации банковского риска, то есть в его внутренней структуре.

Поскольку новых видов риска не возникает, нет необходимости и во введении в управление рисками каких-либо дополнительных элементов помимо тех трех, что уже имеются в распоряжении банков (управление рисками включает в себя оценку, контроль и мониторинг рисков). Однако, по мнению Базельского комитета, банки должны усилить внимание к проблемам, возникающим в связи с повышением уровня определенных видов риска, а регулирующие органы - выработать принципы банковского надзора, учитывающие специфику электронных банковских услуг.

Рассмотрим несколько подробнее ряд изменений в сфере банковского риска, возникающих в связи с широким внедрением ИТ.

Сильная зависимость от прогресса информационных и коммуникационных технологий, а также динамичность развития в финансово-экономической сфере, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий), обуславливает повышение значимости стратегического риска. Данный вид риска возникает в связи с возможностью принятия ошибочных управленческих решений в отношении опоры на то или иное информационно-технологическое направление (такие решения относятся к стратегическим, поскольку их результаты оказывают непосредственное влияние на рыночную стоимость бизнеса). Банк, взявший на вооружение формирующую стратегию и играющий роль ИТ-лидера, получает наибольшие прибыли в случае верного выбора (поскольку снимает сливки в быстрорастущем сегменте финансового рынка), но терпит и максимальные убытки, если его крупные стратегические инвестиции в ту или иную технологию не оправдают себя. Избрав адаптивную стратегию, то есть взяв на себя роль ведомого, банк уменьшает свой стратегический риск с точки зрения капитальных расходов, но увеличивает его с точки зрения доходов: в результате наступления агрессивного лидера доля ведомого на рынке может сильно снизиться, а отсрочка в применении передовых технологий не позволит получить сколько-нибудь значительную выгоду от роста рынка, который уже будет близок к насыщению Кортни Х., Керкленд Дж., Вигери П. Стратегия в условиях неопределенности. Вестник McKinsey, 2002, №1, с. 68-81.

В настоящее время сфера информационных технологий, связанная с банковской деятельностью, характеризуется достаточно высокой неопределенностью. Это касается технологической основы всех основных направлений банковской деятельности:

· внутренних бизнес-процедур. Среди множества электронных решений в таких областях, как бухгалтерский и операционный учет, документооборот, системы оценки кредитоспособности и доходности и т.п., необходимо выбрать те, которые не окажутся через несколько лет тупиковыми и несовместимыми с другими платформами;

· управления отношения с клиентами в целях укрепления их лояльности кредитной организации. Требуется обеспечить клиентам возможность использования различных электронных средств взаимодействия с банком - мобильных телефонов (WAP-банкинг), электронных органайзеров (смартфонов) и др., - окончательные перспективы применения которых остаются пока неясными;

· работы с электронными финансовыми инструментами и платежными/расчетными системами. Их развитие, по сути, только начинается, особенно в России, и определение таящегося в них потенциала является, без преувеличения, настоящим искусством.

Следовательно, ответственность банковских топ-менеджеров за правильную оценку стратегического риска, контроль за его уровнем и мониторинг связанных с ним изменений весьма велика.

Широкое внедрение в сфере банковского бизнеса информационных и коммуникационных электронных технологий резко усиливает и привлекает пристальное внимание специалистов к операционному риску, определяемому как риск прямых или косвенных потерь от неадекватных или ошибочных внутренних процессов, действий персонала и систем банка или от внешних событий. Таким образом, данный вид риска определяет вероятность образования убытков/недополучения прибылей при выполнении банковских операций вследствие ошибок, сбоев, мошенничества, катастроф и т.п. Операционный риск явно проявляется в каждой услуге и виде обслуживания, предлагаемых банком, и охватывает организацию услуг и их предоставление, обработку транзакций, разработку и функционирование компьютерных систем, сложность услуг и обслуживания, а также условия осуществления внутреннего контроля. Применительно к сфере ИТ выделяются различные «зоны» операционного риска:

· риски, связанные с отсутствием либо неадекватным функционированием системы защиты банковской информации. В этом случае возможны нарушения/сбои в процессах электронного сбора, передачи, обработки и хранения информации - искажение, уничтожение, перехват данных либо злоупотребление ими в результате технических неполадок, целенаправленных действий хакеров, ошибок или мошенничества персонала и клиентов по причине несанкционированного доступа к системам. Кроме того, не исключены сбои в работе одной или нескольких информационных систем, обеспечивающих нормальное функционирование бизнеса, вследствие возникновения перегрузок из-за недостаточной мощности аппаратной платформы, целенаправленных атак на Web-серверы в форме лавин фальшивых запросов, сбои в компьютерных сетях или в телекоммуникационных каналах. Дополнительный риск несет отсутствие планов мероприятий на случай сбоев в работе информационных систем и телекоммуникационных каналов или низкое качество подобных планов;

· транзакционные риски. Имеются в виду риски потерь в результате ошибок при проведении сделок, ошибок, возникающих в результате несоответствия информационных систем используемым финансовым инструментам (когда информационные системы не способны адекватно отражать сложные финансовые инструменты), риски потерь в результате бухгалтерских ошибок, неправильных расчетов процентных и комиссионных платежей и пр.;

· риски информационных систем. Возможен риск потерь как результат ошибок в программном обеспечении, математических моделях, применяемых при расчетах, ошибок при расчете рыночной стоимости финансовых инструментов, а также в случае недостаточной или несвоевременно представляемой управленческой информации;

· риск привлечения сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг). При предоставлении услуг с использованием ИТ банки становятся в определенной степени зависимыми от подобных партнеров, кроме того, узость круга контрагентов, имеющих достойный уровень квалификации, повышает степень концентрации риска;

· освоение новых технологий сотрудниками банка. Ускорение процесса модернизации информационных систем обусловливает повышение требований к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям, так как довольно часто внедрение более «продвинутой» и производительной технологии оборачивается для сотрудников и клиентов банков значительными проблемами.

Немалое значение в новых условиях приобретает правовой риск, возникающий вследствие нарушения законов и директив регулирующих органов, а также недостаточно четкого определения прав и обязанностей контрагентов. Юридические реалии оформляются значительно медленнее, чем экономические, и это расхождение особенно заметно в такой динамичной сфере, как е-банкинг е-банкинг включает в себя такие направления, как онлайновое информационное обслуживание, электронные платежи и расчеты, а также депозитно-ссудные, валютные и фондовые операции, совершаемые электронным способом.. В связи с этим, банкам следует тщательно и регулярно изучать и постоянно контролировать все требования, предъявляемые к электронному обслуживанию и предоставлению услуг, а также обеспечивать их соответствие совершенствуемым законодательным и нормативным актам.

В эпоху интенсивного развития ИТ репутационный риск, отражающий текущее и перспективное влияние отрицательного общественного мнения и реализующийся в сокращении клиентуры, оттоке вкладов, сбросе банковских акций вследствие формирования устойчивого негативного общественного мнения о деятельности кредитной организации, связан прежде всего с теми нарушениями в обслуживании клиентов, которые входят в указанные выше «зоны» операционного риска. Особенность новых способов банковской деятельности состоит в том, что в условиях большей информационной открытости и непосредственного Web-взаимодействия с клиентами сведения о возникновении сбоев в автоматизированных системах, особенно в электронных банковских операциях, становятся известны практически сразу и распространяются гораздо быстрее, чем раньше. При этом, репутационный риск может существенно увеличиться, если публичная информация о наличии таких проблем окажется недостаточной и/или несвоевременной, поскольку в период адаптации к новым технологиям клиентура проявляет особую нервозность по отношению к любым негативным событиям.

Безусловно, с внедрением информационных технологий, в частности, е-банкинга, изменяются и другие традиционные категории банковского риска - кредитный, рыночный, процентный, валютный, риск ликвидности. В частности, при использовании «мягких» процедур дистанционной оценки кредитоспособности потенциальных заемщиков возникает проблема верификации (подтверждения) предоставляемых ими сведений, что приводит к повышению кредитного риска. Риск ликвидности и валютный риск становятся весьма актуальными для банков, осуществляющих серьезные операции с цифровой наличностью, а рыночный риск требует особого внимания тех банков, которые развивают программы секьюритизации ссуд через Интернет.

Однако, такого рода изменения все же не являются кардинальными и уступают по своему значению сдвигам в сферах стратегического, операционного, правового и репутационного рисков.

В свою очередь, внимание центральных банков и других надзорных органов сосредотачивается на таких последствиях информатизации банковской сферы, как повышение системного риска и усиление глобализации. В связи с развитием первой тенденции активизируются исследования в целях разработки механизмов компенсации увеличивающегося риска не только в самой банковской сфере, но и в системе взаимоотношений «финансы - промышленность». В свою очередь, вторая тенденция стимулирует совершенствование сотрудничества национальных учреждений банковского надзора с надзорными органами не только зарубежных стран, но и других отраслей экономики. При этом представляется необходимым, с одной стороны, обеспечивать упреждающее воздействие государственного регулирования и его нейтральность по отношению к конкурирующим технологиям и финансовым институтам, а с другой, избегать ненужного сдерживания технологического прогресса и содействовать формированию информационного общества.

1.2 Система управления рисками банка в области информационных технологий

Как было показано в параграфе 1.1, широкое использование кредитными организациями информационных технологий обуславливает повышение уровня ряда банковских рисков, прежде всего, операционного, стратегического, правового и репутационного. При этом, представляется возможным выделить общую предметную область исследования, объединяющую эти изменения уровней основных рисков. Такой областью является банковская информация - очевидно, критически важный ресурс любого кредитно-финансового учреждения. Информация, а также информационные технологии, которые поддерживают деятельность кредитной организации, обеспечивая сбор, хранение, обработку, передачу и использование данных с применением средств вычислительной техники, являются специфической средой, генерирующей изменения в структуре основных банковских рисков.

Как известно, под банковским риском понимается возможность (вероятность) понесения кредитной организацией потерь вследствие наступления неблагоприятных событий, связанных с внутренними и/или внешними факторами [19]. При этом, кредитная организация может понести потери вследствие реализации той или иной угрозы - совокупности внутренних и внешних условий и факторов, которые стали причиной возникновения неблагоприятных событий. Таким образом, банковский риск можно определить как вероятность понесения кредитной организацией потерь вследствие успешной реализации той или иной угрозы.

С точки зрения предметной области исследования, можно выделить основные виды угроз кредитной организации, возникающих в связи с использованием информационных технологий, которые определяют главные направления повышения уровня основных банковских рисков.

Угрозы организационного характера возникают как следствие неэффективных управленческих решений и проявляются в несоответствии информационных систем, в том числе систем информационной безопасности, направлениям бизнеса кредитной организации. К средствам нейтрализации данных видов угроз относятся наличие в банке планов по развитию информационных технологий, соответствующий статус руководителей службы автоматизации (Chief Information Officer, CIO) и службы информационной безопасности (Chief Information Security Officer, CISO) с делегированием достаточных прав и наделением необходимых обязанностей в рамках организационно-штатной структуры банка, регулярные совещания по вопросам обеспечения информационной безопасности с участием руководства, наличие разработанных правил и процедур, периодическое обучение пользователей/сотрудников банка, надлежащее ведение документации и др.

Угрозы со стороны внешней инфраструктуры проявляются в качестве причины того, что АБС и ее компоненты не соответствуют стратегическим целям развития кредитной организации. К механизмам противодействия этим угрозам можно отнести периодическое проведение анализа текущей архитектуры АБС (программно-аппаратного комплекса, его физических и логических компонентов) на предмет соответствия стратегии банка и перспективным тенденциям развития ИТ, стратегические и тактические планы модернизации АБС, технико-экономическое обоснование политики закупок аппаратных и программных средств, включая средства защиты информации (СЗИ), наличие методологии проектирования, разработки и внедрения информационных систем и т.п.

Рассмотренные виды угроз организационного характера и внешней инфраструктуры могут быть объединены в общий вид - угрозы нарушения своевременности предоставления информации.

Угрозы нарушения целостности информации выступают в качестве причины того, что информационная система либо ее отдельный компонент/компоненты не будут соответствовать выполнению целей либо функций конкретного подразделения или кредитной организации в целом, при этом, поставляемая пользователям информация может быть модифицирована либо уничтожена. К мерам противодействия данным видам угроз можно отнести соблюдение требований нормативно-правовой базы в области применения информационных технологий, строгую реализацию последовательности этапов разработки и/или внедрения АБС, контроль вносимых изменений в программно-аппаратные составляющие АБС, планирование мощности вычислительных средств и количества пользователей, постоянный мониторинг эффективности использования ресурсов, принятие мер по обеспечению информационной безопасности на всех этапах жизненного цикла АБС и т.д.

Угрозы нарушения конфиденциальности информации реализуются, в частности, в виде неавторизованного и/или несанкционированного доступа (НСД) к информации в процессе ее создания, передачи, обработки либо хранения, что может привести к раскрытию, модификации, использованию данных в целях, противоречащих интересам кредитной организации. Существующие механизмы нейтрализации указанных угроз обеспечивают защиту данных на физическом либо логическом уровне, кроме того, обязательной является разработка системы организационных мероприятий по защите информации от НСД.

Угрозы нарушения доступности информации проявляются в качестве причины того, что необходимая для бесперебойной работы кредитной организации и принятия управленческих решений информация не сможет быть предоставлена на регулярной основе. К средствам нейтрализации данных видов угроз относятся регулярное резервное копирование всей важной информации, создание резервных центров обработки и хранения данных, принятие мер по физической безопасности средств обработки и хранения информации, эффективная антивирусная защита, наличие плана выхода из чрезвычайной/аварийной ситуации с проведением его регулярного тестирования и др.

Специфические виды угроз, перечисленные выше, очевидно, требуют со стороны кредитной организации разработки и осуществления эффективных контрмер противодействия. Вследствие этого, представляется возможным ввести понятие информационного риска (ИР) - вероятность успешной реализации той или иной угрозы, возникающей в связи с использованием информационных технологий, которая может привести к нарушению целостности, конфиденциальности, доступности либо своевременности информации как критически важного ресурса кредитной организации.

Очевидно, что риски в области ИТ, или информационные риски, не могут быть выделены в качестве отдельного вида банковского риска. Вместе с тем, их уровень оказывает влияние на уровень основных банковских рисков, к которым, как было сказано выше, относятся, прежде всего, операционный, стратегический, правовой и репутационный.

Непрерывный контроль и постоянное ограничение информационных рисков обеспечивают информационную безопасность (ИБ) банка - состояние защищенности интересов и целей кредитной организации в информационной сфере, при котором уровень рисков в области информационных технологий находится на приемлемом с точки зрения эффективного и устойчивого функционирования организации уровне.

Обеспечение ИБ кредитной организации является одной из важных составляющих стратегии развития бизнеса предприятия, обязательным элементом которой является механизм управления рисками, в особенности, управления рисками в области ИТ - комплекс управленческих, организационных, технологических, профилактических и контролирующих мероприятий и процедур, обеспечивающих своевременное выявление, анализ, измерение и контроль за основными видами информационных рисков, разработку и осуществление эффективных контрмер по их ограничению, принятие в результате разумного уровня остаточных рисков.

Таким образом, система управления информационными рисками представляет собой неотъемлемую часть общей системы управления рисками кредитной организации, при этом ее эффективность сильно зависит от ряда административных и организационных факторов.

Во-первых, важную роль играет роль и место службы ИБ в организационной структуре организации. Согласно исследованию международной аудиторской фирмы KPMG за 2002 год, в наиболее благополучных с точки зрения ИБ западных коммерческих структурах функцией обеспечения ИБ занимается отдельное подразделение, наделенное полномочиями и имеющее поддержку высшего руководства компании. При этом почти в половине «успешных» компаний ответственность за ИБ закреплена за советом директоров, что наиболее характерно для финансового сектора. Действительно, непосредственное участие TOP-менеджмента организации требуется для корректного определения и постановки «правильных» целей и задач в области ИБ, позволяющих без ущерба для бизнеса компании грамотно управлять информационными рисками. Кроме того, как правило, только руководство организации способно поддержать обеспечение ИБ надлежащим уровнем инвестирования и другими необходимыми ресурсами.

В большинстве российских компаний, в том числе финансового сектора экономики, ранее (а зачастую и сейчас) проблемой ИБ организации занимались отделы и службы автоматизации. Однако, сегодня ведущие отечественные компании уже идут путем выделения подразделения ИБ в отдельную службу с соответствующими организационными, кадровыми и финансовыми изменениями. При этом создаются две ключевые позиции специалистов, ответственных за ИБ: CISO (Chief Information Security Officer) - директор службы ИБ, который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной целям и задачам бизнеса; BISO (Business Information Security Officer) - менеджер службы ИБ, занимающийся практической реализацией политики ИБ на уровне конкретного подразделения, например, казначейства, службы маркетинга или автоматизации. При этом, статус CISO становится адекватным, то есть равным статусу ведущих TOP менеджеров, отвечающих за стратегическое развитие компании. Главная задача CISO - оценка информационных рисков организации и управление ими. Это предполагает, что данный специалист должен быть способен грамотно идентифицировать риски и управлять ими в соответствии с целями и задачами бизнеса организации и текущим уровнем ее развития. Дополнительную специфику вносит финансовая сфера деятельности кредитной организации, а также ее размер и стоимость информационных активов. При этом, представляется вполне разумным, чтобы CISO входил в верхний эшелон управления компанией и умел увязывать потребности бизнеса и требования безопасности с учетом степени развития ИТ, возрастающей активности разного рода злоумышленников, изменяющихся положений законодательства и нормативной базы, а также ожиданий клиентов и партнеров по бизнесу. В случае, если потребности бизнеса вступают в противоречие с требованиями ИБ, CISO должен быть в состоянии «переводить» технические вопросы на язык, понятный другим TOP менеджерам. В свою очередь, это означает, что в дополнение к солидному основному и дополнительному образованию, а также опыту работы в области информатизации и защиты информации CISO, несомненно, должен обладать некоторыми личностными качествами, например, аналитическим складом ума, способностями в сфере стратегического и операционного менеджмента, лояльностью к организации и пр.

Во-вторых, необходимо определить отношение кредитной организации к остаточным информационным рискам. При построении корпоративной системы ИБ следует понимать, что абсолютной 100-процентной защиты не существует, остаточные риски присутствуют при любом варианте создания либо реорганизации системы защиты информации. Понятно, что чем больше защищена АБС, тем меньше такие риски.

Настоящий собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. При этом, для кредитных организаций, как и прочих финансовых структур, информационные ресурсы являются критически важными и, следовательно, представляют существенную ценность. В этой ситуации руководству кредитной организации следует осознанно выбирать остаточные риски, производя анализ по критерию «стоимость-эффективность» различных вариантов защиты. Как следствие, затраты на выбор подсистем безопасности будут являться вполне обоснованными для руководства банка.

Таким образом, грамотно построенная система управления ИР позволяет эффективно решать задачи анализа рисков в области ИТ и управления ими, что является необходимым для определения перспектив развития и управления развитием современной отечественной кредитной организации.

1.3 Современные международные требования к управлению информационными рисками

Базельский комитет по банковскому надзору в своих материалах уделяет особое внимание рискам в области ИТ. В частности, в документе «Управление операционным риском» [23] подчеркивается, что «большинство банков рассматривают технологический риск как вид операционного риска, но некоторые - как самостоятельную категорию риска, характеризуемую собственными, отличными от других факторами риска». В документе уделяется внимание вопросам оценки, мониторинга и контроля операционного риска, а также содержится тезис о том, что Базельский комитет будет продолжать пристально следить за развитием этого направления.

Глава Г (принципы 7-9) документа «Система внутреннего контроля в банках: основы организации» [22] посвящена вопросам использования информационных технологий в кредитных организациях.

Согласно принципу 7, с позиции банка информация должна быть относящейся к делу, надежной, своевременной, доступной и должным образом оформленной.

В соответствии с принципом 8, банкам следует уделять особое внимание организации обработки информации в электронном виде и требованиям к ней со стороны внутреннего контроля, а также необходимости осуществлять аудит данного процесса. Электронные информационные системы и использование информационных технологий связи сопряжены с рисками, которые банки должны эффективно контролировать для того, чтобы избегать потенциальных убытков и сбоев в ходе практической деятельности.

Кроме того, угроза убытков или масштабного прекращения основных банковских операций требует институциональных усилий по планированию непредвиденных ситуаций, включая восстановление управления всем банком, а не только центральной компьютерной системой. Программа восстановления банковских операций должна периодически тестироваться на предмет ее выполнимости в случаях возникновения непредвиденных обстоятельств.

Согласно принципу 9, эффективная система внутреннего контроля предполагает наличие эффективных информационных систем, позволяющих обеспечить полное понимание и соблюдение сотрудниками в практической деятельности политики и процедур, регулирующих обязанности, а также доведение необходимой информации до соответствующих сотрудников.

Базельским комитетом по банковскому надзору опубликованы 14 принципов управления рисками в сфере электронных банковских услуг («Risk Management Principles for Electronic Banking») [40]. Свод этих правил не является обязательной для исполнения директивой, однако де-факто все солидные банки развитых стран соблюдают данные требования. Принципы управления рисками сгруппированы в три крупные категории.

А. Надзор со стороны высшего руководства банка (принципы 1-3): создание эффективной системы наблюдения за операциями, совершаемыми электронным способом; внедрение всесторонней процедуры контроля над поддержанием необходимого уровня информационно-технологической безопасности; организация тщательного отслеживания взаимодействия с партнерами, привлекаемыми к предоставлению отдельных видов электронных банковских услуг в рамках аутсорсинга.

Б. Обеспечение безопасности в сфере ИТ (принципы 4-10): аутентификация «электронных» клиентов, то есть их идентификация в сочетании с авторизацией; недопущение отказа от обязательств и строгая ответственность за проведение онлайновых трансакций; разграничение функций банковских служащих при работе в системах е-банкинга, использовании баз данных и приложений; контроль над процедурами авторизации и получения доступа к информационным системам; обеспечение целостности данных по операциям и записям в сфере онлайновых услуг; точный учет трансакций, совершаемых электронным способом; сохранение конфиденциальности ключевой банковской информации.

В. Управление правовым и репутационным рисками (принципы 11-14): предоставление необходимой информации об электронном банковском сервисе на Web-сайте банка; предотвращение несанкционированного доступа к клиентской информации; содержание систем е-банкинга в постоянной эксплуатационной готовности; создание эффективного механизма реагирования на внешние и внутренние атаки на системы е-банкинга.

Таким образом, основное внимание в рассмотренном документе Базельского комитета по банковскому надзору уделяется обеспечению информационно-технологической безопасности электронных банковских услуг.

26 июня 2004 года был опубликован утвержденный Базельским комитетом по банковскому надзору и одобренный руководителями центральных банков и главами органов надзора стран Группы 10 пресс-релиз «О Новом соглашении по оценке достаточности капитала», или Базель II («The International Convergence of Capital Measurement and Capital Standards: a Revised Framework», or Basel II Framework). Базель II, согласно заявлению Банка России, будет реализован в нашей стране.

В отличие от Соглашения 1988 года, Базель II в рамках первого компонента устанавливает четкие требования к капиталу в отношении операционных рисков - рисков в деятельности банка, обусловленных либо ошибками во внутренних системах, процессах, действиях персонала, либо внешними событиями, такими как, например, стихийные бедствия. Банки и надзорные органы могут выбрать один из трех подходов к оценке операционного риска, наиболее полно соответствующий качеству и сложности систем внутреннего контроля банков за этим видом риска.

Расчет потребности в капитале для покрытия операционного риска может производиться одним из трех следующих способов:

· базовый индикативный подход (Basic Indicator Approach), в соответствии с которым потребность в капитале рассчитывается в процентах от среднего валового годового дохода за 3 года;

· стандартизованный подход (Standardized Approach), базирующийся на делении операций банка на восемь так называемых бизнес-линий и определении потребности в капитале для каждой из них;

· продвинутые подходы (Advanced Measurement Approach), разработанные банками в рамках внутренних систем измерения операционного риска, основанных на количественных и качественных критериях.

Приближая требования к капиталу к внутрибанковским оценкам кредитного и операционного рисков, Базель II нацеливает банки на совершенствование и использование более сложных и точных систем оценки рисков, а также на осуществление более эффективных процессов контроля за принимаемыми рисками. Эти побудительные мотивы реализуются в форме пониженных требований к капиталу.

Второй компонент Базеля II устанавливает необходимость осуществления эффективного надзорного процесса за внутренними системами оценки рисков, принимаемых банками. Этот процесс направлен на подтверждение того факта, что руководством банка выносятся адекватные суждения об уровне риска и, соответственно, величина капитала, создаваемого банком для их покрытия, достаточна.

Надзорные органы будут оценивать направления деятельности каждого отдельного банка и индивидуальный характер рисков, им принимаемых, для того чтобы определить целесообразность повышения минимальных требований к капиталу, установленных в рамках первого компонента Базеля II, а также оценить необходимость применения корректирующих мер.

Третий компонент Базеля II поднимает значимость рыночной дисциплины в целях разумного управления банками путем повышения степени открытости официальной отчетности. Этот компонент определяет перечень информации, подлежащей публичному раскрытию, что позволяет более точно оценить адекватность капитализации банка.

Таким образом, Базель II, с одной стороны, уделяет особое внимание управлению операционными рисками и устанавливает потребность в капитале для их покрытия, а с другой стороны, предъявляет серьезные требования по изменению и развитию процесса надзора, в рамках которого будет необходимо установить адекватность систем оценки рисков, принимаемых кредитными организациями, и эффективность предпринимаемых банками мер по минимизации рисков.

Глава 2. Международные технологии анализа и стандарты управления информационными рисками

2.1 Международная практика обеспечения информационной безопасности

В настоящее время сложилась общепринятая международная практика (best practice) обеспечения режима ИБ, применяемая как в развитых западных странах, так и в России, важное место в которой отводится задачам анализа информационных рисков организации и управления ими.

Вне зависимости от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ обычно состоят из следующих этапов:

· выработка политики безопасности;

· определение сферы (границ) системы управления ИБ и конкретизация целей ее создания;

· идентификация и оценка рисков;

· определение стратегии защиты;

· выбор контрмер, обеспечивающих режим ИБ;

· контроль соответствия требованиям ИБ.

Как правило, выработка политики безопасности сводится к ряду практических этапов:

1) Выбор национальных и международных руководящих документов и стандартов в области ИБ и формулирование на их основе перечня требований и положений политики ИБ организации, включая:

­ управление доступом к средствам вычислительной техники (СВТ), программному обеспечению и данным, а также антивирусную защиту;

­ порядок и процедуры резервного копирования информации;

­ проведение ремонтных и восстановительных работ;

­ информирование об инцидентах в области ИБ и пр.

2) Выработка подходов к управлению ИР и принятие решения об уровне защищенности корпоративной информационной системы (КИС). Уровень защищенности в соответствии с зарубежными стандартами может быть минимальным (базовым) либо повышенным (полным). Этим уровням защищенности соответствует базовый либо полный вариант анализа информационных рисков.

3) Структуризация контрмер ИБ по следующим основным уровням: административному, процедурному, программно-техническому.

4) Установление порядка сертификации и аккредитации КИС на соответствие стандартам в сфере ИБ. Назначение периодичности проведения совещаний по тематике ИБ на уровне руководства, включая регулярный пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей КИС в области ИБ.

Поскольку в последнее время на вопросах разработки политики ИБ организаций сосредоточены усилия многих специалистов, данный этап удается формализовать все в большей степени, примером чего являются доступные в сети Интернет материалы См., напр.: Холбрук П., Рейнольдс Дж. (редакторы). Руководство по информационной безопасности предприятия. - Jet Info, 1996, 10-11..

Следующим этапом является определение сферы (границ) системы управления ИБ и конкретизация целей ее создания. Соответственно, система управления ИБ строится именно в тех границах, которые устанавливаются на данном этапе. Само описание границ системы рекомендуется выполнять по следующему плану:

· структура организации. Представление существующей структуры и изменений, которые предполагается внести в связи с разработкой (модернизацией) КИС;

· ресурсы информационной системы, подлежащие защите. Целесообразно рассмотреть ресурсы КИС следующих классов: СВТ, данные и информация, системное и прикладное программное обеспечение. Все ресурсы представляют ту или иную ценность для организации, поэтому для их оценки следует выбрать систему критериев и разработать методику получения результатов на основе этих критериев;

· технология обработки информации и решаемые задачи, для которых следует построить модели обработки информации в терминах используемых ресурсов;

· размещение СВТ и различной поддерживающей инфраструктуры.

Как правило, на этом этапе составляется документ, в котором фиксируются границы информационной системы, перечисляются информационные ресурсы организации, подлежащие защите, устанавливаются система критериев и методика оценки ценности информационных активов компании.

На этапе постановки задачи оценки рисков обосновываются требования к методике оценки ИР организации. В настоящее время существуют различные подходы к оценке ИР. При этом выбор подхода зависит от уровня требований, предъявляемых в организации к режиму ИБ, характера принимаемых во внимание угроз (спектра воздействия угроз) и эффективности потенциальных контрмер. В частности, различают минимальные, или базовые, и повышенные, или полные, требования к режиму ИБ. Минимальным требованиям к режиму ИБ соответствует базовый уровень ИБ. Существует ряд стандартов и спецификаций, в которых приводится минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои в работе оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть разработаны и приняты контрмеры - вне зависимости от вероятности их осуществления и уязвимости ресурсов. При этом, характеристики угроз на базовом уровне рассматривать необязательно. Стандарты в этой области обсуждаются в параграфе 2.2.

В случаях, когда нарушения режима ИБ могут привести к весьма тяжелым последствиям и, таким образом, базового уровня требований к режиму ИБ недостаточно, предъявляются дополнительные повышенные требования, для формулирования которых необходимо:

· определить ценность ресурсов;

· добавить список угроз, актуальных для исследуемой информационной системы;

· рассчитать вероятности угроз;

· выявить уязвимости ресурсов;

· оценить потенциальный ущерб от воздействий злоумышленников.

Возможные подходы к выбору повышенных требований описаны в параграфе 2.3.

Несмотря на разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о едином подходе к организации режима ИБ (рис. 2.1).

Размещено на http://www.allbest.ru/

Рис. 2.1. Организация режима информационной безопасности

На этапе выработки стратегии защиты разрабатывается некоторая стратегия, включающая, например, следующие возможные подходы к управлению ИР организации:

· уменьшение риска. Многие риски удается значительно уменьшить за счет весьма простых и довольно дешевых контрмер. Например, грамотное управление паролями существенно снижает риск несанкционированного доступа;

· уклонение от риска. От некоторых классов рисков можно просто уклониться. Так, вынесение Web-сервера организации за пределы локальной сети позволяет избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов посредством сети Интернет;

· изменение характера риска. В случае, когда не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки. Например, застраховать оборудование от пожара, заключить договор с поставщиками СВТ о сопровождении и компенсации ущерба, вызванного нештатными ситуациями, и т.п.;

· принятие риска. Многие риски невозможно довести до пренебрежимо малой величины, поскольку на практике после принятия стандартного набора контрмер некоторые риски уменьшаются, но остаются все еще значимыми. Поэтому необходимо представлять остаточную величину риска.

Таким образом, в результате выполнения данного этапа для принимаемых во внимание ИР организации должна быть предложена стратегия управления этими рисками.

На этапе выбора контрмер, обеспечивающих режим ИБ, обоснованно выбирается комплекс различных мероприятий для ограничения ИР, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения ИБ. В дальнейшем предлагаемый комплекс контрмер реализуется в соответствии с принятой стратегией управления информационными рисками. В случае проведения полного варианта анализа рисков, для каждого вида риска дополнительно оценивается эффективность комплекса контрмер по ограничению данного риска.

Наконец, на этапе контроля соответствия требованиям ИБ проверяется соответствие выбранных контрмер целям и задачам бизнеса, декларированным в политике информационной безопасности организации, выполняется оценка остаточных рисков и, в случае необходимости, оптимизация уровня рисков.

Таким образом, обеспечение режима ИБ организации представляет собой целый комплекс мероприятий, основанных на применении разработанных стандартов в области ИБ и непрерывно пересматриваемых в соответствии с утвержденной политикой ИБ организации.

2.2 Управление рисками и международные стандарты

В настоящее время в технологически развитых странах разработано новое поколение стандартов ИБ, посвященных практическим вопросам организации режима ИБ на предприятии. К ним прежде всего относятся международные и национальные стандарты оценки ИБ и управления ею - ISO 15408, ISO 17799 (BS 7799), BSI; стандарты аудита, отражающие вопросы ИБ - COBIT, SAC, COSO и некоторые другие. В соответствии с этими стандартами организация режима ИБ организации предполагает следующее:

1) Определение целей обеспечения ИБ компании.

2) Создание эффективной системы управления информационной безопасностью.

3) Расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия ИБ заявленным целям.

4) Применение инструментария обеспечения ИБ и оценки ее текущего состояния.

5) Использование методик в процессе анализа рисков и управления ими, позволяющих объективно оценить текущее состояние дел.

Особенностью данного поколения стандартов является детальный комплексный учет измеримых показателей ИБ компании, что предполагает и комплексный подход к организации режима ИБ, когда проверяется на соответствие определенным правилам, контролируется и поддерживается не только программно-техническая составляющая ИБ КИС, но и организационно-административные меры по ее обеспечению.

...