CC BY
91
УДК 336.7
Волощук В.Р. (vit_kp@ukr.net)
керуючий Камянець-Подгльським вгддгленням ПАТ «Брокбгзнесбанк»®
УПРАВЛ1ННЯ РИЗИКАМИ 1НФ0РМАЦ1ЙН01БЕЗПЕКИ
Дослгджено суть б1знес-процесу/бантвсъких продуктгв та структуру, взаемозв 'язки i взаемодгю загроз, визначено oco6nueocmi системы i запропоновано модель упраелшня шформацшними ризиками б1знес-процеЫв/банювсъких продуктгв.
Ключое1 слова: ризики, процеси, банки, тформащя, упраелшня.
Постановка проблеми полягае у виршенш проблем теоретико-методолопчних основ i практики управлшня ризиками шформацшно! безпеки б1знес-процес1в/банювських продукта.
Анал1з останн1х дослщжень. Становления в Укра!ш сучасно! банк1всько! справи i банк1всько! системи висувае на перше мюце проблеми, як1 повязан! з ризиковктю операцш банку, формуванням управлшня шформацшними ризиками. На виршення ще! проблеми спрямоваш дослщження Васюренка О.В., Гребенник H.I., Заруби О.Д., 1ваава Б.С., Карманова G.B., Лаврушина O.I., Мщенка B.I., Мороза A.M., Савлука M.I., Ю. Лупенка, В. Геець, Тиркала Л.1.
Водночас, у в1тчизнянш економ1чнш наущ та практищ функцюнування ряд питань, пов'язаних з управлшням шформацшними ризиками б1знес-процес1в/банк1вських продукта залишаються невиршеними. У зв'язку з цим дослщження питань оцшки та анал1зу ризику в д1яльносп банку набувае особливого значения, що зумовлюе актуальшсть обрано! теми та доцшьшсть проведения дослщжень для виршення цього питания.
Мета i завдання дослщження. Метою е обгрунтування теоретико-методолопчних основ та розробка практичних рекомендацш щодо створення системи управлшня ризиками шформацшно! безпеки б1знес-процес1в/банк1вських продукта.
Виклад основного матер1алу. Поняття б1знес-процесу е багатозначним i не ¿снуе загально прийнятого його визначення. Пщ б1знес-процесом у широкому значенш розум1еться структурована послщовшсть дш з виконання певного виду д1яльност1 на Bcix етапах життевого циклу предмета д1яльностг Не ¿снуе стандартного набору б1знес-процеЫв/банювських продукта для будь-якого банку. Тому банк мае самостшно визначити вщповщш б1знес-процеси/банювсью продукти, яю використовуються всередиш банку [5].
Для визначення б1знес-процеЫв/банк1вських продукта, як1 мае охоплювати СУ1Б (система управлшня шформацшною безпекою), необхщно проанал1зувати Bci б1знес-процеси/банк1вськ1 продукти банку та створити перелш критичних процеав, функцюнування яких мае великий вплив на ycnimHy роботу банку. Оскшьки в банку вони взаемопов'язаш, то
®ВолощукВ.Р., 2012
56
рекомендуеться створити блок-схему з визначенням ус1х взаемозв'язюв. Така в1зуал1защя значно спростить розумшня всього обсягу роб1т, що виконуються банком. Банк повинен створити перелж критичних б1знес-процес1в/банювських продукпв, яю обробляють шформацш з обмеженим доступом, розголошення яко! може нанести шкоду банку. До цього перел1ку повинш бути включеними вс1 б1знес-процеси/банювсью продукти, що обробляють: плат1жш документи, внутршш плат1жш документи, кредитш документи, документи на грошов1 перекази, персональш даш кл1ент1в та пращвниюв банку, статистичш зв1ти, шш1 документи, яю м1стять шформацш з обмеженим доступом [4].
Короткий опис кожного б1знес-процесу/банювського продукту повинен мктити таку шформацш: - назва; - цш; - гриф шформацп з обмеженим доступом, яка обробляеться; - власник; - пщроздши банку, яю забезпечують функцюнування; - наявшсть зобов'язань перед трет1ми сторонами; - вхщш та вихщш даш; - перел1к процедур б1знес-процесу та блок-схема послщовност1 1х виконання з визначенням взаемозв'язюв (у тому числ1 додатково! вхщно! шформацп з шших б1знес-процеЫв); - вимоги щодо забезпечення безперервностц - типи ролей; - кнування забороненого сумщення тишв ролей; - програмно-техшчний комплекс, що забезпечуе функцюнування; - юльюсть користувач1в програмно-техшчного комплексу; - арх1тектура \ технолопя роботи; - операцшна система та тип бази даних програмно-техшчного комплексу, яю використовуються для функцюнування; - географ1чне розмщення сервер1в та робочих мкць програмно-техшчного комплексу; -засоби захисту, яю вже юнують у програмно-техшчному комплекс!; - взаемод1я з шшими програмно-техшчними комплексами; - принципи резервування обладнання та шформацп програмно-техшчного комплексу.
Ршення щодо надання доступу до шформацп, яка обробляеться в цьому б1знес-процеЫ/банювському продукту/програмно-техшчному комплекс! повинен приймати власник б1знес-процесу/банювського продукту/програмно-техшчного комплексу. Власником програмно-техшчного комплексу не може бути пщроздш банку, який вщповщае за шформацшш технологи \ забезпечуе техшчну пщтримку роботи комплексу [5].
Перел1к процедур б1знес-процесу та блок-схема послщовност1 1х виконання з визначенням взаемозв'язюв мають бути у достатньому ступеш узагальненими. Дуже детальний перелж може призвести до ускладнення пщ час визначення вразливостей. Однак, якщо цей перелж та блок-схема будуть занадто узагальненими, то це може призвести до пропуску небезпечних вразливостей, яю можуть створювати велию ризики.
У раз1 якщо функцюнування одного б1знес-процесу/банювського продукту забезпечуеться деюлькома програмно-техшчними комплексами, тод1 коротю описи кожного комплексу та 1х взаемозв'язюв повинш також бути надаш У раз1 якщо один програмно-техшчний комплекс забезпечуе функцюнування деюлькох б1знес-процеЫв/банювських продукт1в, тод1 визначаеться единий власник програмно-техшчного комплексу (але не пщроздш, який вщповщае за шформацшш технолог!!) або група власниюв б1знес-процес1в, яю надають та контролюють доступ до шформацп, що обробляеться р1зними модулями комплексу. У раз1 вщсутност1 централ1зованих
57
програмно-техшчних комплекЫв мають бути надаш коротю описи програмно-техшчних комплекЫв у структурних пщроздшах банку (обласних дирекщях, фшях тощо) та описаний взаемозв'язок м1ж ними. При цьому слщ пам'ятати про необхщшсть надання мшмальних прав доступу, необхщних для виконання службових обов'язюв. Обов'язковим також е визначення заборонених сумщень прав доступу для запоб1гання пщготовки фальсифжованих банмвських докумешгв або несанкцюновано! модифжаци докуменив.
Для спрощення розумшня особливостей побудови мереж1 банку рекомендуеться створити окрем1 внутршш положения за р1зними питаниями управлшня мережею, а в загальному положенш про мережу описати ochobhí принципи побудови та функцюнування мереж1 з наданням посилань на окрем1 пол1тики. Банк повинен мати опис принцишв та заход1в щодо забезпечення безперервност1 роботи, в якому надати опис процедур та обладнання, а також обов'язюв пращвниюв банку, в тому числ1 методи резервування шформацп для вщновлення роботи в pa3Í виникнення надзвичайних ситуацш. У цьому документ! повинш бути визначеш термши вщновлення роботи банку та необхщш ресурси (зокрема програмно-техшчш засоби, обладнання, резервне електроживлення тощо).
Необхщним е регулярне проведения тестування bcíx складових, що noTpiÖHi для виконання плану забезпечення безперервно! д1яльност1 та дш у pa3Í виникнення надзвичайних ситуацш, у тому числ1 можливкть вщновлення резервно! шформацп, яка збер1гаеться у вщдаленому резервному пунктг
Методичш рекомендацп щодо управлшня ризиками шформацшно! безпеки розроблеш на ochobí м1жнародного стандарту ISO/IEC 27005 «Information technology - Security techniques - Information security risk management» (Управлшня ризиками шформацшно! безпеки) з урахуванням особливостей банювсько! д1яльност1, стандарте та вимог Нацюнального банку Украши з питань шформацшно! безпеки. Ризиком шформацшно! безпеки вважаеться ймов1ршсть того, що визначена загроза, впливаючи на вразливост1 ресурсу або групи pecypciß, може спричинити шкоду банку [3].
Управлшня ризиками - це частина д1яльност1 кер1вника оргашзаци, спрямована на ïï економ1чний захист вщ небажаних свщомих або випадкових обставин, що наносять шкоди ïï д1яльност1 [1]. Мета управлшня ризиками -виявляти, анал1зувати i впливати на bcí ризики, з якими стикаеться оргашзащя, з позици використання сприятливих можливостей для збшьшення вартост1 ïï актив!в. 3 щею метою менеджер повинен проводити яюсний i юльюсний анал1з ризику, визначати його джерело фактор, ÍMOBÍpHÍCTb та передбачати наслщки [2]. . . . .
Управлшня ризиком можна розглянути на методолопчнш ochobí процесу розробки i реал1зацп ризикових управлшських ршень. Ризиковими е ршення при вщомш ímobíphoctí досягнення результату. При цьому функцп управлшня ризиком повинш виконувати на вщповщному píbhí bcí пщроздши ф1рми. Як видно Í3 рис.1, процес управлшня ризиками шформацшно'1 безпеки повинен здшснюватися для банку в цшому. Процес управлшня ризиками шформацшно'1 безпеки стосуеться bcíx пщроздшв банку i, у першу чергу, кер1вниюв тдроздшв - власниюв б1знес-
58
процеав/банювських продуклв. Тому щ вщповщальш особи повинш брати участь у виршенш питань, що належать до сфери !х вщповщальносп.
Рис.1. Процес управлшня ризиками шформацшно1 безпеки
Анал1з ресурав СУ1Б та б1знес-процеЫв/банк1вських продукта виконуеться на основ! даних, як1 були отримаш та систематизоваш на етат опису кнуючо! шфраструктури та заход1в безпеки. Тут рекомендуеться розглянути критичш процеси, продукти та комплекси, з точки зору шформацшно! безпеки та можливих втрат у раз1 И порушень. Цей анал1з дозволить в подальшому бшьш докладно виконати оцшку ризиюв та визначити план оброблення ризиюв. Необхщно розглянути наскшьки виконуються та як впливають на б1знес основш серв1си шформацшно! безпеки: цшсшсть, конфщенцшшсть, доступшсть та спостережшсть. Такий анал1з повинен виконуватися власниками б1знес-процеЫв/банк1вських продукта/програмно-техшчних комплекав разом з фах1вцями з питань шформацшно! безпеки.
Процес управлшня ризиками шформацшно! безпеки е безперервним процесом I до нього може бути застосована модель ПВПД (плануй-виконуй-
59
перев1ряй-дш), яка наведена у Встут стандарту СОУ Н НБУ 65.1 СУШ 1.0:2010.
Таблиця 1
Модель процесу управлшня ризиками шформацшно! безпеки
Пор1вняння СУ1Б та процесу управлшня ризиками шформацшно! безпеки можна описати у вигляд1 таблиц!: Фаза СУ1Б Процес управлшня ризиками шформацшно! безпеки
Плануй Анал1з ресурав СУ1Б Оцшка ризишв План оброблення ризишв Прийнятгя залишкових ризишв
Виконуй Впровадження плану оброблення ризишв
Перев1ряй Постшний мошторинг та перегляд ризишв
Д1Й Шдтримка та покращення процесу управлшня ризиками шформацшно1 безпеки
Докладна оцшка ризиюв не може бути загальною для банку в цшому та потребуе розгляду як загальних для банку питань, так { конкретних питань для кожного б1знес-процесу/банк1вського продукту. Шсля виконання такого анал1зу з точки зору впливу порушень шформацшно! безпеки можна переходити до бшьш докладно! оцшки ризиюв шформацшно! безпеки.
Загрози потенцшно можуть завдати шкоди ресурсам СУ1Б, зокрема шформаци, персоналу, кл1ентам, обладнанню, процесам \ програмно-техшчним комплексам, б1знес-процесам/банк1вським продуктам вщповщно, банку. Загрози можуть мати природш та людсью джерела I можуть бути випадковими або навмисними. Повинш бути щентифжоваш як випадков1, так I навмисш джерела загроз. Загрози можуть бути щентифжоваш в загальному вигляд1 або за типами (наприклад, неавторизоваш ди, ф1зичне пошкодження, техшчш пошкодження тощо). Деяю загрози можуть впливати на декшька ресурЫв СУ1Б. До щентифжаци загроз необхщно залучати власниюв б1знес-процес1в/банк1вських продукта та користувач1в, пщроздши управлшня персоналом та ф1зично! безпекою, спещалюта з шформацшно! безпеки, юридичш пщроздши тощо.
Можливими загрозами СУ1Б можуть бути: системи управлшня; банк в цшому; процеси та процедури; персонал; ф1зичне середовище; конф1гуращя програмно-техшчних комплекав; залежшсть вщ зовшшшх оргашзацш. Цей перел1к не е вичерпаним I повинен доповнюватися в залежност1 вщ ситуаци в банку, технологш, що використовуються, оргашзацшно! структури, процедур тощо. Вразливост1, яю можуть бути використаш загрозами для впливу на ресурси СУ1Б/б1знес-процеси/банювсью продукти, також повинш бути ретельно розглянут1 та щентифжоваш. Наявшсть вразливостей не може впливати на ресурси, процеси та продукти самостшно, оскшьки мае бути наявна загроза, яка буде 1х використовувати. Для вразливост1, якш не вщповщае
60
вщповщна загроза, не потр1бно впровадження заход1в безпеки, але вона повинна бути щентифжована та вщслщковуватися пщ час внесения будь-яких змш. Некоректно запроваджеш чи нед1ев1 заходи безпеки е одним з вид1в вразливостей.
Для виявлення вразливостей в залежност1 вщ критичносп шформацп та б1знес-процесу/банк1вського продукту, а також вщ шформацшно-телекомушкацшних технологш можуть використовуватися р1зш проактивш методи тестування. Так1 методи тестування включають: - спещальний автоматичний шструментарш для сканування вразливостей; - тестування та оцшку безпеки; - тести на проникнення; - перегляд коду програмно-техшчних комплекЫв; - анал1з вщомих порушень безпеки; - анал1з вщомих вразливостей (операцшних систем, баз даних, телекомушкацшних технологш та протокол1в тощо). Слщ зазначити, що шод1 щ методи можуть надавати шформацш про вразливост1, яю не представляють реально! загрози. Тому необхщно ч1тко задавати параметри програмно-техшчних комплекав та 1х конф1гурацш для тестування.
Наслщками реал1заци загроз можуть бути втрати ефективност1 б1знес-процеав, зниження репутаци тощо. Необхщно проанал1зувати негативш наслщки для банку, як1 можуть виникати, якщо щентифжоваш загрози будуть використовувати вщповщш вразливост1 або наб1р вразливостей { призведуть до шциденту шформацшно! безпеки. Такий шцидент може впливати на один або бшьше ресурЫв СУ1Б. Таким чином, ресурсам СУ1Б можуть бути приписан! значения !х фшансово! вартост1, а також б1знес наслщюв, якщо щ ресурси будуть пошкоджеш або скомпрометоваш.
Вважаемо, що необхщно видшяти наступи! стади процесу розробки та реал1заци ризикових ршень:
1) шформацшний анал1з мктить роботи з мошторингу зовшшнього \ внутршнього середовища, виявлення нових джерел ризику \ корегування вщомих фактор1в, прояв яких залежить вщ мшливих умов;
2) д1агностика ситуаци визначаеться специфжою поставленого завдання, основний акцент робиться на урахування причин, що викликають змши ризику, 1х ранжуванш й оцшщ втрат (вигод) при визначених параметрах ситуацп. На данш стади використовуються р1зш методи вим1ру й оцшки ризику (математичш, статистичш, шту!тивш);
3) розробка вар1ант1в ршень як стад1я процесу управлшня характеризуеться тим, що для кожного вар1анту ршення розглядаються меж1 можливого негативного прояву ризику. Оцшка подаеться за вс1ма змютовними аспектами ризику: економ1чним, сощальним, еколопчним, оргашзацшним, ¿мщжевим, правовим;
4) прийняття ршення мктить комплексне обгрунтування як самого ршення, так \ прийнято! разом з ним ймов1рност1 та параметр1в допустимого ризику. Передбачаеться розробка системи вщповщальност1 з питань управлшня ризиком.
5) оргашзащя \ реал1защя включають види управлшсько! д1яльност1 з реал1заци ризик-ршення, у процес1 яко! виявляються нов1 аспекти прояву оргашзацшного ризику (невиконання, затримок тощо), що вимагае оперативних заход1в. Контроль змш у параметрах ризику \ коректування можуть мати ютотне значения в ситуацшному менеджмент!. Своечасшсть реакцш \ дш
61
менеджера - головна умова стабшзаци ситуаци i зниження загрози втрат [3, с. 87-88].
Водночас менеджер при управлшш ризиком застосовуе ризик-стратегш, яка забезпечуе правом1ршсть i допустимють ризику конкретного виду в ризикових ршеннях щодо конкретних сощально-економ1чних систем i ситуацш, а також ор1ентуеться на критери вибору ризик-ршення, що передбачають розробку меж ризику i динамшу 3míhh втрат залежно вщ обсягу продаж1в, розм1ру витрат, змши цш, шфляцп тощо.
Висновки. Отже, розробка шлях1в i засоб1в мш1м1зацп втрат, нейтрал1зацп i компенсаци негативних наслщюв ризик-ршень, страхування й rnmi можливост1 захисту вщ ризику розглядаються в менеджмент! як необхщш умови формування i реал1заци ризик-ршень та використовуються, у тш чи шшш Mipi, при виконанш po6ÍT на кожнш стад11 процесу управл1ння ризиком.
Слщ зазначити, що для р1зних б1знес-процес1в/банк1вських продукт1в можуть бути виявлеш однаков1 ризики втрати основних cepBiciB безпеки, що буде св1дчити про те, що певним питаниям шформацшно1 безпеки не прид1ляеться необх1дно1 уваги. У такому випадку рекомендуеться виршувати питания зменшення ризик1в однаково для bcíx б1знес-процес1в/банк1вських продукт1в банку. Однак, найб1льш поширеним випадком буде наявшсть в р1зних б1знес-процесах/банк1вських продуктах р1зних за р1внем небезпеки питань, як1 потребують впровадження конкретних заход1в безпеки для конкретного 6Í3Hec-процесу/банк1вського продукту.
Л1тература
1. Бондар О. В. Ситуацмний менеджмент // Навчальний поабник. - К.: Центр учбово! лп-ератури, 2012. - 388 с.
2. Васюренко О.В. Банк1вський менеджмент: Поабник. - К.: "Академ1я", 2001. - 320 с.
3. Гринько О. Моделювання диверсифкаци кредитного ризику : Фшансовий ринок // Bíchhk Национального банку Укра1'ни : науково-практичний журнал Нащонального банку Укра1'ни / Нац. банк Украши. - Khïb, 2012. - № 1 . - С. 43-49
4. Кравченко I. Банювська система та проблеми стратепчного розвитку : Банки Укра1'ни / I. Кравченко, Г. Багратян, G. Маз1на // Bíchhk Нац1онального банку Украши : науково-практичний журнал Нащонального банку Украши / Нац. банк Украши. - Кшв, 2012. - № 1. - С. 7-10
5. Постанова Правл1ння Нащонального банку Украши вщ 21 червня 2012 р. № 255 м.Кшв Про схвалення змш до деяких нормативних акт1в Нац1онального банку Укра1'ни
Summary Voloshchuk V.R.,
Managing Kamenets-Podolsky-Division of PC "Brokbusinessbank" MANAGEMENT OF INFORMATION SECURITY RISKS
Investigated essence biznes-protsesu/bankivskyh products and structure, relationships and interactions threats peculiarities of the system and the model of the information risk management business process / banking products. Key words: risk, processes, banks, information management.
Рецензент - д.е.н., професор Шульський М.Г.
62
