К вопросу о выборе показателя оценки степени влияния мер информационной безопасности на экономическую эффективность банка Текст научной статьи по специальности «Экономика и бизнес»

- © А.А. Пчелин, 2015

УДК 658.14

А.А. Пчелин

К ВОПРОСУ О ВЫБОРЕ ПОКАЗАТЕЛЯ ОЦЕНКИ СТЕПЕНИ ВЛИЯНИЯ МЕР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ЭКОНОМИЧЕСКУЮ ЭФФЕКТИВНОСТЬ БАНКА

Разработан и предложен показатель оценки степени влияния мер информационной безопасности на экономическую эффективность деятельности банка. Рассмотрены аспекты, касающиеся оценки влияния принимаемых мер информационной безопасности на эффективность деятельности кредитной организации (банка). Обоснована научно-практическая значимость разработки методологии, позволяющей количественно оценивать роль и значение систем информационной безопасности, важность выбора показателя оценки степени влияния мер информационной безопасности на эффективность деятельности банка.

Обращено внимание на то, что не только меры информационной безопасности влияют на эффективность деятельности банка, но и отношение руководства банка к проблемам информационной безопасности, а также финансовое состояние кредитной организации, напрямую зависящее от эффективности ее деятельности, во-многом определяют качественный уровень систем информационной безопасности. Проанализированы существующие подходы к оценке эффективности систем ИБ. Раскрыты содержание и сущность действующих показателей оценки эффективности банковской деятельности.

Ключевые слова: информационная безопасность, банковская деятельность, эффективность, показатели эффективности, угрозы и риски, финансовая устойчивость, экспертные оценки, финансовые показатели, целевые ориентиры, ключевые показатели эффективности.

В современных условиях устойчивость банковской системы в значительной степени обеспечивается принятием адекватных мер безопасности в информационной сфере. Создание современных систем информационной безопасности (ИБ) в банке является достаточно сложным и затратным мероприятием, включающим реализацию ряда технических, организационных, кадровых и других процедур. В этой связи вопрос, касающийся степени соответствия качественного уровня системы ИБ (СИБ) сложности и масштабу решаемых банком задач, а также возможностей СИБ противостоять соответствующим рискам, приобретает не теоретико-прикладное, а практическое значение, заключающееся в определении

финансовых средств и других ресурсов, выделяемых на развитие СИБ.

Существующие взгляды на проблему оценки эффективности мер информационной безопасности

Несмотря на общее понимание проблем ИБ руководством банковских структур, а также ее широкое освещение в научной литературе вопрос количественной оценки влияния мер ИБ на эффективность деятельности банков практически не нашел освещения. Практических методик, позволяющих установить количественные корреляционные соотношения между затратами на СИБ и вкладом СИБ в экономическую эффективность банка, в настоящее время пока не предложено, что в ряде случаев

затрудняет правильное определение роли и значения СИБ в деятельности банка, особенно при формировании бюджетов развития [1-2].

Особое значение приобретает вопрос разработки соответствующих алгоритмов, математических моделей и методик, позволяющих количественно оценить вклад мер ИБ в эффективность экономической деятельности банка. Важное значение при этом имеет выбор показателя оценки степени влияния мер ИБ на экономическую эффективность банка.

Эффективность мер ИБ должна рассматриваться как с точки зрения экономического аспекта, т.е. непосредственного влияния на экономическую эффективность банка, так и с технического, заключающегося в создании специализированных информационных систем (ИС).

В современных условиях, когда банковская деятельность не может осуществляться без использования ИТ-технологий, экономическая цена ИТ-рисков значительно возрастает. Последствия неэффективного обеспечения ИБ в банковской сфере в США, свидетельствуют, что средний размер ущерба от одной атаки на корпоративную систему для банковского и ИТ-секторов экономики составляет около 0,5 млн долл. США. В связи с этим объем средств, направляемых на защиту информации, должен быть соразмерен масштабу угроз [3].

Согласно данным Национального отделения ФБР США по компьютерным преступлениям, до 90% нападений на корпоративные сети не только не пресекаются, но даже и не обнаруживаются. Так, анализ защищенности около 9 тыс. ИС показал, что в 8 тыс. ИС имели место успешные случаи несанкционированного проникновения. При этом, администраторы только 390 ИС обнаружили атаки и всего лишь 19 сообщили о них [3]. При этом реальный

уровень технической эффективности средств защиты информации (СЗИ) в ряде случаев не является адекватным современным угрозам ИБ. Достаточно вспомнить скандальные публикации, связанные с деятельностью таких специалистов, как Э. Сноуден и Д. Ассанж.

Основными причинами ИТ-инцидентов в банковской сфере являются:

• недооценка руководством банков возможностей системного подхода к методологии формирования СЗИ;

• отсутствие проверенных (сертифицированных) механизмов полного и достоверного подтверждения качества применяемых СЗИ;

• недостатки нормативно-методического обеспечения ИБ, прежде всего в области определения соответствующих показателей и критериев;

• отсутствие практических методик оценки влияния мер ИБ на эффективность деятельности организации.

Представляется, что одними из причин подобного положения являются чрезмерная специализация (специалисты ИБ и специалисты финансового профиля ведут узконаправленные исследования в своих сферах деятельности), а также дефицит соответствующего междисциплинарного взаимодействия. В то же время подобные методики могут быть разработаны только на стыке двух предметных областей - информационной безопасности и экономики банковской деятельности [4-8].

Содержание и сущность показателей эффективности банковской деятельности в контексте применяемых мер информационной безопасности

Ключевое значение при создании методики оценки влияния мер ИБ на эффективность банковской деятельности имеет вопрос выбора показателей эффективности применяемых мер ИБ, которые было бы возможно применять в практической деятельно-

сти банка. Одними из показателей эффективности являются: вероятность наступление или отсутствие события; вероятность достижения результата от требуемого значения; среднеквад-ратическое значение отклонения результатов от требуемого значения; математическое ожидание наступление какого-либо события (результата); дисперсия результата наступления события; риск наступления события [9].

Анализ показателей свидетельствует, что их применение в сфере ИБ весьма затруднительно, поскольку они носят теоретический характер и не способны оценить вклад мер ИБ в эффективность банковских бизнес-процессов. Таким образом, актуальным является решение задачи по «проецированию» показателей эффективности ИБ на показатели эффективности деятельности банка с целью установление в каждом банковском показателе эффективности долю, определяемую состоянием ИБ.

В связи с этим, разработка показателя оценки степени влияния мер ИБ на экономическую эффективность банка, должна учитывать требования соответствующих нормативных документов, основным из которых является утвержденная Центробанком России «Методика анализа финансового

состояния банка» [10], содержащая показатели оценки эффективности банковской деятельности (см. табл. 1). Предлагаемые указанной методикой подходы базируются на оценке рисков и нацелены на проведение комплексного анализа финансового состояния банка на основе отчетности, а также иных источников официальной информации о его деятельности.

Показатели эффективности кредитных организаций РФ измеряются в абсолютных денежных единицах (как правило, в руб.), а также в относительных единицах (доли, проценты). Соответственно влияние мер ИБ должно отражать измерение того или иного показателя вследствие применения (неприменения) мер ИБ. Наиболее наглядным будет изменение (снижение) соответствующего показателя банковской эффективности вследствие нанесения ущерба ввиду непринятия необходимых мер ИБ.

Такой подход является достаточно понятным для менеджмента банка, если будет определено, что, к примеру, показатели ликвидности на 15%, а показатели рентабельности на 25% зависят от применяемых мер ИБ.

На первый взгляд, достаточно сложно связать влияние мер ИБ с такими показателями, как, например, размер

Таблица 1

Основные показателей эффективности банка

№ п.п. Основные показатели, характеризующие экономическую эффективность деятельности банка

1 Показатели основных активов/пассивов (балансовый отчет)

2 Показатели коммерческой эффективности (рентабельности)

3 Показатели достаточности капитала

4 Показатели кредитного риска

5 Показатели рыночного риска

6 Показатели риска ликвидности

7 Показатели эффективности бизнес-подразделений

8 Показатели эффективности обслуживания клиентов

9 Показатели эффективности используемых информационных технологий

основных активов банка. В то же время, можно выделить из организационной структуры банка подразделения, основной функционал которых будет заключаться в поддержании необходимого уровня банковских активов. Одним из таких подразделений является департамент операций на финансовых рынках. В ходе анализа ИТ-инфраструктуры данного департамента возможно выделить ключевые элементы, которые подвержены соответствующим рискам ИБ. Таким образом, представляется возможным оценить ущерб, наносимый деятельности департамента вследствие невнимания к мерам ИБ. Поскольку деятельность этого департамента напрямую влияет на соответствующие показатели эффективности банка, возможно опосредованно оценить влияние мер ИБ на такие показатели, как коэффициенты качества активов и пассивов.

Аналогичный анализ деятельности других банковских подразделений позволит выявить корреляционные связи мер ИБ с другими показателями: рентабельности, ликвидности, достаточности капитала, кредитного и рыночного рисков, показатели эффективности обслуживания клиентов и др.

Такими подразделениями, в частности могут быть: финансовый департамент, департаменты маркетинга и управления филиальной сетью, департаменты кредитования, факторинга, операционный департамент, департамент управления рисками и др.

1. Показатели основных активов (балансовый отчет)

Анализ показателей проводится в целях выявления рисков, обусловленных характером активов, пассивов и забалансовых позиций банка.

Коэффициент качества активов

Л

Л

банк использует ресурсы для получе-

К = - показывает, в какой мере

ния дохода (Ар - работающие активы, А - общая сумма активов).

Коэффициент качества пассивов

К =

(СО - ов)

СО

характеризует ста-

бильность ресурсной базы, которую обеспечивают долгосрочные обязательства (СО - суммарные обязательства, ОВ - обязательства до востребования).

2. Показатели коммерческой эффективности (рентабельности)

Анализ проводится в целях определения эффективности работы банка во временном периоде, оценки качества управления, в том числе способности управленческого персонала банка планировать динамику развития и существовать в конкурентной среде, обеспечивая контроль над издержками.

Коэффициент рентабельности П

К =-

СО

- характеризует эффектив-

ность использования банком привлеченных ресурсов (П - прибыль банка). Коэффициент рентабельности

К4 = -р- - показывает размер прибыли

по отношению к валюте баланса или эффективность использования ресурсов.

3. Показатели достаточности капитала

Анализ достаточности собственных средств (капитала) проводится в целях выявления степени устойчивости капитальной базы банка и достаточности капитала для покрытия потерь от принятых банками рисков. Коэффициент достаточности

К =

К_ СО

- показывает отношение ка-

питала банка (К) к суммарным обязательствам (СО), т.е. масштаб операций банка.

Коэффициент достаточности (К - УФ)

К6 = --- - показывает часть ка-

6 К

питала, сформированного за счет прибыли (УФ - уставной фонд).

4. Показатели риска ликвидности Анализ показателей проводится в целях определения риска недостатка средств для выполнения принятых на себя обязательств

Коэффициент мгновенной ликвидности ПА

K=

OB

- показывает, насколько банк

использует клиентские деньги в качестве кредитных ресурсов (ЛА -ликвидные активы, ОВ - обязательства до востребования).

Коэффициент ликвидности

K=

ПА А

- показывает долю ликвид-

ных активов в общей сумме активов (А) и характеризует масштаб рисков банка.

5. Показатели кредитного риска

Анализ показателей проводится в

целях определения риска несения банком финансовых потерь вследствие неисполнения контрагентом обязательств перед банком, в том числе вследствие возможного неполучения средств в части основного долга и платы за пользование средствами банка.

6. Показатели рыночного риска

Анализ показателей проводится в

целях определения состава рыночного риска и его влияния на капитал банка.

7. Показатели эффективности информационных технологий

Существенное влияние на эффективность банков могут оказать ИТ-технологии, реализуемые в ERP1 и CRM2-системах, которые позволяют эффективнее управлять ресурсами банка.

8. Показатели эффективности деятельности бизнес-подразделений

Эффективность деятельности бизнес-подразделений оценивается аналогично оценке эффективности банка. В этой связи замысел построения методики оценки влияния мер ИБ на эффективность кредитной организации по различным показателям заключается в ее опосредованной оценке - через оценку эффективности деятельности отдельных банковских подразделений.

Выбор показателя оценки степени влияния мер информационной безопасности на эффективность деятельности банка

Как следует из анализа существующих методов оценки эффективности банковской деятельности ряд показателей (кредитный риск, рыночный риск, риск ликвидности) ориентируется на возможный ущерб, наносимый банку. В других группах показателей (основные активы, коммерческая деятельность, достаточность капитала) также содержатся частные показатели, характеризующие степень нанесения ущерба в зависимости от наносимых угроз в той или иной сфере.

В этой связи в качестве показателя оценки степени влияния мер ИБ на экономическую эффективность кредитной организации представляется целесообразным принять математическое ожидание доли ущерба - т.е. среднее значение случайной величины ущерба, наносимого эффективности деятельности банка вследствие реализации угроз ИБ.

Математическая интерпретация показателя для ущерба, описываемого непрерывной функцией распределения ущерба FX(x), имеет вид:

да

М [Х] = | хёГх (х); х е Я ,

1 ERP (Enterprise Resource Planning) - система планирования ресурсов предприятия.

2 CRM (Customer Relationship Management) - система управления взаимоотношений с клиентами.

Частные показатели / Критерий (условия) выставления оценки частного показателя

0 Эффективность реализации функции не зависит от ИБ (риски отсутствуют)

0,25 Невнимание к мерам ИБ снижает эффективность функции незначительно (на 25%)

0,5 Невнимание к мерам ИБ снижает эффективность функции существенно (на 50%)

0,75 Невнимание к мерам ИБ снижает эффективность функции з начительно (на 75%)

1 Невнимание к мерам ИБ может полностью заблокировать реализацию функции (на 100%)

где Я - вероятностное пространство ущерба.

Математическая интерпретация показателя ущерба, описываемого дискретной функцией распределения случайной величины Х, имеющей рас-

да

пределение: Р (X = х,) = р1., ^р1. = 1

¡=1

выглядит следующим образом:

да

М [ X ]=^х1р1

¡=1

На основе выбранного показателя становится возможным произвести количественную оценку степени влияния мер ИБ на эффективность деятельности банка. То есть, фактически производится оценка ущерба, который может быть нанесен банку вследствие непринятия мер ИБ.

Учитывая, что деятельность банка носит сложную структуру и состоит из ряда бизнес-процессов, реализуемых отдельными банковскими подразделениями необходимо на первом этапе произвести соответствующую декомпозицию (дифференцирование) - то есть разбить совокупную (интегральную) деятельность банка на отдельные функции и оценить возможные единичные ущербы, наносимые им, вследствие несоблюдения мер ИБ. Затем, на втором этапе производится свертка единичных ущербов в интегральный ущерб всех деятельности банка.

Для реализации обобщенного алгоритма необходимо определить частные показатели влияния мер ИБ на эффективность реализации отдельных банковских функций - / (далее -частный показатель мер ИБ - /).

Принимается, что «идеальная» эффективность реализации банковской функции соответствует - 1 (100%). В случае невыполнения требований ИБ, а также наступления рисковых событий эффективность реализации функции может быть снижена на определенное числовое значение (на 25%, 50%, 70%) вплоть до полной блокады бизнес-процесса (100%, т.е. полное прекращение реализации функции). Значения частного показатель мер ИБ (/) соответственно будут составлять 0; 0,25; 0,5; 0,75; 1,0.

Частные показатели степени влияния мер ИБ на эффективность реализации банковских функций сведены в табл. 2.

Количественные значения частных показателей; в принципе; могут быть и другими (0,1; 0,2; 0,3 и др.). Однако; целесообразно использовать именно предложенные числовые значения 0; 0,25; 0,5; 0,75; 1,0; поскольку они соответствуют утвержденной ЦБ РФ Методике оценки соответствия информационной безопасности организаций банковской системы РФ требованиям СТО БР ИББС-1.0-2010.

Заключение

На основе предложенного показателя оценки степени влияния мер ИБ на экономическую эффективность банка становится возможным создать методику, позволяющую определять долю снижения эффективности деятельности банка за счет нанесения ущерба, возможного при реализации рисков ИБ. Количественная оценка эффек

1. Гамза В.А., Ткачук И.Б. Концепция банковской безопасности: структура и содержание // Аналитический банковский журнал. - 2002. - № 5.

2. Голов А. Обеспечение информационной безопасности современного банка // CIO http://offline.cio-world.ru/2006/49/273693/

3. Баутов А. Эффективность защиты информации // Открытые системы. - 2003. -№ 7-8.

4. Бузинов А.А. Модель и методы прогнозирования угроз информационной безопасности на основе цикличной динамики природной среды. Дисс. на соискание ученой степени канд. технич. наук. - СПб., 2004. -182 с.

5. Парахин В.Н. Разработка метода оценивания эффективности систем защиты информации. Дисс. на соискание ученой степени канд. технич. - М.: ЗАО «Компания ТрансТелеКом», 1999. - 110 с.

КОРОТКО ОБ АВТОРЕ

тивности мер ИБ позволяет также повысить качества анализа, касающегося роли и значения СИБ в деятельности банка, ее влияния на различные аспекты экономической деятельности кредитной организации (активы, рентабельность, ликвидность и др.), а также готовить соответствующие управленческие решения.

_ СПИСОК ЛИТЕРАТУРЫ

6. Росс В.Г. Модели экономической оценки информационной безопасности рынка компьютерных технологий. Дисс. на соискание ученой степени канд. экономич. наук. -М.: ВНИИПВТИ, 2004. - 128 с.

7. Савин А. С. Методы обеспечения информационной безопасности предприятия. Дисс. на соискание ученой степени канд. экономич. наук. - М.: РЭУ им. Г.В. Плеханова, 2005. - 134 с.

8. Тихонов Д.В. Модели оценки эффективности систем информационной безопасности. Дисс. на соискание ученой степени канд. экономич. наук.- СПб.: ИНЖЭКОН, 2009. - 124 с.

9. Щуровская А.Ю., Унтилов А.М. Критерии и показатели эффективности защиты информации. - 2002.

10. Методика анализа финансового состояния банка. Утверждена заместителем Председателя Банка России Горюно-вым В.И. 04.09.2000. ЕШ

Пчелин Алексей Александрович - начальник отдела, ОАО «Акционерный банк «Балтика»; соискатель кафедры, Московский государственный индустриальный университет, e-mail: aapchelin@yandex.ru.

UDC 658.14

SELECTING ESTIMATION CRITERION FOR INFLUENCE OF INFORMATION SECURITY MEASURES ON ECONOMICAL EFFECTIVENESS OF A BANK

Pchelin A.A., Head of Department, Baltica Bank JSC;

Applicant of Chair, Moscow State Industrial University, Moscow, Russia, e-mail: aapchelin@yandex.ru.

The estimation criterion is developed and offered for influence exerted by information security measures on economical effectiveness of a bank. The considered aspects are concerned with assessment of influence of undertaken information security measures on operating efficiency of a financial establishment (bank). The theoretical and practical importance of the procedure allowing quantitative evaluation of role and weight of information security systems as well as the significance of the criterion for influence of information security measures on bank performance is illustrated.

It is emphasized that it is not only the information security measures the influence performance of a bank, but also the attitude of the bank management to the information security problems and the financial position of the bank, directly related with the bank performance, in many ways condition the level of quality of the bank information security. The studies involve the current approaches to estimating efficiency of information security systems. The content and essence of the current criteria of banking activity efficiency are exposed.

Key words: information security, banking activity, efficiency, measures of efficiency, hazards and risks, financial stability, expert appraisements, finance indexation, targets, key performance indicators.

REFERENCES

1. Gamza V.A., Tkachuk I.B. Analiticheskii bankovskii zhurnal. 2002, no 5.

2. Golov A. Obespechenie informatsionnoi bezopasnosti sovremennogo banka. CIO available at: http:// offline.cio-world.ru/2006/49/273693/

3. Bautov A. Otkrytye sistemy. 2003, no 7-8.

4. Buzinov A.A. Model' i metody prognozirovaniya ugroz informatsionnoi bezopasnosti na osnove tsiklich-noi dinamiki prirodnoi sredy (Model and method of forecasting of information security hazards based on cyclic dynamic of natural environment), Candidate's thesis, Saint-Petersburg, 2004, 182 p.

5. Parakhin V.N. Razrabotka metoda otsenivaniya effektivnosti sistem zashchity informatsii (Development of assessment method for information security efficiency), Candidate's thesis, Moscow, ZAO «Kompaniya TransTeleKom», 1999, 110 p.

6. Ross V.G. Modeli ekonomicheskoi otsenki informatsionnoi bezopasnosti rynka komp'yuternykh tekh-nologii (Models of economic appraisal of information security on computer technology market), Candidate's thesis, Moscow, VNIIPVTI, 2004, 128 p.

7. Savin A.S. Metody obespecheniya informatsionnoi bezopasnosti predpriyatiya (Information security methods at a plant), Candidate's thesis, Moscow, REU im. G.V. Plekhanova, 2005, 134 p.

8. Tikhonov D.V. Modeli otsenki effektivnosti sistem informatsionnoi bezopasnosti (Models of assessment of information security efficiency), Candidate's thesis, Saint-Petersburg, INZhEKON, 2009, 124 p.

9. Shchurovskaya A.Yu., Untilov A.M. Kriterii i pokazateli effektivnosti zashchity informatsii (Criteria and indicators of information security efficiency), 2002.

10. Metodika analiza finansovogo sostoyaniya banka. Utverzhdena zamestitelem Predsedatelya Banka Rossii Goryunovym V.I. 04.09.2000.

A

_ ОТДЕЛЬНЫЕ СТАТЬИ

ГОРНОГО ИНФОРМАЦИОННО-АНАЛИТИЧЕСКОГО БЮЛЛЕТЕНЯ

(ПРЕПРИНТ)

УСЛОВИЯ УСТОЙЧИВОГО ФУНКЦИОНИРОВАНИЯ МИНЕРАЛЬНО-СЫРЬЕВОГО КОМПЛЕКСА РОССИИ. ВЫПУСК 2

Трубецкой Климент Николаевич1 - академик РАН, ИПКОН РАН, Каплунов Давид Родионович1 - чл.-корр. РАН, ИПКОН РАН,

Рыльникова Марина Владимировна1 - д.т.н., профессор, зав. отделом, e-mail: rylnikova@mail.ru, Рыльников Алексей Геннадьевич1 - к.т.н., e-mail: rylnikov@mail.ru,

Олизаренко Владимир Владимирович2 - к.т.н., доцент, профессор, e-mail: volizarenko@mail.ru, Емельяненко Елена Алексеевна2 - к.т.н., доцент, e-mail: еmv31@mail.ru, Абдрахманов Рушан Илдарович2,

Галченко Юрий Павлович1 - д.т.н., профессор, e-mail: schtrek33@mail.ru, Радченко Дмитрий Николаевич1 - к.т.н., доцент, e-mail: radchenko_dn@ipkonran.ru, Савич Игорь Николаевич3 - д.т.н., профессор,

Мустафин Вадим Игоревич3 - преподаватель, м.н.с., e-mail: mustafin_vi@mail.ru,

Романов Владислав Алексеевич3 - преподаватель, м.н.с.,

Сухов Дмитрий Игоревич3 - заведующий учебной лабораторией, м.н.с.,

Еременко Виталий Андреевич1 - д.т.н., ведущий научный сотрудник, e-mail: eremenko@ngs.ru,

Кондратенко Андрей Сергеевич4 - к.т.н., ученый секретарь, e-mail: kondratenkoas@yandex.ru,

Лавриненко Анатолий Афанасьевич1 - д.т.н., зав. лабораторией, e-mail: lavrin_a@mail.ru,

Гольберг Григорий Юрьевич1 - к.т.н., с.н.с., e-mail: gr_yu_g@mail.ru,