- © А.А. Пчелин, 2015
УДК 658.14
А.А. Пчелин
ЭФФЕКТИВНОСТЬ ДЕЯТЕЛЬНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ (БАНКА) В КОНТЕКСТЕ ПРИНИМАЕМЫХ МЕР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Обосновано наличие корреляционной связи между эффективностью деятельности кредитной организации (банка) и принимаемыми в нем мерами информационной безопасности. Проанализированы существующие методы и способы оценки эффективности деятельности кредитных организаций и систем информационной безопасности, требования нормативных документов в части обеспечения информационной безопасности. Показана научно-практическая значимость необходимости разработки методик, позволяющих количественно оценивать роль и значение систем информационной безопасности. Определен перечень основных задач для создания подобных методик. Показана востребованность методик для специалистов информационной безопасности и менеджмента банка. Подготовлены предложения по использованию инструментария ключевых показателей эффективности для совершенствования организации взаимодействия между операционными подразделениями и подразделениями информационной безопасности. Ключевые слова: информационная безопасность, банковская деятельность, эффективность, показатели эффективности, угрозы и риски, финансовая устойчивость, экспертные оценки, финансовые показатели, целевые ориентиры, ключевые показатели эффективности.
Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность РФ существенным образом зависит от уровня обеспечения информационной безопасности (ИБ). Под ИБ РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. В современных условиях развития РФ ключевое значение приобретают проблемы экономической безопасности. В интервью немецкому изданию Handelsblatt от 4.12.2014 г. глава ВТБ-банка А. Костин заявил, что российская банковская система
является наиболее уязвимым звеном для западных санкций. Устойчивость национальной экономической системы в значительной мере базируется на устойчивости банковской системы, в том числе в информационной сфере [1, 2].
Предназначение систем защиты информации в банке. Основные показатели эффективности подобных систем
Основной целью системы обеспечения безопасности кредитной организации является предотвращение ущерба ее интересам за счет недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения информации. Вопросы обеспечения ИБ в кредитных орга-
низациях регламентируются, прежде всего, такими нормативными документами Центрального банка РФ (ЦБ РФ), как Приказ ЦБ РФ от 06 марта 2006 года № ОД-103 «О вводе в действие «Основных направлений политики информационной безопасности ЦБ РФ», Письмо ЦБ РФ от 23 июня 2004 года № 70-Т «О типичных банковских рисках».
В то же время, эти документы знакомы, прежде всего, сотрудникам специальных подразделений безопасности, а не менеджменту банка, отвечающему за его финансовое состояние. Это, в частности, является одной из причин существования определенного предметно-понятийного разрыва в отношениях между операционными подразделениями банка и подразделениями ИБ, каждое из которых отвечает за свой участок работы, не осознавая в полной мере, что финансовая устойчивость банка достигается согласованными действиями тех и других специалистов.
Вопрос оценки количественных соотношений, характеризующих зависимость эффективности банка и принимаемых мер ИБ представляет собой актуальную научную задачу, что отмечается, в частности, в работах А.С. Згурского и А.А. Шестерина
[3, 4], в которых предложены меры по совершенствованию систем информационной безопасности (СИБ), формированию системы показателей эффективности СИБ банка.
На рис. 1 представлены основные показатели эффективности СИБ банка, которые наиболее часто встречаются в научной литературе.
Анализ существующих показателей свидетельствует, что они не в полной мере подходят для решения задачи определения влияния мер ИБ на эффективность кредитной организации. Так, «Вероятность не преодоления СИБ нарушителем» является обобщенным показателем СИБ и может применяться только в специализированных вероятностных моделях. Использование показателя для оценки влияния мер ИБ на эффективность деятельности банка практически не представляется возможным. Показатель «Количество обнаруженных и распознанных угроз» также характеризует общую эффективность СИБ, но напрямую не связан с операционной деятельностью банка. Показатель «Объем инвестиций на модернизацию базовой СИБ» характеризует материальные затраты, однако он не дает представления о повышении при этом эффективности деятельности банка.
Рис. 1. Основные показатели эффективности СИБ банка
Группа показателей экономической эффективности СИБ (коэффициент эффективности капитальных вложений в СИБ, экономический эффект, получаемый за счет СИБ и др.) отражает эффективность вложения средств в обеспечение безопасности и могут быть рассчитаны математическими методами. Например, интегральный стоимостной эквивалент вероятных годовых потерь СИБ вследствие реализации угроз Е определяется формулой:
Е = = = , (1)
и и а и а ]
где Е . - стоимостной эквивалент по-
иа]
тери свойства ) ресурсом а вследствие воздействия угрозы и; Еиа - потенциальные потери ресурса а вследствие воздействия угрозы и; Еи - деструктивный потенциал угрозы и.
Стоимостной эквивалент вероятных подовых потерь СИБ Е1 вследствие реализации угроз при использования средств защиты Z равен:
Е1 = ц{(1 - ) ■ (Р -ЕЕЕи11 (2)
г и I ^ а ) )\
где Р - вероятность проявления угрозы и при условии реализации мер ИБ г; Ри - вероятность проявления угрозы и без противодействия.
Величина вероятных затрат потребных для восстановления СИБ может быть рассчитана по формуле:
™ = |И(1 - Рги ) ■ (Ри ]} ■ Т
I и г а > ) (3)
где ^а] - вероятные годовые затраты, необходимые для восстановления первоначального состояния нормальной работы ;'-го свойства СИБ в течение года функционирования СИБ; Т - жизненный цикл СИБ.
В то же время, формульные расчеты [5] сложно реализовать в реальных условиях функционирования СИБ. В них не предусматривается оценка эффективности различных подсистем
СИБ, предпринимается попытка оценить стоимость отдельных подсистем единой методикой расчета.
Анализ других показателей (рис. 1), таких как «Коэффициент предотвращения угроз из множества потенциальных угроз» также свидетельствует, что они не вполне подходят для решения задачи оценки влияния принимаемых мер ИБ на эффективность банковской деятельности. В связи с этим, методология подобной оценки должна создаваться на основе формата оценка эффективности деятельности самого банка.
Способы оценки эффективности банковской деятельности и влияние на нее мер информационной безопасности
Оценка эффективности банковской деятельности является одной из частных задач в общей теории экономического анализа. Вопросы методологии экономического анализа деятельности банков, обоснования необходимости использования абсолютных и относительных показателей эффективности изложены в работе Г.С. Пановой [6].
К абсолютным показателям относятся: валюта баланса; активы; прибыль до налогов; депозиты частных лиц; вложения в государственные ценные бумаги; средства в банках и другие показатели.
Примерами относительных показателей могут быть: достаточность капитала, качество активов, уровень менеджмента, прибыльность, ликвидность и другие показатели.
Классификация основных способов оценки эффективности банковской деятельности представлена на рис. 2.
Как показано на графической схеме, эффективность банковской деятельности зависит в первую очередь от финансовых результатов - затрат, прибыли и дохода банка. Состояние
Рис. 2. Классификация основных способов оценки эффективности банковской деятельности
ИБ кредитной организации в данной схеме в прямой постановке не фигурирует. Однако, отдельные составляющие банковской эффективности во-многом зависят от мер ИБ. Например, на эффективность реализации банковских продуктов (банкоматы, системы денежных переводов и др.) значительное влияние оказывает уровень ИБ. Техническую эффективность в значительной мере определяют уровень и состояние автоматизированной банковской системы (АБС).
Инвестиционная эффективность также имеет самое непосредственное отношение к ИБ, поскольку затраты на создание и внедрение СИБ являются инвестициями, которые направлены на уменьшение потерь от действия дестабилизирующих факторов. В случае грубых нарушений конфиденциальности, ущерб может быть сопоставим со
стоимостью активов кредитной организации. В связи с этим, в расчетных методиках экономической эффективности СИБ должна предусматриваться компенсация затрат на восстановление информационных ресурсов.
Основу одной из подобных методик составляет математический аппарат, базирующийся на вероятностных и стоимостных показателях:
• вероятность потери ресурса в выбранном интервале времени, которая характеризуется вероятностью реализации соответствующей угрозы ИБ;
• стоимость потери ресурса (величина убытков).
Первый показатель может быть получен экспертным путем, а второй -рассчитан по формуле:
С = С, + с
(4)
где С. - стоимость потери ресурса; С - стоимость прямых потерь; C -стоимость затрат на ликвидацию последствий.
На основе вероятностных и стоимостных показателей может быть определена величина риска R, равная:
* = (С +С)
(5)
где п - количество анализируемых угроз; P - вероятность угрозы в определенном интервале времени.
Однако, в целом, данный метод оценки эффективности СИБ [7] имеет теоретическую значимость, поскольку не позволяет соотнести эффективность деятельность СИБ и экономические результаты организации.
Методология оценки эффективности банковской деятельности в контексте принимаемых мер информационной безопасности
Методы анализа банковской эффективности условно делятся на две группы, носящие равноправный характер: подход, основанный на фи-
нансовых коэффициентах, традиционный для оценки результатов банковской деятельности; эконометрический подход, используемый, как правило, в академических работах [8].
Классификация методов оценки эффективности банковской деятельности представлена на рис. 3.
Как показано на графической схеме, методы оценки подразделяются на две группы - методы финансовых коэффициентов и эконометрические методы. Учитывая практическую направленность задачи оценки влияния мер ИБ на эффективность деятельности банка, использование экономе-трических методов, имеющих теоретическую направленность (например, метод стохастической границы), достаточно сложно.
Одними из инструментов, позволяющим оценивать эффективность различных процессов и явлений, являются теория вероятностей и математическая статистика. В научной литературе, в частности, приведены методики расчета убытков от вирусных инцидентов. Однако использование этих методик в
¡=1
Рис. 3. Классификация методов оценки эффективности банковской деятельности
307
практической деятельности затруднено, поскольку они позволяют определять ущерб, наносимый вредоносными программами, вероятность применения которых меняется во времени [8, 9].
В большей мере в практических целях может быть использован метод финансовых коэффициентов. При этом важнейшими промежуточными задачами являются установление корреляционных связей между состоянием ИБ и состоянием в отдельных сферах банковской деятельность - доходность, ликвидность рентабельность, использование активов и др.
Обратной стороной дохода является ущерб бизнесу, который может быть нанесен в результате невнимания к мерам ИБ. В этой связи показатель эффективности СИБ в методике оценки эффективности СИБ должен формироваться на основе понятия «ущерб». Например, математическое ожидание величины ущерба, наносимого эффективности деятельности банка вследствие реализации угроз ИБ.
Основные требования к методике оценки степени влияния мер информационной безопасности на эффективность деятельности кредитной организации
Для оценки влияния принимаемых мер ИБ на эффективность деятельности кредитной организации необходимо не только создать методику оценки состояния ИБ банка, но и связать ее с конкретными результатами финансово-экономической деятельности банка, подверженной воздействию многофакторных рисков, в том числе ИБ.
На этапе целеполагания, включающего постановку задач, зачастую вскрывается системное противоречие, заключающееся в том, что топ-менеджмент банка желает получить высокий уровень ИБ за возможно меньшие затраты, тогда как руководство подразделений ИБ считает, что
нельзя экономить на безопасности. Оптимальный консенсус не всегда достигается в силу причин, как объективного, так и субъективного характера.
Важное значение при разработке методики оценки эффективности мер ИБ должно уделяться соблюдению требований нормативных документов, на основании которых разрабатываются целевые критерии и показатели эффективности ИБ. К подобным документам, в первую очередь относятся ГОСТ Р 51188-98 «Защита информации. Испытание программных средств на наличие компьютерных вирусов» и Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение ИБ банковской системы РФ. Общие положения».
Методика оценки эффективности ИБ должна также по мере возможности учитывать человеческий фактор, то есть специфику функционирования СИБ как человеко-машинной системы. Поэтому минимизация субъективной волатильности может быть компенсирована достаточным экспертным потенциалом. О необходимости привлечения разумного количества экспертов указывается также в Стандарте Банка России СТО БР ИББС-1.0-2010 «Методика оценки соответствия ИБ организаций банковской системы РФ требованиям СТО БР ИББС-1.0-2010».
В российских банках широко используются ключевые показатели эффективности (KPI - key performance indicators). KPI - это показатели, по которым оцениваются результативность и эффективность действий персонала, процессов и функций управления, эффективность производственной, технологической и другой деятельности [10].
Примерами целевых КР1 являются: построение эффективного розничного бизнеса, создание продуктового
ряда, захват доли рынка; запуск новых кредитных продуктов; стандартизация и приведение в порядок всех технологий продуктового ряда; автоматизация банковских процессов.
Финансовыми КР1 могут быть: выполнение бизнес-плана по объемам, операциям, продажам, плановым количественным показателям; выполнение плана по финансовому результату; доходность; выполнение плана по размеру кредитного портфеля; использование фонда оплаты труда; выполнение норматива по расходам; соблюдение бюджета.
Для решения задачи по установлению степени влияния мер ИБ на эффективность банка необходимо постоянное сопоставление текущего банковского процесса, используемых информационных технологий и соответствующих мер ИБ. В этой связи представляется целесообразным за-
кладывать в КР1 менеджмента банка -вопросы ИБ, а в КР1 специалистов ИБ и ИТ - вопросы операционной банковской деятельности.
Заключение
Применяемые меры ИБ оказывают существенное влияние на эффективность деятельности кредитной организации. Для количественной оценки подобного влияния необходима разработка соответствующей методики. С использованием подобной методики, а также задействованием инструментария КР1 в качестве элемента обратной связи между операционными подразделениями банка и подразделениями безопасности, возможно выявить скрытые резервы той или иной кредитной организации, заложенных в потенциале комплекса мер ИБ, обнаружить дополнительные возможности повышения эффективности банка.
1. Федеральный закон «О безопасности» № 390-Ф3 от 28.12.2010.
2. Федеральный закон «О банках и банковской деятельности» № 395-1 от 02.12.1990.
3. Згурский А.С. Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций РФ. Дисс. на соискание ученой степени канд. технич. наук. - СПб.: Университет ИТМО, 2011. -104 с.
4. Шестерин А.А. Совершенствование системы обеспечения информационной безопасности как составляющей экономической безопасности кредитных организаций. Дисс. на соискание ученой степени канд. эконо-мич. наук. - М.: МАЭП, 2010. - 153 с.
5. Гусева Н.Н. Исследование и разработка методико-математического аппарата оценки экономической эффективности функционирования системы обеспечения безопасности корпоративной информационной сети.
КОРОТКО ОБ АВТОРЕ_
_ СПИСОК ЛИТЕРАТУРЫ
Дисс. на соискание ученой степени канд. экономич. наук. - М.: МЭСИ, 2002. - 137 с.
6. Панова Г.С. Анализ финансового состояния коммерческого банка. - М., 2006.
7. Малышев C.Л. Модели и организация новых образов единых технологий в системе дистанционного обучения экономического вуза. Дисс. на соискание ученой степени канд. технич. наук. - М.: МЭСИ, 2000. - 128 с.
8. Бешелев С.Д., Гурвич Р.Г. Математи-ко-статистические методы экспертных оценок. - М.: Статистика, 1980.
9. Минаев В.А., Карпычев В.Ю. Экономические аспекты информационной безопасности // Вестник связи. - 2003. - № 8.
10. Лобанова Т.Н. Система ключевых показателей эффективности деятельности банка // Управление в кредитной организации. - 2008 - № 4. ШрУ/шшш.ргс^оЬапЫг. com.ua/hr/analitika/sistemaklyuchevyhpokaz ateleyeffektivnostideyatelnostibanka ЕПЗ
Пчелин Алексей Александрович - начальник отдела, ОАО «Акционерный банк «Балтика»; соискатель кафедры, Московский государственный индустриальный университет, e-mail: [email protected].
UDC 658.14
OPERATING EFFICIENCY OF FINANCIAL ESTABLISHMENT (BANK) IN THE CONTEXT OF UNDERTAKEN INFORMATION SECURITY MEASURES
Pchelin A.A., Head of Department, Baltica Bank JSC;
Applicant of Chair, Moscow State Industrial University, Moscow, Russia,
e-mail: [email protected].
The correlation is validated between the operating efficiency of a financial establishment (bank) and the information security measures it undertakes. The analysis covers the current methods and techniques of estimating operational effect and information security systems of financial establishments, and regulatory requirements posed on information security. The author illustrates scientific and practical importance of procedures for quantitative evaluation of role and weight of information security systems. The main objectives on the way of developing such procedures are identified. It is shown that such procedures are called for by specialists of information security department and bank management. The author has prepared proposals on application of a tool composed of key performance criteria to improvement of interaction between operational departments and information security office.
Key words: information security, banking activities, efficiency, measures of efficiency, hazards and risks, financial stability, expert appraisements, finance indexation, targets, key performance indicators.
REFERENCES
1. Federal'nyi zakon «O bezopasnosti» no 390-FZ ot 28.12.2010 (Federal Law on Safety no 390-FZ from 28.12.2010).
2. Federal'nyi zakon «O bankakh i bankovskoi deyatel'nosti» no 395-1 ot 02.12.1990. (Federal Law on Banks and Banking Activity no 395-1 from 02.12.1990).
3. Zgurskii A.S. Metod i model' formirovaniya sistemy obespecheniya informatsionnoi bezopasnosti tsen-tra obrabotki dannykh kreditnykh organizatsii RF (Method and model of arrangement of information security system for the RF Financial Establishments Data Processing Center), Candidate's thesis, Saint-Petersburg, University ITMO, 2011, 104 p.
4. Shesterin A.A. Sovershenstvovanie sistemy obespecheniya informatsionnoi bezopasnosti kak sostavly-ayushchei ekonomicheskoi bezopasnosti kreditnykh organizatsii (Improvement of information security system as an element of economic safety of financial establishments), Candidate's thesis, Moscow, MAEP, 2010,
5. Guseva N.N. Issledovanie i razrabotka metodiko-matematicheskogo apparata otsenki ekonomicheskoi effektivnosti funktsionirovaniya sistemy obespecheniya bezopasnosti korporativnoi informatsionnoi seti (Analysis and development of methodology-mathematical tool for evaluating economical efficiency of corporate information network security system), Candidate's thesis, Moscow, MESI, 2002, 137 p.
6. Guseva N.N. Issledovanie i razrabotka metodiko-matematicheskogo apparata otsenki ekonomicheskoi effektivnosti funktsionirovaniya sistemy obespecheniya bezopasnosti korporativnoi informatsionnoi seti (Analysis of financial position of a commercial bank), Moscow, 2006.
7. Malyshev C.L. Modeli i organizatsiya novykh obrazov edinykh tekhnologii v sisteme distantsionnogo obucheniya ekonomicheskogo vuza (Models and new vision of distance education technologies at universities for economics), Candidate's thesis, Moscow, MESI, 2000, 128 p.
8. Beshelev S.D., Gurvich R.G. Matematiko-statisticheskie metody ekspertnykh otsenok (Mathematical-statistical approaches to expert appraisements), Moscow, Statistika, 1980.
9. Minaev V.A., Karpychev V.Yu. Vestnik svyazi. 2003, no 8.
10. Lobanova T.N. Upravlenie v kreditnoi organizatsii, 2008, no 4, available at: http://www.prosto-bankir.com.ua/hr/analitika/sistemaklyuchevyhpokazateleyeffektivnostideyatelnostibanka
153 p.