12+
Разработка политики информационной безопасности в кредитных учреждениях

Бесплатный фрагмент - Разработка политики информационной безопасности в кредитных учреждениях

Объем: 54 бумажных стр.

Формат: epub, fb2, pdfRead, mobi

Подробнее

Введение

Несмотря на тот факт, что мы привыкли ассоциировать информационную безопасность (ИБ) с вирусными и хакерскими атаками, защитой периметра сети, криптографией и другими задачами, решаемыми преимущественно техническими методами, основой ИБ является управление безопасностью организации.

Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня ИБ организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.

Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.

Исходя из этого разработан стандарт СТО БР ИББС_1.0_2008 по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

— развитие и укрепление БС РФ;

— повышение доверия к БС РФ;

— поддержание стабильности организаций БС РФ и на этой основе — стабильности БС РФ в целом;

— достижение адекватности мер защиты реальным угрозам ИБ;

— предотвращение и (или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

— установление единых требований по обеспечению ИБ организаций БС РФ;

— повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

Глава 1. Подготовительные этапы в разработке политики ИБ

1.1 Комплексный подход

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании (Рис.1). Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Рисунок 1. Компоненты архитектуры информационной безопасности

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать — сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой угрозой ущерб, получим риск угрозы. После этого следует приступать к разработке политики ИБ.


1.2 Категорирование


Существуют три основных аспекта ИБ:

— доступность;

— конфиденциальность;

— целостность.

Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.

Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий (Рис.2).

Рисунок 2. Шкала оценки ущерба при нарушении информационной безопасности

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:

— организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;

— активам организации наносится незначительный ущерб;

— организация несет незначительные финансовые потери;

— персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

— компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;

— активам организации причиняется значительный ущерб;

— компания несет значительные финансовые потери;

— персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

— компания теряет способность выполнять все или некоторые из своих основных функций;

— активам организации причиняется крупный ущерб;

— организация несет крупные финансовые потери;

— персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

Необходимо также подсчитать возможные собственные потери (в виде неполученной прибыли) и выгоды конкурентов (полученную ими прибыль) при реализации угроз затрагивающих конкретную категорию информации.

Далее при определении возможных угроз и оценки вероятности осуществления каждой из них несложно подсчитать оптимальный бюджет на защиту информации.

1.3 Управление рисками

Задача управления рисками состоит в их постоянной идентификации, анализе, оценке и поддержании на допустимом для организации уровне.

Отсутствие внимания к существующим в организации информационным рискам может привести к возникновению кризисных ситуаций, потере имиджа, репутации и бизнеса в целом.

Имеется множество различных классификаций банковских рисков. Различаясь положенными в их основу критериями, эти классификации роднит то, что все они однозначно полагают кредитный и процентный риски основными для банков.

Классификация банковских рисков:

Внутренние банковские риски возникают в результате деятельности самих банков и зависят от проводимых операций. Соответственно банковские риски делятся:

— связанные с активами (кредитные, валютные, рыночные, расчетные, лизинговые, факторинговые, кассовые, риск по корреспондентскому счету, по финансированию и инвестированию и др.);

— связанные с пассивами банка (риски по вкладным и прочим депозитным операциям, по привлеченным межбанковским кредитам);

— связанные с качеством управления банком своими активами и пассивами (процентный риск, риск несбалансированной ликвидности, неплатежеспособности, риски структуры капитала, левереджа, недостаточности капитала банка);

— связанные с риском реализации финансовых услуг (операционные, технологические риски, риски инноваций, стратегические риски, бухгалтерские, административные, риски злоупотреблений, безопасности).

Внешние риски в своей совокупности обычно характеризуются также пространственным аспектом, означающим, что различным (регионам, республикам), разным странам или группам стран в каждый данный момент присущи особое сочетание и специфическая мера остроты внешних рисков, обусловливающие особую привлекательность или непривлекательность данного региона или данной страны с точки зрения банковской деятельности. Выражение «страновой (региональный) риск» означает только этот аспект, но не содержательно отдельный вид риска наравне с финансовыми, экономическими, политическими и иными внешними рисками.

Риски состава клиента связаны с маркетингом банковских услуг и контактами с общественностью. Разнообразие требований мелкого, среднего и крупного клиента с неизбежностью определяет и степень самого риска. Так, мелкий заемщик больше зависит от случайностей рыночной экономики. В то же время значительные кредиты, выданные одному крупному клиенту или группе связанных между собой клиентов, часто являются причиной банковских банкротств.

Степень банковского риска, как видно из классификации, определяется тремя понятиями: полный, умеренный и низкий риски.

Полный риск предполагает потери, равные банковским вложениям в операцию. Так, сомнительный или потерянный кредит обладает полным, то есть 100-процентным, риском. Банк прибыли не получает, находится в зоне недопустимого или критического риска.

Умеренный риск (до 30%) возникает при не возврате небольшой части основного долга или процентов по ссуде, при потере лишь части суммы по финансовым и другим операциям банка. Риск находится в зоне допустимого. Банк получает прибыль, позволяющую покрыть допущенные потери и иметь доходы.

Низкий риск — незначительный риск, позволяющий банку не только покрыть потери, но и получить высокие доходы.

Наконец, риски бывают открытые и закрытые. Открытые риски не поддаются или слабо поддаются предупреждению и минимизации, закрытые же, наоборот, дают для этого хорошие возможности.

Также риски можно разделить по типу (виду банка). От вида банка зависит характерный для него набор рисков. Это надо понимать в том смысле, что хотя всем банкам присущи балансовые и забалансовые риски, риски финансовых услуг и внешние риски, их сочетание, основные зоны, размеры и приоритетные направления будут складываться по-разному в зависимости от преимущественной специализации банков, а значит, и по-разному характеризовать каждый вид банковской деятельности.

Так, для банков, широко занимающихся аккумуляцией свободных денежных средств и их размещением среди других кредитных учреждений, определяющими будут риски по вкладным и депозитным операциям и по возможному не возврату межбанковских кредитов.

Степень банковского риска учитывает полный, умеренный и низкий риск в зависимости от расположения по шкале рисков. Степень банковского риска характеризуется вероятностью события, ведущего к потере банком средств по данной операции. Она выражается в процентах или определенных коэффициентах.

Особенностью нахождения степени банковского риска является его индивидуальная величина, связанная с принятием на себя конкретного риска по конкретной банковской операции. Во многом она определяется субъективной позицией каждого банка.

Приведенная классификация и элементы, положенные в основу экономической классификации, имеют целью не столько перечисление всех видов банковских рисков, сколько демонстрацию наличия определенной системы, позволяющей банкам не упускать отдельные разновидности при определении совокупного размера рисков в коммерческой и производственной сфере.

Банковские риски реализации финансовых услуг подразделяются на:

— операционные риски;

— технологические риски;

— риски инноваций;

— стратегические риски;

— бухгалтерские риски;

— административные риски;

— риски злоупотреблений;

— риски безопасности.

Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

К технологическим рискам относятся риски сбоя технологии операций (риски сбоя компьютерной системы, потери документов из-за отсутствия хранилища и железных шкафов, сбоя в системе SWIFT, ошибки в концепции системы, несоизмеримые инвестиции, стоимость потерянного или испорченного компьютерного оборудования, утрата или измерение системы электронного аудита или логического контроля, уязвимость системы, компьютерное мошенничество, уничтожение или исчезновение компьютерных данных).

Риски безопасности состоят из рисков общей безопасности банка, внутренней и пожарной безопасности.

Риски инноваций состоят из проектных рисков (риск уникальных проектов, внутрибанковский риск, рыночный или портфельный риск), селективного риска (риск неправильного выбора инноваций), временного риска (неправильное определение времени для инновации), рисков отсутствия необходимых средств, риска изменения законодательства в сторону отмены нового для банка вида деятельности.

Стратегические риски — это риски неполучения запланированной прибыли в результате превышения допустимого риска, риск неправильного выбора и неверной оценки размера и степени риска, риск неверного решения банка (к примеру, риск неоднократной пролонгации одной и той же ссуды), риски неверного определения сроков операций, отсутствия контроля за потерями банка, неверного финансирования потерь, неверного выбора способов регулирования рисков (например, получение гарантии юридического лица вместо оформления договора залога) и пр. Все они с определенных позиций характеризуют качество управления банком.

Бесплатный фрагмент закончился.

Купите книгу, чтобы продолжить чтение.