Оценка эффективности системы управления рисками кредитной организации в области информационных технологий
Изменения в структуре банковского риска, связанные с внедрением информационных технологий. Международная практика обеспечения информационной безопасности. Процедуры проверки системы управления рисками кредитной организации, показатели ее эффективности.
| Рубрика | Банковское, биржевое дело и страхование |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 13.12.2012 |
| Размер файла | 117,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Заключение
Известно, что в настоящее время отечественные кредитные организации зачастую не уделяют должного внимания вопросам управления рисками в области информационных технологий. Вместе с тем, можно предположить, что ожидаемое дальнейшее обострение конкуренции в отечественной финансово-кредитной сфере, связанное, в частности, с предстоящим вступлением России в ВТО, а также с предполагаемыми структурными изменениями в банковском секторе, послужит дополнительным стимулом к более широкому внедрению информационных технологий в банковскую деятельность, которое неизбежно приводит к повышению уровня ряда основных банковских рисков. Таким образом, необходимость управления рисками в области информационных технологий на сегодняшний день представляется очевидной. При этом, для достижения поставленных целей система управления рисками кредитной организации должна удовлетворять определенным требованиям.
Эффективная система управления рисками в области информационных технологий предполагает определение ролей всего персонала кредитной организации, включая руководство, сотрудников службы информационной безопасности, специалистов подразделения информатизации, а также пользователей автоматизированных ресурсов.
Система управления рисками в области информационных технологий должна обеспечивать защиту от основных угроз информационной безопасности кредитной организации, а именно, угроз нарушения конфиденциальности, целостности, доступности, а также своевременности предоставления информации - критически важного ресурса любого банка, - при этом, для нейтрализации этих угроз должны быть разработаны и приняты контрмеры в отношении всех информационных активов, а также бизнес-процессов кредитной организации.
Обязательным в системе управления рисками в области информационных технологий являются процедуры проверки соответствия выбранных контрмер целям и задачам обеспечения информационной безопасности и, в случае необходимости, разработка мер по оптимизации уровня рисков.
В представленной работе предложены практические рекомендации по оценке эффективности системы управления рисками кредитной организации в области информационных технологий, которые могут применяться при проведении проверок.
При разработке практических рекомендаций широко использовался отечественный и международный опыт, отраженный в ряде известных стандартов, посвященных вопросам обеспечения информационной безопасности.
По мнению автора, в ходе проверки оценку эффективности системы управления рисками кредитной организации в области информационных технологий необходимо проводить по следующим основным направлениям.
Во-первых, следует осуществить анализ положений действующей в кредитной организации политики информационной безопасности, которая должна определять принципы построения системы управления рисками в области информационных технологий, а также цели и основные требования обеспечения информационной безопасности.
Во-вторых, необходимо оценить организацию процесса управления информационными рисками.
В-третьих, следует проверить практические аспекты реализации управления рисками в области информационных технологий.
В-четвертых, необходимо осуществить оценку установленных кредитной организацией процедур контроля соответствия требованиям информационной безопасности.
Для проведения оценки эффективности системы управления рисками кредитной организации в области информационных технологий автором предложен систематизированный в соответствии с указанными направлениями перечень показателей.
Также в настоящей работе представлена методика, позволяющая вынести качественную оценку уровня эффективности системы управления рисками кредитной организации в области информационных технологий на основе заполненного в ходе проверки перечня показателей.
Практическое применение данных рекомендаций при проведении проверок позволит, по мнению автора, оценить эффективность системы управления рисками кредитных организаций в области информационных технологий с точки зрения нормативных требований, а также положений отечественных и международных стандартов, посвященных организации обеспечения банковской информационной безопасности. Кроме того, в ходе использования разработанных рекомендаций представляется возможность, с одной стороны, получить статистические данные, иллюстрирующие различные аспекты управления информационной безопасностью отечественного банковского сектора, а с другой стороны, продолжить деятельность по дальнейшему совершенствованию подхода, предложенного в данной работе.
Автор также надеется, что результаты исследования будут использованы в процессе создания нормативно-методической базы, посвященной вопросам оценки эффективности управления информационными рисками в кредитных организациях.
Список использованной литературы
1. Закон Российской Федерации от 23.09.1992 №3523-I «О правовой охране программ для электронных вычислительных машин и баз данных».
2. Федеральный закон от 02.12.1990 №395-I «О банках и банковской деятельности».
3. Федеральный закон от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
4. Федеральный закон от 20.02.1995 №24-ФЗ «Об информации, информатизации и защите информации».
5. Федеральный закон от 10.01.2002 №1-ФЗ «Об электронной цифровой подписи».
6. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
7. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
8. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия безопасности.
9. ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь.
10. ГОСТ 34.003-90. Автоматизированные системы. Термины и определения.
11. Государственная техническая комиссия при Президенте РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
12. Государственная техническая комиссия при Президенте РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения.
13. Государственная техническая комиссия при Президенте РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
14. Положение Банка России от 16.12.2003 №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
15. Инструкция Банка России от 25.08.2003 №105-И «О порядке проведения проверок кредитных организаций (их филиалов) уполномоченными представителями Центрального банка Российской Федерации».
16. Инструкция Банка России от 01.12.2003 №108-И «Об организации инспекционной деятельности Центрального банка Российской Федерации (Банка России)».
17. Указание Банка России от 01.03.2004 №1390-У «О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий».
18. Указание оперативного характера Банка России от 03.02.2004 №16-Т «О рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет».
19. Указание оперативного характера Банка России от 23.06.2004 №70-Т «О типичных банковских рисках».
20. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», принят и введен в действие Распоряжением Банка России от 18.11.2004 №Р-609.
21. Сборник терминов и определений, применяемых в ИТС Банка России (проект). - М.: 2002.
22. Система внутреннего контроля в банках: основы организации. Базельский комитет по банковскому надзору, Базель, сентябрь 1998.
23. Управление операционным риском. Базель, сентябрь 1998.
24. Галатенко В.А. Стандарты информационной безопасности. - М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2004. - 328 с.
25. Грачева М.В. Банковская система в развитых странах: некоторые проблемы цифровых технологий. - М.: Ось-89, 2003. - 92 с.
26. Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе. - М.: КУДИЦ-ОБРАЗ, 2004. - 512 с.
27. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. - СПб.: БХВ-Петербург, 2003. - 368 с.
28. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 618 с.
29. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания Айти; ДМК Пресс, 2004.-328 с.
30. Василец В.И. Практика обеспечения экономической безопасности акционерного общества. // Защита информации. Конфидент, №5, 2004.
31. Велигура А.Н. Информационная безопасность кредитной организации. // Банковские технологии, №10, 2004.
32. Голованов В.Б., Каминский В.Г., Алексеев М.В. Стандарты ИСО/МЭК 15408 и ИСО/МЭК 17799: что дальше? // Защита информации. Конфидент, №4, 2004.
33. Комарова Н., Потапова Н. Тайны банковского двора. // Национальный банковский журнал, №10, 2004.
34. Курило А. О стандартизации подходов к обеспечению информационной безопасности. // Банковское дело в Москве, №№10,11, 2003.
35. Мельников Ю., Теренин А. Политика безопасности в банке. // Банковские технологии, №10, 2004.
36. Шатунов В.М., Бабков И.Н. Обучение персонала как составная часть проблемы обеспечения информационной безопасности энергосистемы. // Защита информации. Конфидент, №3, 2004.
37. Терновая Н. Информация под защитой. // Финанс., №44, 2004.
38. BS 7799-2-2002. Information security management systems. Specification with guidance for use.
39. ISO/IEC IS 17799-2000. Information technology. Code of practice for Information security management.
40. Risk management principles for electronic banking. Basel Committee on Banking Supervision, July 2003.
41. www.bdm.ru материалы WEB-сайта.
42. www.citforum.ru материалы WEB-сайта.
43. www.cnews.ru материалы WEB-сайта.
44. www.techcom3623.ru материалы WEB-сайта.
Приложение
Пример списка управляющих воздействий на режим информационной безопасности
|
Уровень |
Классы управляющих воздействий |
|
|
Организационный уровень |
Установление принципов и правил режима ИБ: разграничение ответственности; периодический пересмотр системы управления в области ИБ; протоколирование и разбор инцидентов в сфере ИБ; периодическая оценка информационных рисков; обучение персонала в области ИБ; процедура авторизации в КИС и удаления учетных записей; поддержание в актуальном состоянии плана обеспечения ИБ. |
|
|
Процедурный уровень |
Обеспечение правил поддержания режима ИБ, в частности: доступ к носителям информации; контроль за работой сотрудников в КИС; обеспечение должного качества работы силовой сети, климатических установок; контроль за поступающими в КИС данными. |
|
|
Программно-технический уровень |
Комплекс мер защиты программно-технического уровня: активный аудит и система реагирования; идентификация и авторизация; криптографическая защита; реализация ролевой модели доступа; контроль за режимом работы сетевого оборудования. |
Пример оценки тяжести последствий нарушения режима информационной безопасности
|
Уровень тяжести последствий нарушения режима ИБ |
Определение |
|
|
Высокий |
Происшествие оказывает сильное (катастрофическое) воздействие на деятельность организации, что выражается в одном или нескольких проявлениях: большая сумма (конкретизируется) прямых финансовых потерь; существенный ущерб здоровью персонала (гибель, инвалидность либо необходимость длительного лечения сотрудника); потеря репутации, приведшая к существенному снижению деловой активности организации; дезорганизация деятельности на длительный (конкретизируется) период времени. |
|
|
Средний |
Происшествие приводит к заметным негативным результатам, выражающимся в одном или нескольких проявлениях: заметная сумма (конкретизируется) прямых финансовых потерь; потеря репутации, которая может вызвать снижение количества клиентов и негативную реакцию деловых партнеров; санкции со стороны государственных органов, приводящие к снижению деловой активности организации. |
|
|
Низкий |
Происшествие сопровождается сравнительно небольшими негативными последствиями в одном либо нескольких проявлениях: небольшая сумма (конкретизируется) прямых финансовых потерь; задержки в работе некоторых служб либо дезорганизация деятельности на непродолжительный (конкретизируется) период времени; необходимость восстановления информационных ресурсов. |
Размещено на Allbest.ru
...Подобные документы
Сущность кредитного риска, его факторы и виды. Специфика управления кредитными рисками. Анализ доходов и расходов, оценка эффективности деятельности банка. Направления оптимизации и усовершенствования стратегических технологий по управлению рисками.
дипломная работа [1,2 M], добавлен 28.09.2011Проблемы управления рисками потребительского кредитования в коммерческом банке. Финансово-экономическая характеристика банка ЗАО "Банк ВТБ 24". Факторы кредитного риска. Исследование банковской политики управления рисками и оценка ее эффективности.
дипломная работа [170,8 K], добавлен 26.04.2014Общая характеристика и анализ управления рисками в ВСП 8047/0386 ОАО "Сбербанк России". Методы управления финансовыми рисками в кредитной организации: диверсификация, страхование, хеджирование с помощью производных инструментов. Служба риск-менеджмента.
дипломная работа [812,3 K], добавлен 13.06.2015История внедрения информационных банковских технологий в сферу клиентского обслуживания. Особенности изменения банковского бизнеса и моделей банковского обслуживания. Перспективы и принципы развития отечественного дистанционного банковского обслуживания.
дипломная работа [1,4 M], добавлен 19.06.2019Финансовое состояние кредитной организации. Рациональная оценка реальных показателей деятельности банка, эффективности их использования на примере Филиала ПАО "МТС-Банк" в г. Ростове-на-Дону. Анализ системы управления рисками, методики их снижения.
отчет по практике [117,6 K], добавлен 16.05.2017Банковские риски и их классификация. Место процентного риска в общей структуре банковских рисков, принципы управления ими. Методика оценка риска на основе дюрации. Анализ эффективности использования дюрации при управлении банковскими процентными рисками.
курсовая работа [361,7 K], добавлен 25.09.2013Исследование особенностей управления кредитными рисками на основе методологии, предложенной Базельским комитетом. Анализ системы управления кредитными рисками в РБ. Проблемы управления кредитными рисками, их воздействие на стабильность банковской системы.
курсовая работа [1,3 M], добавлен 03.10.2014Понятие, сущность, и виды финансовых рисков в системе управления кредитной организацией. Проведение организационно-экономического анализа финансовой деятельности и управления рисками на примере АКБ "Лефко-банк", разработка путей и способов их минимизации.
дипломная работа [478,5 K], добавлен 25.03.2011Теоретические подходы к управлению банковскими кредитными рисками. Подходы и особенности методов управления ими. Состояние и методы совершенствования управления кредитными рисками и оценка их эффективности в Домодедовском филиале банка "Возрождение".
дипломная работа [859,2 K], добавлен 29.04.2011Развитие банковского дела в Казахстане. Банки и банковская система развитых стран. Коммерческий банк как составляющий элемент банковского дела. АО "Альянс-банк": анализ кредитной деятельности, пути совершенствования управления банковскими рисками.
дипломная работа [121,3 K], добавлен 31.10.2010Управление активами кредитной организации: сущность, назначение, содержание. Методика проведения анализа качества управления активами кредитной организации: информационная база, показатели качества. Анализ портфельного управления вложениями банка.
дипломная работа [113,1 K], добавлен 16.11.2010Понятие, значение и виды прибыли. Оценка эффективности работы кредитной организации. Способы обеспечения финансовой устойчивости предприятия. Управления дебиторской задолженностью. Анализ динамики и структуры показателей чистой прибыли ОАО "Газпромбанк".
курсовая работа [808,1 K], добавлен 05.07.2017Банковские риски, их роль и значение в процессе управления. Кредитные риски и методы управления ими. Сущность и оценка кредитного риска. Наблюдение за кредитной деятельностью подразделений банка. Перенос риска на повышенные процентные ставки по кредиту.
курсовая работа [35,1 K], добавлен 11.06.2014История создания и развития банка ПАО "ВТБ24". Основные виды деятельности банка. Анализ финансового состояния кредитной организации, состояния активов и пассивов, ликвидности и платежеспособности, финансовой устойчивости банка, управления рисками.
отчет по практике [46,4 K], добавлен 25.12.2014Сущность и структура кредитного риска, оценка его роли и значения в системе банковских рисков, методология и подходы к управлению. Общая характеристика деятельности исследуемого банка, мероприятия по совершенствованию управления кредитными рисками.
дипломная работа [126,0 K], добавлен 07.09.2016Тип организационной структуры управления, применяемый кредитной организацией. Оценка основных финансовых коэффициентов банка "БТА–Казань": ликвидности, достаточности капитала, рентабельности. Анализ активов и пассивов данной кредитной организации.
отчет по практике [37,2 K], добавлен 30.05.2014Понятие риска кредитной организации. Процесс управления кредитным риском в коммерческом банке. Анализ качества и рискованности кредитного портфеля и качества управления им. Сравнительный анализ методик выявления и оценки риска в коммерческом банке.
дипломная работа [953,6 K], добавлен 25.06.2013Определение места кредитного скоринга в системе управления кредитными рисками. Анализ кредитной политики ВТБ "Северо-Запад". Возможности использования скоринговой оценки в системе риск-менеджмента при управлении кредитными рисками в ВТБ "Северо-Запад".
дипломная работа [162,4 K], добавлен 26.12.2012Характеристика банковских рисков и управления ими в системе рыночной экономики России: понятие, виды, степень риска. Особенности мониторинга, регулирования и способов управления банковскими рисками. Система управления рисками в АКБ ОАО "Банк Москвы".
курсовая работа [560,1 K], добавлен 16.02.2010Сущность, классификация, методы и принципы оценки банковских рисков. Особенности управления банковскими рисками коммерческого банка. Качество кредитного портфеля, этапы его анализа. Распределение банковского риска между субъектами предпринимательства.
контрольная работа [29,3 K], добавлен 14.01.2015
