Моделирование рисков банковской деятельности и информационной безопасности
Изучение стандартов, регулирующих процессы информационной защиты финансовых организаций, меры предотвращения возникающих рисков. Международные основы и стандарты информационной безопасности финансово-экономических систем. Управление банковскими рисками.
| Рубрика | Банковское, биржевое дело и страхование |
| Вид | статья |
| Язык | русский |
| Дата добавления | 18.10.2021 |
| Размер файла | 146,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МОДЕЛИРОВАНИЕ РИСКОВ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Лосев В.С. - д-р экон. наук, проф., зав. кафедрой «Экономическая кибернетика»,
Пяткова Е.А. - магистрант кафедры «Экономическая кибернетика»
В современном мире, многие критически важные функции организации зависят от информационных технологий, способности управлять этой технологией и обеспечивать конфиденциальность, целостность и доступность информации. В статье раскрываются трудности банковской безопасности в современных условиях и значимость их разрешения. Рассматриваются стандарты, регулирующие процессы информационной защиты финансовых организаций, а также меры предотвращения часто возникающих рисков.
Ключевые слова: риск, банковская услуга, информационная безопасность, программные средства, информационные технологии.
Title: Modeling the Risks of Banking Activities and Information Security Authors' affiliation:
Losev V.S. - Pacific National University, Khabarovsk, Russian Federation
Piatkova E.A. - Pacific National University, Khabarovsk, Russian Federation
Abstract: In today's world, many essential functions of the organization depend on information technology, the ability to manage this technology and ensure the confidentiality, integrity and availability of information. The article reveals the difficulties of banking security in modern conditions and the significance of their resolution. It discusses the standards governing the processes of information protection of financial organizations, as well as measures to prevent frequently occurring risks.
Keywords: risk, banking service, information security, software, information technology.
В последнее время значительно расширяется сфера банковских услуг. При реализации функций банка протекают достаточно сложные информационные процессы, в которых используются самые разнообразные потоки информации. Все процессы банковской деятельности связаны в единый технологический цикл с выраженной последовательностью операций. При этом вся совокупность этих операций образует достаточно сложную систему, в которой реализуется взаимосвязь большого комплекса задач, каждая из которых имеет свою собственную микро-технологию [1].
В процессе своей деятельности банки сталкиваются с совокупностью различных видов рисков, отличающихся между собой местом и временем возникновения, внешними и внутренними факторами, влияющими на их уровень, и, следовательно, на способы их анализа и методы их описания. По мнению А.И. Уколова все виды рисков взаимосвязаны и в той или иной мере и оказывают воздействие на деятельность банка. Банковский риск - это ситуативная характеристика деятельности банка, отображающая неопределенность ее исхода и характеризующая вероятность негативного отклонения полученного в действительности результата от прогнозируемого уровня [2].
Риск присутствует в каждой процедуре (операции), только обладает различным масштабом нанесенного ущерба и по-разному компенсируется.
Современный подход к обеспечению безопасности требует создания целостной системы информационной безопасности, включающей в себя комплекс организационных, правовых, инженерно-технических и программно-аппаратных мер защиты, использующей современные методы прогнозирования, анализа и моделирования постоянно изменяющихся ситуаций.
Риски, с которыми сталкивается банк, можно разделить на три категории: риски события (бизнес-риски), финансовые риски и операционные риски [3].
Текущее состояние дел в области информационной безопасности организаций кредитно-финансовой сферы характеризуется [4]:
- ростом активности киберпреступности;
- увеличением масштабов хищения денежных средств с использованием уязвимостей в применяемых информационных технологиях;
- качественным изменением состава объектов атак киберпреступников, при котором атаки осуществляются непосредственно на кредитные организации
- ростом количества инцидентов в области информационной безопасности
Так же в последние годы в банковской деятельности назрела проблема обеспечения безопасности данных. Внутри организации следует сохранять такие параметры как:
- конфиденциальность (предотвращение несанкционированного доступа в режиме реального времени, в том числе к контролю управления процессами, изменяющими состояние данных).
- целостность (способность технической системы выполнять свои функции при отказе части компонентов в результате воздействия дестабилизирующих факторов и возвращаться в исходное состояние).
- устойчивость (по отношению к внутренним дестабилизирующим факторам определяется надежностью системы и ее компонентов (reliability), внешним дестабилизирующим факторам - живучестью системы и ее компонентов (resiliency))
Финансовое благополучие банков напрямую связано с поддержанием банковской и коммерческой тайны, а также с поддержанием соответствующего имиджа, который напрямую зависит от обеспечения достаточной защиты информации. Клиентам важно знать, что соблюдается конфиденциальность их персональных данных. Инвесторам необходима уверенность в том, что бизнес информационные активы организации защищены. Бизнес партнеры ожидают, что организация будет функционировать без сбоев, которые могут быть вызваны ошибками в работе информационных систем на всех стадиях их жизненного цикла, умышленными или неумышленными действиями персонала, вредоносным программным обеспечением и другими факторами.
В последние годы вследствие развития и распространению новых технологий предоставления банковских услуг кредитными организациями обстановка в банковском секторе изменилась радикально. Что касается российских стандартов, то в настоящее время особое внимание уделяется вопросам защиты информации в банковском секторе. Особенностями современных ИТ- среды, которая связывает предприятия и их подразделения, состоит в постоянно возрастающем уровне опасности из-за непрерывного увеличения частоты атак и постоянно ожесточающимися требованиями к времени реакции. Мнение авторов изложенные в книге сводиться к тому, что стандарты и законы, относящиеся к сохранению конфиденциальности и выполнению финансовых обязательств, заставляют руководство предприятий уделять больше внимания повышению эффективности управления информационной безопасностью предприятия [5].
При разработке программных средств систем контроля информационной безопасности необходимо руководствоваться двумя основными стандартами. Стандарт банка России РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» введен в действие с 1 января 2018 года. Документ содержит требования к организации всех основных процессов информационной защиты финансовых организаций, включая противодействие вредоносному коду, утечкам информации, а также нарушению целостности информации. Стандарт банка России СТО БР ИББС-10-2014 ««Обеспечение информационной безопасности организаций банковской системы российской Федерации. Общие положения» определяет общую концепцию построения комплексной системы обеспечения информационной безопасности, общие требования по обеспечению ИБ, также требования к системе менеджмента ИБ.
Кредитные организации, двигателем работы которых считаются информационные потоки, находятся в постоянной неминуемой опасности. Каждому информационному процессу угрожают:
- предоставление недостоверных данных;
- использование ошибочных сведений;
- утечка конфиденциальной информации;
- уничтожение значимых сведений;
- модификация информации;
- блокирование доступа к нужной информации;
- несанкционированный допуск к секретным данным;
- шпионаж конкурирующих учреждений.
При проведении анализа состояния безопасности, выявлены четыре группы рисков, которые неблагоприятно влияют на работу банка (рис. 1).
Рис. 1. Внешние и внутренние угрозы для банка
Следуя выше изложенным угрозам в каждом банке должны быть разработаны, утверждены и реализованы правила сбора, обработки, хранения и использования информации, предназначенные для обеспечения финансовой стабильности и безопасности. Защищенность и гарантия целостности информации достигается путем соблюдения следующих правил [9]:
Во-первых, компьютерная безопасность подразумевает принятие технических и управленческих мер, которые гарантируют высококачественную работу абсолютно всех аппаратно-компьютерных систем, что дает возможность сформировать единый, целостный, доступный и засекреченный источник.
Во-вторых, защищенность данных. Защита информации от халатных, случайных, неавторизированных или предумышленных разглашений сведений или взлома системы. Применении различных криптографических преобразований защищаемой информации. Стойкость криптографических преобразований основана на секретности ключа дешифрования.
В-третьих, лицензированное программное обеспечение - это целый комплекс прикладных и общецелевых программных средств, нацеленных на предоставление безопасной работы всех систем и безопасную обработку данных.
В-четвертых, защищенность коммуникаций обеспечивается за счет аутентификации систем телекоммуникаций, предотвращающих доступность данных неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос.
Управление информационной безопасностью - это комплексный, непрерывно выполняемый процесс, обязательно имеющий правовую, организационную, документальную и другие составляющие [10]. В современных условиях многое сделано для обеспечения информационной безопасности, но мало предложено по управлению теми защитными мерами, которые внедрены в организации. Зачастую организации не осознают, какие активы являются более критичными, какие риски связаны с этими активами и какие защитные меры необходимо запланировать. Все эти проблемы можно решить при эффективном управлении информационной безопасностью в организации за счет построения системы управления информационной безопасностью. Непрерывный мониторинг информационной безопасности определяется как ведение постоянной осведомленности об информационной безопасности, уязвимостях и угрозах для поддержки организационных решений по управлению рисками (таблица 1).
Стандарты требуют от предприятия развивать, внедрять и постоянно улучшать систему, целью которой является интеграция процесса по управлению рисками с руководством бизнес-процессов, которые включают управление стратегией и планированием, процессами отчетности, ценностями и культурой.
Таблица 1. Стандарты/рекомендации по информационной безопасности
|
SP 800-137 |
SP 800-61 |
SP 800-40 |
|
|
Мониторинг ИБ в федеральных информационных системах Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ- системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации |
Управление инцидентами в области ИБ Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент |
Управление обновлениями безопасности Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса |
Очевидно, что современные информационных технологии безопасности в основном развиваются под воздействием бизнеса и для бизнеса, потому происходит постоянное влияние друг на друга экономики и банковских инновационных технологий [11]. Их взаимосвязь помогает разработчикам технологий находить все новые и новые прогрессивные решения в области информационного обеспечения.
Следует выделить несколько групп средств и методов, используемых в системе защиты банковской деятельности [12]:
- организационно-правовые
- инженерно-технические
- информационно-технологические
- оперативно-технические
- морально-психологические
- специальные.
На основе средств и методов может быть принята следующая модель построения системы информационной безопасности, основанная на рассмотрении угроз, уязвимости и связанного с ними риска (рис. 2) [13].
Рис. 2. Алгоритм построения системы информационной безопасности
На этапе планирования разрабатывается политика информационной безопасности, создается административный и кадровый состав за управлением информационной безопасности. На втором этапе разрабатывается система информационной безопасности. Под третьим этапом понимают изучение штатного функционирования системы информационной безопасности, обучается персонал. На этапе проверки ведется непрерывный мониторинг за бизнес процессами банка, анализируются потенциальные угрозы. На завершающем этапе - совершенствования, улучшаются защитные меры путем возврата на второй этап и дополнение системы новыми сценариями и моделями защитных мер от угроз и нарушителей с учетом уже сложившейся практики реагирования.
Для построения сбалансированной системы информационной безопасности необходимо рассмотреть степень влияния каждого отдельно взятого риска на организацию и провести анализ. Реализованная модель в организации позволит оказать помощь в планировании и защите на всех стадиях жизненного цикла информационных систем. При проектировании модели так же необходимо руководствоваться концепциями, которые излагают цели, задачи, и принципы достижения требуемого уровня информационной безопасности.
Алгоритм, снижающий потери и ущерб в рисковых ситуациях подстраиваться под определенный вид риска. В зависимости от большого числа рисков, рассмотрим наиболее часто возникающие виды рисков в банковской деятельности и методы их решения. Применяя данный алгоритм в организациях можно существенно сократить риски.
Риск потери, взлома или уничтожения информации. Меры решения с помощью обеспечения круглосуточной работа системы в пространстве и времени. 1) Модули должны непрерывно контролировать информационные данные, не позволяя появления разрывов или уменьшения степени контролирования. 2)Информацию необходимо ранжировать по степени значимости и важности защиты, для наиболее ценной информации должен быть наиболее высокий уровень защиты и быстрая реакция на ликвидацию риска. 3)Более значимые блоки информации следует дублировать, чтобы в следствие потери или уничтожения одного из звеньев, можно было бы восстановить информацию.
Риск потери или утечки информации при помощи персонала организации.
При отборе персонала необходимо уделять значительно много времени, так как люди наиболее уязвимое место в утечке информации. Решением может стать ограничение доступа к работе с конфиденциальными данными. В базе данных стоит разграничивать права пользователей. Защитить файлы при помощи ограничения на копирование и перенос информации. Так же каждого сотрудника необходимо обеспечить идентификационным номером для входа в рабочее пространство компьютера и отслеживать действия сеанса работы.
Для оценки банковских рисков применяют следующие методы: метод экспертных оценок, аналитический метод, комплексный метод оценки банковских рисков [14]. В практической банковской работе основным является его предвидение, оценки и уменьшение его степени воздействия. Во всех случаях риск должен быть определен и измерен. Проанализируем комплексную оценку риска, которая определяет размер риска банка в целом. Комплексный метод оценки банковских рисков базируется на общей оценке риска определенного коммерческого банка. Теоретический общий риск банка можно определить по формуле:
где Н - уровень допустимости общего риска банка;
Р - индивидуальные риски банка по конкретным операциям;
К - общий капитал банка;
Е - корректирующий коэффициент внешних рисков банка.
Данный коэффициент отображает максимально вероятную степень риска банка, за которой следует его крах. Считается, что его допустимое значение не должно превышать 10.
Для определения размера риска, необходимо знать все возможные последствия какого-либо отдельного действия и вероятность самих последствий. Частота (вероятность) возникновения некоторое уровня потерь находится по формуле:
где F- частота (вероятность) возникновения событий, уровня потерь,
N1- число случаев наступления конкретного уровня потерь,
іVі - общее число случаев в статистической выборке.
Среднее ожидаемое значение находят по формуле где
информационный финансовый банковский безопасность
- среднее ожидаемое значение события;
R - фактическое значение события;
F - частота (вероятность) возникновения события.
Таким образом, среднее ожидаемое значение события равно произведению суммы фактических значений (R) и их вероятностей (F). В основе расчета общей оценки риска лежит нахождение зависимости между определенными размерами потерь и вероятностью их возникновения.
В настоящее время принято считать, что информационная безопасность организации складывается из нескольких функциональных составляющих, которые для каждой самостоятельной бизнес -единицы могут иметь различные приоритеты в зависимости от характера существующих угроз. Однако ключевым фактором, определяющим состояние информационной безопасности, является обладание организации устойчивыми конкурентными преимуществами, которые должны соответствовать ее стратегическим целям. То есть информационная безопасность организации сегодня - это наличие конкурентных преимуществ, обусловленных соответствием материального, финансового, кадрового, технико-технологического потенциалов и организационной структуры предприятия его стратегическим целям и задачам. Так же это динамичный процесс, который должен быть эффективным для выявления и реагирования на новые уязвимости, развитие угроз и постоянно меняющейся корпоративной архитектуры и организационной среды. Таким образом, современная информационная банковская система, отвечающая всем требованиям информационной безопасности, позволяет вести быстрое и качественное обслуживание клиентов по широкому спектру услуг.
Следует отметить, что не существует абсолютно надежного метода защиты. Наиболее полную безопасность можно обеспечить только при комплексном подходе. Руководителям и ответственным подразделениям за безопасностью, необходимо постоянно следить за новыми системами защиты программного обеспечения, так как на данный момент они широко распространены и находятся в постоянном развитии, благодаря расширению рынка программного обеспечения и телекоммуникационных технологий.
Библиографические ссылки
1. Данелян Т. Я. Экономические информационные системы (ЭИС) предприятий и организаций [Электронный ресурс]: учеб. пособие. М.: Моск. гос. ун-т экономики, статистики и информатики, 2005. Ч. 2. 172 с. // Университетская библиотека онлайн: электрон.-библ. система.
2. Уколов А. И. Оценка рисков [Электронный ресурс]: учебник. М.: Директ- Медиа, 2018. 627 с. // Университетская библиотека онлайн: электрон.-библ. система.
3. Экономика организаций [Электронный ресурс]: учебник / О. Н. Глотова, Ю. В. Рыбасова, О. А. Чередниченко и др. Ставрополь: Агрус, 2015. 392 с. // Университетская библиотека онлайн: электрон.-библ. система.
4. Банковское дело [Электронный ресурс]: учебник / Н. Н. Наточеева, Ю. А. Ровенский, Е. А. Звонова и др. М.: Дашков и К°, 2016. 272 с. // Университетская библиотека онлайн: электрон. -библ. система.
5. Веселов Г. Е., Абрамов Е. С., Шилов А. К. Менеджмент риска информационной безопасности [Электронный ресурс]: учеб. пособие. Таганрог: Изд-во Южного федер. ун-та, 2016. 109 с. // Университетская библиотека онлайн: электрон. -библ. система.
6. Глобальное исследование учетек конфиденциальной информации в I полугодие 2018 года [Электронный ресурс] // Аналитический центр InfoWatch. 2018
7. Потери организаций от киберпреступности [Электронный ресурс].
8. Статья банковский аутсорсинг [Электронный ресурс].
9. Прохорова О. В. Информационная безопасность и защита информации [Электронный ресурс]:учебник. Самара, 2014.113 с.
10. Бекетнова Ю.М, Крылов Г. О., Ларионова С. Л. Международные основы и стандарты информационной безопасности финансово-экономических систем [Электронный ресурс]: учеб. пособие. М.: Прометей, 2018. 173 с. // Университетская библиотека онлайн: электрон. - библ. система.
11. Ковалев Д. В., Богданова Е. А. Информационная безопасность [Электронный ресурс]: учеб. пособие. Ростов-на-Дону: Изд-во Южного федер. ун-та, 2016. 74 с. // Университетская библиотека онлайн: электрон.-библ. система.
12. Чибисов О. В. Организация и управление безопасностью в кредитно-финансовых учреждениях [Электронный ресурс]: учеб. пособие. М.: Евразийский открытый институт, 2011. 116 с. // Университетская библиотека онлайн: электрон. - библ. система.
13. Аверченков В. И. Аудит информационной безопасности [Электронный ресурс]: учеб. пособие для вузов. М.: Флинт, 2016. 269 с. // Университетская библиотека онлайн: электрон.- библ. система.
14. Тепман Л. Н., Эриашвили Н.Д. Управление банковскими рисками [Электронный ресурс]: учеб. пособие. М.: Юнити-Дана, 2015. 311 с. // Университетская библиотека онлайн: электрон. -библ. система.
Размещено на Allbest.ru
...Подобные документы
Источники, виды и классификация угроз информационной безопасности банковской деятельности. Мошенничество с платежными картами. Стандарты информационной безопасности Банка Российской Федерации. Схема информационной защиты системы интернет-платежей.
презентация [1,5 M], добавлен 02.04.2013Анализ существующих методик оценки рисков информационной безопасности и разработка собственной методики для банковской сферы. Апробирование полученной методики на примере АО "ЮниКредит Банк". Информация, необходимая для проведения анализа рисков.
дипломная работа [523,2 K], добавлен 16.06.2015Принципы банковских рисков и их характеристика. Проблемы и методы валютного и процентного рисков. Управление кредитными рисками, их анализ и оценка на примере АО "Казкоммерцбанк". Совершенствование управления банковскими рисками в Республике Казахстан.
курсовая работа [871,3 K], добавлен 22.02.2012Общее понятие банковских рисков и причины их возникновения. Классификация банковских рисков по основным видам. Зависимость риска и прибыли. Методологические основы анализа и оценки рисков. Наиболее эффективные методы управления банковскими рисками.
контрольная работа [171,3 K], добавлен 07.10.2010Понятие банковских рисков и причины их возникновения. Методы и этапы их оценки. Сущность и принципы банковского управления рисками. Стратегические решения направленные на минимизацию их негативных последствий. Фасетная система классификации рисков.
курсовая работа [58,1 K], добавлен 21.03.2009Характеристика банковских рисков и управления ими в системе рыночной экономики России: понятие, виды, степень риска. Особенности мониторинга, регулирования и способов управления банковскими рисками. Система управления рисками в АКБ ОАО "Банк Москвы".
курсовая работа [560,1 K], добавлен 16.02.2010Виды и характеристики рисков. Управление банковскими рисками: кредитными, рыночными, операционными. Управление правовым риском, риском потери деловой репутации банка и риском ликвидности оборота. Способы прогнозирования и снижения банковских рисков.
дипломная работа [341,8 K], добавлен 12.02.2008Методологические основы построения системы обеспечения информационной безопасности кредитных организаций. Анализ и определение угроз защищаемым ресурсам. Метод анализа угроз информационной безопасности центра обработки данных ОАО "Волга-кредит банк".
дипломная работа [1,6 M], добавлен 07.05.2014Банковские риски, их виды и особенности. Методы оценки банковских рисков. Понятие стратегии риска в банковской деятельности. Процесс управления банковскими рисками. Метод экспертных оценок. Валютный, кредитный, ликвидности, рыночный и процентный риски.
реферат [20,9 K], добавлен 17.03.2015Сущность, виды, факторы и методы оценки процентного риска. Анализ уровня процентных рисков в банковской деятельности Республики Беларусь. Связь между доходностью операций банка и его риском. Совершенствование управления рисками в банковской сфере.
курсовая работа [91,8 K], добавлен 07.11.2015Подготовительные этапы в разработке политики информационной безопасности. Проведение политики защиты информации в кредитных учреждениях, составление должностных инструкций и положений. Этапы внедрения документации, регламентирующей ее проведение.
дипломная работа [611,8 K], добавлен 19.12.2012Организационная структура предприятия. Положение о коммерческой тайне банка. Функции сектора управления делами административного отдела. Анализ информационной системы. Рекомендации по улучшению системы безопасности в информационной системе организации.
отчет по практике [181,4 K], добавлен 22.04.2014Составляющие информационной безопасности. Необходимость перехода на новые принципы бухгалтерского учета в российских банках. Критерии информационной прозрачности. Система отчетности по международным стандартам. Информационная безопасность банков.
курсовая работа [43,5 K], добавлен 26.01.2013Классификация банковских рисков, методы их оценки и управления. Риски, возникающие при проведении операций на биржевом рынке, с иностранной валютой, с ценными бумагами. Практика оценки и управления банковскими рисками на примере РВФБ.
дипломная работа [114,3 K], добавлен 28.03.2003Классификация банковских рисков при кредитовании торговых предприятий. Методы управления и страхования валютных рисков. Характеристика деятельности риск-менеджеров по управлению рисками. Пути снижения банковских рисков в условиях финансовой глобализации.
дипломная работа [112,2 K], добавлен 18.03.2016Основы кредитной политики коммерческого банка. Сущность банковских рисков, их факторы. Опасность потерь, вытекающая из специфики хозяйственных операций. Классификация банковских рисков. Возможности управления банковскими рисками. Кредитные деривативы.
курсовая работа [65,7 K], добавлен 28.12.2008Виды банковских рисков. Принципы и основы управления рисками. Влияние внешних рисков на банковскую деятельность. Страновой риск: методы управления, оценки и минимизации. Риск форс-мажорных обстоятельств, обеспечение непрерывности деятельности банков.
курсовая работа [167,0 K], добавлен 05.12.2010Исследование основных теоретических аспектов банковских рисков и их нормативно-правового обеспечения рисков в банковской деятельности. Анализ рисков банковского сектора Республики Казахстан. Позитивные и негативные факторы, влияющие на уровень рейтингов.
курсовая работа [49,3 K], добавлен 04.05.2011Законодательная база регулирования деятельности банковских платежных агентов. Порядок организации и совершения операций по приему платежей банковским платежным агентом. Анализ рисков банковской деятельности и возможные меры по снижению данных рисков.
курсовая работа [105,2 K], добавлен 22.11.2013Виды и факторы банковских рисков. Анализ деятельности операционного офиса банка. Организация кредитования, методика оценки и управления кредитными рисками в организации. Рейтинговая оценка кредитоспособности заемщиков. Страхование финансовых рисков.
дипломная работа [592,3 K], добавлен 02.12.2013
