CC BY
47
Банковское дело
Удк 336.717. (075.8)
организация управления риском безопасности информационных банковских систем в кредитной организации
В. И. КОРНЕЙЧУК, кандидат физико-математических наук, доцент кафедры финансов Е-mail: graf123@mail.ru Московская государственная академия делового администрирования
В статье представлена методология управления риском безопасности информационных банковских систем в кредитной организации. Описано управление риском безопасности информационных банковских систем на стадиях выявления, оценки и (или) его минимизации.
Ключевые слова: банковские риски, безопасность, информационные банковские системы, управление, минимизация.
Мировой финансовый кризис обострил внимание к проблеме операционных рисков в банковской сфере. Немаловажной составляющей операционного риска является риск безопасности информационных банковских систем. Эта проблема в настоящее время является одной из наиболее актуальных для кредитных организаций.
Общие положения. Основными видами операционного риска в кредитной организации являются [2]:
— риск воздействия внешней среды;
— риск нарушения внутренних процедур (процессов);
— риск, связанный с деятельностью персонала;
— риск безопасности информационных банковских систем.
Общие принципы организации управления операционным риском в кредитной организации
с условной структурой уже получили достаточное освещение [1].
Рассмотрим особенности управления операционным риском безопасности информационных банковских систем в кредитной организации.
Объект риска безопасности информационных банковских систем. Информационная банковская система (ИБС) — это совокупность специальных аппаратных и программных средств, обеспечивающих сбор, хранение, обработку и представление банковской информации работникам банка в необходимом виде.
Риск безопасности ИБС — это риск возникновения в кредитной организации потерь, вызванных следующими факторами:
— возможностью несанкционированного доступа к банковской информации как работников банка, так и внешних субъектов и (или) некомпетентными действиями работников банка при работе с ИБС;
— возможными сбоями, ошибками или несоответствием характеру и масштабу деятельности банка используемого программного обеспечения ИБС;
— техническими неполадками аппаратных средств и каналов связи ИБС.
Управление риском безопасности информационных банковских систем. Управление риском безопасности
38
финансы и кредит
информационных банковских систем состоит из выявления, оценки и (или) минимизации риска.
Выявление и оценка риска. Для выявления каждого из факторов риска безопасности информационных банковских систем вводятся контрольные индикаторы, определяющие текущее состояние по каждой группе риска. Характеристики индикаторов риска и ответственные за их предоставление лица приведены в табл. 1.
Индикаторы риска безопасности инф
Филиалы банка предоставляют информацию по всем индикаторам риска данной категории.
Оценка индикаторов риска безопасности информационных банковских систем проводится в разрезе названных факторов риска с объединением индикаторов риска в следующие группы:
— индикаторы по защите ИБС от несанкционированного доступа и некомпетентных действий работников банка;
Таблица 1
лационных банковских систем (ИБС)
Индикатор Значение индикатора по степеням риска Характеристика индикатора Ответственные за предоставление информации лица
2 1 0 Коэффициент значимости
Группа 1.1. Индикаторы по защите ИБС от несанкционированного доступа и некомпетентных действий работников банка
Доступ к ИБС имеют работники банка, которым это необходимо для выполнения служебных обязанностей. Уровень доступа к данным зависит от должностных обязанностей работника Доступ пересматривается в соответствии с положением банка Доступ не пересматривается При установке доступа не учитываются должностные обязанности 3 Устраняет возможность несанкционированного доступа работников к ИБС, в том числе некомпетентных либо противоправных действий Руководители структурных подразделений (СП)
Все работники банка, работающие в ИБС, имеют имя для идентификации в локальной сети банка и уникальный, известный только самому пользователю, пароль Да, пароль меняется в соответствии с положением банка Да, пароль не меняется Не все сотрудники 3 Устраняет возможность несанкционированного доступа работников к ИБС, в том числе некомпетентных либо противоправных действий Руководители СП
В банке распределены обязанности по обеспечению информационной безопасности, разработано положение по информационной безопасности, назначен администратор информационной безопасности Да В стадии разработки или требует доработки Нет 3 Позволяет устранить возможность потери информации, использования ее в корыстных целях и т. д. Руководитель отдела автоматизации, специалист отдела автоматизации филиала
В банке разработаны инструкции и планы действий по обеспечению политики информационной безопасности Да Частично Нет 3 Минимизирует риски информационной безопасности
Наличие внутренних документов, регламентирующих порядки обеспечения систем интернет-банкинга: — порядок использования web-сайта; — порядок предоставления услуг интернет-банкинга; — план обеспечения непрерывности интернет-банкинга; — порядок осуществления сетевого мониторинга; — процедуры внутреннего контроля за обеспечением систем интернет-банкинга Да Частично Нет 3 Минимизирует риски интернет-банкинга
Продолжение табл. 1
индикатор Значение индикатора по степеням риска Характеристика индикатора Ответственные за предоставление информации лица
2 1 0 Коэффициент значимости
Качество обеспечения систем интернет-банкинга: — отсутствие прямой сетевой связи системы интернет-банкинга с ИБС; — наличие системы межсетевой защиты; — наличие систем сетевого мониторинга и системного аудита; — наличие в системе интернет — банкинга сертифицированных программных средств электронной цифровой подписи Полностью соответствует Имеются отдельные недостатки Не соответствует 3
Все работники банка ознакомлены с положением по информационной безопасности в рамках своих должностных обязанностей; проводится обучение персонала информационной безопасности Да Не все Нет 3 Обучение персонала банка информационной безопасности минимизирует риск разглашения конфиденциальной информации и повышает ответственность работников Руководители СП
Доступ в помещения банка, в которых расположены серверы ИБС и рабочие станции для обмена служебной информацией с контрагентами, ограничен. На рабочих станциях для обмена установлены средства защиты от несанкционированного доступа Да Частично Нет 3 Устраняет возможность несанкционированного доступа к ИБС, потери данных и некомпетентных либо противоправных действий работников Руководитель отдела автоматизации, специалист отдела автоматизации филиала
При ремонте техники в сервисных центрах несанкционированный доступ к информации на жестких дисках исключен Да Не всегда Нет 3 Минимизирует риск потери и доступа к конфиденциальной информации Руководитель отдела автоматизации, специалист отдела автоматизации филиала
Работники банка имеют руководство пользователя по работе с программными модулями ИБС. Среди работников проводятся семинарские занятия по обучению новым возможностям ИБС и устранению наиболее часто встречающихся ошибок при работе с системой Да Не всегда Нет 2 Способствует повышению квалификации работников, минимизирует вероятность появления в работе ошибок при работе с ИБС Руководители СП
В ИБС предусмотрены методы, препятствующие некомпетентным действиям пользователя или возможным ошибкам Да Частично Нет 2 Минимизирует риск ошибок и некорректных действий работников Руководитель отдела автоматизации, специалист отдела автоматизации филиала
40
финансы и кредит
Продолжение табл. 1
Значение индикатора по степеням риска Ответствен-
Индикатор 2 1 0 Коэффициент значимости Характеристика индикатора ные за предоставление информации лица
Банком проводится вторичный Да Не всегда Нет 2 Минимизирует риск Руководите-
контроль ввода документов в ошибок ли СП
ИБС
В ИБС существует возможность Да Частично Нет 2 Позволяет иденти- Руководи-
однозначного выявления иден- фицировать пос- тель отдела
тификационного имени работ- леднюю дату совер- автоматиза-
ника, совершившего операцию, шения операции и ции, специ-
и ведется журнал операций работника, совершившего ее алист отдела автоматизации филиала
Доступ к съемным накопителям Да Не всегда Все работ- 1 Минимизирует риск Руководите-
(дискеты, CD-приводы, ники имеют кражи конфиденци- ли СП
накопители) системных блоков доступ к на- альной информации,
ИБС ограничен служебной копителям разглашения или
необходимостью использования ее в корыстных целях
Группа 1.2. Индикаторы по защите программного обеспечения ИБС
Критически важное програм- Да Не полностью Нет 3 Минимизирует риск Руководи-
мное обеспечение (ПО) для несоответствия тель отдела
деятельности банка подде- возможностей или автоматиза-
рживается производителем и содержания исполь- ции, специ-
своевременно обновляется зуемого ПО актуальным требованиям банковской деятельности алист отдела автоматизации филиала
Некорректная работа или Да Существует Существует 3 Минимизирует риск
умышленные действия поль- опасность опасность отказов, сбоев и не-
зователей не могут привести к повреждения поврежде- корректной работы
искажению или утрате про- некоторых ния кри- ПО
граммных модулей и данных в модулей тически
ИБС, находящихся вне преде- важного ПО
лов их компетенции
Сбои в работе оборудования Да Работа Может быть 3 Минимизирует риск
(выключение электропитания, отдельных наруше- отказов ПО, риск
критические сбои операци- модулей на работа потери или искаже-
онных систем и т. п.) не могут может быть критически ния информации в
явиться причиной искажения нарушена важного ПО хранилищах данных
программных модулей и содер-
жания ИБС
Ежедневно создается резервная Да, Да, Нет 3 Минимизирует риск
копия ИБС ведется журнал учета сделанных копий журнал учета не ведется потери актуальной информации в хранилищах данных
Существует выделенный не- Да хра- Да, хранятся Нет 3
сгораемый сейф для хранения нятся все не все копии
резервных копий копии
Организовано параллельное Да, Да, Нет 2
хранение резервных копий все копии не все копии
вне помещения центрального
офиса банка
Продолжение табл. 1
Значение индикатора по степеням риска Ответствен-
Индикатор 2 1 0 Коэффициент значимости Характеристика индикатора ные за предоставление информации лица
Проверка ИБС на наличие Да Да, Нет 3 Минимизирует
компьютерных вирусов работа- не каждый риск повреждения,
ет постоянно, каждый компью- компьютер потери или кражи
тер использует антивирусную или несвое- конфиденциальной
программу, обновление анти- временно информации
вирусных программ проводится обновляется
своевременно
Используются программные Да Да, Нет 3
средства, ограничивающие не в полной
доступ извне к локальной сети мере
банка и программное обеспе-
чение, ограничивающее доступ
работников банка посредством
сети Интернет к запрещенным
сетевым ресурсам
Организован и резервирует- Да Да, Нет 2 Обеспечивает воз-
ся архив файлового обмена с срок хране- можность разбора
контрагентами по операциям в ния менее 5 конфликтных ситуа-
течение последних пяти лет лет ций с контрагентами
Организован и резервируется Да Да, Нет 2 Минимизирует
архив банковской отчетности срок хране- риск потери банком
с неограниченным сроком ния ограни- отчетных форм
хранения чен
Организован архив и учет Да Да, Нет 1 Минимизирует риск
дистрибутивов программных только крити- потери актуального
продуктов чески важное ПО состояния программного обеспечения банка
Группа 1.3. Индикаторы по повышению эффективности работы и отказоустойчивости аппаратных средств ИБС
Количество произошедших До 1 1-3 Свыше 3 3 Показывает текущее Руководи-
продолжительных сбоев состояние отказоус- тель отдела
оборудования и систем в ИБС тойчивости ИБС автоматиза-
(сетевое оборудование, каналы ции, специ-
связи и прочее) алист отдела автоматизации филиала
Конфигурация технических Да Отдельное Значитель- 3 Минимизирует риск Руководи-
средств соответствует требова- оборудова- ная часть сбоев аппаратного тель отдела
ниям бизнес-процессов банка ние требует оборудова- обеспечения, риск автоматиза-
замены ния не соответствует требованиям бизнес-процессов возникновения задержек в работе персонала банка, вызванных неэффективным функционированием оборудования и каналов связи ции, специалист отдела автоматизации филиала; руководители СП
Аппаратные средства обновля- Да, су- Да, Нет, 3 Руководи-
ются своевременно, согласно ществуют по мере значитель- тель отдела
принятым в банке срокам служ- утвержден- возникающей ная часть автоматиза-
бы на различные виды техники ные сроки необходимости оборудования требует замены ции, специалист отдела автоматизации филиала
Окончание табл. 1
Индикатор Значение индикатора по степеням риска Характеристика индикатора Ответственные за предоставление информации лица
2 1 0 Коэффициент значимости
На серверах и рабочих станциях, работоспособность которых является критически важной для функционирования банка, предусмотрена автономная система электропитания Да, проводится плановая замена источников автоном. питания Да, замена источников питания проводится после выхода из строя Нет 3 Минимизирует риск выхода из строя оборудования ИБС и потери актуальной информации в хранилищах данных
Помещения, в которых расположены серверы ИБС, оборудованы системами климат-контроля, обеспечивающими оптимальную температуру окружающего воздуха для работы серверного и сетевого оборудования Да, используемые системы всегда обеспечивают оптимальной температурой Да, отмечены случаи неспособности обеспечить оптимальную температуру Нет 2
Отделом автоматизации разработаны планы действий сотрудников в случае отказа работы критически важных для работы банка аппаратных средств и каналов связи и меры по восстановлению работоспособности банка Да, учитывают длительные (на день) отключения электроэнергии Рассчитаны только на локальные сбои Нет 3 План содержит алгоритм действий сотрудников в критических случаях, позволяет быстро восстанавливать работоспособность банка
Помещения, в которых расположены серверы ИБС, оборудованы системой противопожарной безопасности и системой охранной сигнализации с тремя рубежами защиты Да Да, отмечаются частые сбои системы или ложные срабатывания Нет 3 Минимизирует риск потери критически важного для деятельности банка оборудования
В банке предусмотрены дополнительные (альтернативные) каналы связи на случай потери работоспособности основных Да Да, не все Нет 2 Обеспечивает непрерывность производственного процесса в случае выхода из строя основных каналов связи
Банк покупает компьютерную технику у дилеров, зарекомендовавших себя на протяжении длительного периода времени с хорошей стороны, по конкурентным ценам Да Да, есть отдельные случаи неудачных закупок Нет 2 Позволяет банку использовать качественное оборудование, оптимальное по соотношению цена/качество с гарантированным квалифицированным сервисным обслуживанием
Проводится тестирование работоспособности нового оборудования Да Да, только критически важного Нет 1 Позволяет выявлять некачественное оборудование до этапа ввода его в эксплуатацию
— индикаторы по защите программного обеспечения ИБС;
— индикаторы по повышению эффективности работы и отказоустойчивости аппаратных средств ИБС.
Для определения общего риска безопасности ИБС риски по группам складываются с равными весовыми долями.
Оценка возможности возникновения риска безопасности ИБС осуществляется по балльно-весовому методу [2]. Предельные значения риска безопасности ИБС даны в табл. 2.
Способы минимизации операционного риска безопасности ИБС. Для минимизации операционного риска безопасности ИБС необходимы:
— анализ состояния индикаторов риска;
— выявление их наиболее худших значений;
— выработка рекомендаций для подразделений банка по устранению имеющихся недостатков.
На основе итоговых значений риска по группам индикаторов риска и общего значения операционного риска безопасности ИБС определяется динамика изменения операционного риска безопасности ИБС по отчетным периодам. При управлении банковскими рисками анализируются причины, повлиявшие на значение риска, в том числе в разрезе подразделений банка, и выносится мотивированное суждение об общем уровне операционного риска безопасности ИБС, сложившемся в банке на отчетную дату.
Таблица 2
Предельные значения риска безопасности информационных банковских систем
Уровень риска Значение, %
Низкий От 0 до 25
Средний От 26 до 50
Высокий От 51 до 100
Итак, была проделана следующая работа:
— рассмотрены особенности управления операционным риском безопасности информационных банковских систем;
— определены перечень индикаторов операционного риска безопасности информационных банковских систем, их характеристики и руководители подразделений банка, ответственные за их предоставление. Установлены коэффициенты значимости и уровни оценки индикаторов;
— описаны способы минимизации операционного риска безопасности информационных банковских систем.
Список литературы
1. Корнейчук В. И. Организация управления операционным риском в кредитной организации // Финансовая аналитика: проблемы и решения. 2011. № 8.
2. Об организации управления операционным риском в кредитных организациях: письмо Банка России от 24.05.2005 № 76-Т.
ИЗДАТЕЛЬСКИЕ УСЛУГИ
Издательским дом «ФИНАНСЫ и КРЕДИТ»
занимается выпуском специализированных финансово-экономических и бухгалтерских журналов, а также
монографий, деловой и учебной литературы Минимальный тираж - 500 экз.
По вопросам, связанным с изданием книг, обращайтесь в отдел монографий
(495) 721-85-75 post@fin-izdat.ru
