УДК 336.717. (075.8)
ОРГАНИЗАЦИЯ УПРАВЛЕНИЯ РИСКОМ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ БАНКОВСКИХ СИСТЕМ В КРЕДИТНОЙ ОРГАНИЗАЦИИ
В. И. КОРНЕЙЧУК,
кандидат физико-математических наук, доцент кафедры финансов Е-таН: graf123@mail.ru Московская государственная академия делового администрирования
Мировой финансовый кризис обострил внимание к проблеме операционных рисков в банковской сфере . Немаловажной составляющей операционного риска является риск безопасности информационных банковских систем . Эта проблема в настоящее время является одной из наиболее актуальных для кредитных организаций .
Общие положения. Основными видами операционного риска в кредитной организации являются [2]:
— риск воздействия внешней среды;
— риск нарушения внутренних процедур (процессов);
— риск, связанный с деятельностью персонала;
— риск безопасности информационных банковских систем
Общие принципы организации управления операционным риском в кредитной организации с условной структурой уже получили достаточное освещение [1].
Рассмотрим особенности управления операционным риском безопасности информационных банковских систем в кредитной организации
Объект риска безопасности информационных банковских систем. Информационная банковская система (ИБС) — это совокупность специальных
Статья подготовлена по материалам журнала «Финансы и кредит» . 2011 . № 18 .
аппаратных и программных средств, обеспечивающих сбор, хранение, обработку и представление банковской информации работникам банка в необходимом виде
Риск безопасности ИБС — это риск возникновения в кредитной организации потерь, вызванных следующими факторами:
— возможностью несанкционированного доступа к банковской информации как работников банка, так и внешних субъектов и (или) некомпетентными действиями работников банка при работе с ИБС;
— возможными сбоями, ошибками или несоответствием характеру и масштабу деятельности банка используемого программного обеспечения ИБС;
— техническими неполадками аппаратных средств и каналов связи ИБС
Управление риском безопасности информационных банковских систем. Управление риском безопасности информационных банковских систем состоит из выявления, оценки и (или) минимизации риска
Выявление и оценка риска. Для выявления каждого из факторов риска безопасности информационных банковских систем вводятся контрольные индикаторы, определяющие текущее состояние по каждой группе риска. Характеристики индикаторов риска и ответственные за их предоставление лица приведены в табл 1
Филиалы банка предоставляют информацию по всем индикаторам риска данной категории .
Оценка индикаторов риска безопасности информационных банковских систем проводится в разрезе названных факторов риска с объединением индикаторов риска в следующие группы:
— индикаторы по защите ИБС от несанкционированного доступа и некомпетентных действий работников банка;
— индикаторы по защите программного обеспечения ИБС;
— индикаторы по повышению эффективности работы и отказоустойчивости аппаратных средств ИБС
Для определения общего риска безопасности ИБС риски по группам складываются с равными весовыми долями
Оценка возможности возникновения риска
Индикаторы риска безопасности информационных банковских систем (ИБС)
Таблица 1
Индикатор Значение индикатора по степеням риска Характеристика индикатора Ответственные за предоставление информации лица
2 1 0 Коэффициент значимости
Группа 1.1. Индикаторы по защите ИБС от несанкционированного доступа и некомпетентных действий работников банка
Доступ к ИБС имеют работники банка, которым это необходимо для выполнения служебных обязанностей . Уровень доступа к данным зависит от должностных обязанностей работника Доступ пересматривается в соответствии с положением банка Доступ не пересматривается При установке доступа не учитываются должностные обязанности 3 Устраняет возможность несанкционированного доступа работников к ИБС, в том числе некомпетентных либо противоправных действий Руководители структурных подразделений (СП)
Все работники банка, работающие в ИБС, имеют имя для идентификации в локальной сети банка и уникальный, известный только самому пользователю, пароль Да, пароль меняется в соответствии с положением банка Да, пароль не меняется Не все сотрудники 3 Устраняет возможность несанкционированного доступа работников к ИБС, в том числе некомпетентных либо противоправных действий Руководители СП
В банке распределены обязанности по обеспечению информационной безопасности, разработано положение по информационной безопасности, назначен администратор информационной безопасности Да В стадии разработки или требует доработки Нет 3 Позволяет устранить возможность потери информации, использования ее в корыстных целях и т д Руководитель отдела автоматизации, специалист отдела автоматизации филиала
В банке разработаны инструкции и планы действий по обеспечению политики информационной безопасности Да Частично Нет 3 Минимизирует риски информационной безопасности
Наличие внутренних документов, регламентирующих порядки обеспечения систем интернет-банкинга: — порядок использования web-сайта; — порядок предоставления услуг интернет-банкинга; — план обеспечения непрерывности интернет-банкинга; — порядок осуществления сетевого мониторинга; — процедуры внутреннего контроля за обеспечением систем интернет-банкинга Да Частично Нет 3 Минимизирует риски интернет-банкинга
Продолжение табл. 1
Значение индикатора по степеням риска Ответствен-
Индикатор 2 1 0 Коэффициент значимости Характеристика индикатора ные за предоставление информации лица
Качество обеспечения систем интернет-банкинга: — отсутствие прямой сетевой связи системы интернет-банкинга с ИБС; — наличие системы межсетевой защиты; — наличие систем сетевого мониторинга и системного аудита; — наличие в системе интернет Полностью соответствует Имеются отдельные недостатки Не соответствует 3
банкинга сертифицированных программных средств электронной цифровой подписи
Все работники банка ознакомлены с положением по информационной безопасности в рамках своих должностных обязанностей; проводится обучение персонала информационной безопасности Да Не все Нет 3 Обучение персонала банка информационной безопасности минимизирует риск разглашения конфиденциальной информации и повышает ответственность работников Руководители СП
Доступ в помещения банка, в которых расположены серверы ИБС и рабочие станции для обмена служебной информацией с контрагентами, ограничен . На рабочих станциях для обмена установлены средства защиты от несанкционированного доступа Да Частично Нет 3 Устраняет возможность несанкционированного доступа к ИБС, потери данных и некомпетентных либо противоправных действий работников Руководитель отдела автоматизации, специалист отдела автоматизации филиала
При ремонте техники в сервисных центрах несанкционированный доступ к информации на жестких дисках исключен Да Не всегда Нет 3 Минимизирует риск потери и доступа к конфиденциальной информации Руководитель отдела автоматизации, специалист отдела автоматизации филиала
Работники банка имеют руководство пользователя по работе с программными модулями ИБС Среди работников проводятся семинарские занятия по обучению новым возможностям ИБС и устранению наиболее часто встречающихся ошибок при работе с системой Да Не всегда Нет 2 Способствует повышению квалификации работников, минимизирует вероятность появления в работе ошибок при работе с ИБС Руководители СП
В ИБС предусмотрены методы, препятствующие некомпетентным действиям пользователя или возможным ошибкам Да Частично Нет 2 Минимизирует риск ошибок и некорректных действий работников Руководитель отдела автоматизации, специалист отдела автоматизации филиала
Продолжение табл. 1
Значение индикатора по степеням риска Ответствен-
Индикатор 2 1 0 Коэффициент значимости Характеристика индикатора ные за предоставление информации лица
Банком проводится вторичный Да Не всегда Нет 2 Минимизирует риск Руководи-
контроль ввода документов в ошибок тели СП
ИБС
В ИБС существует возмож- Да Частично Нет 2 Позволяет иден- Руководи-
ность однозначного выявления тифицировать тель отдела
идентификационного имени последнюю дату автома-
работника, совершившего совершения опера- тизации,
операцию, и ведется журнал ции и работника, специалист
операций совершившего ее отдела автоматизации филиала
Доступ к съемным накопите- Да Не всегда Все работ- 1 Минимизирует риск Руководи-
лям (дискеты, CD-приводы, ники имеют кражи конфиден- тели СП
1^^накопители) системных доступ к циальной информа-
блоков ИБС ограничен слу- накопите- ции, разглашения
жебной необходимостью лям или использования ее в корыстных целях
Группа 1.2. Индикаторы по защите программного обеспечения ИБС
Критически важное програм- Да Не полно- Нет 3 Минимизирует Руководи-
мное обеспечение (ПО) для стью риск несоответс- тель отдела
деятельности банка подде- твия возможностей автома-
рживается производителем и или содержания тизации,
своевременно обновляется используемого ПО актуальным требованиям банковской деятельности специалист отдела автоматизации филиала
Некорректная работа или Да Существует Существует 3 Минимизирует риск
умышленные действия поль- опасность опасность отказов, сбоев и не-
зователей не могут привести к повреждения поврежде- корректной работы
искажению или утрате про- некоторых ния кри- ПО
граммных модулей и данных в модулей тически
ИБС, находящихся вне преде- важного
лов их компетенции ПО
Сбои в работе оборудования Да Работа Может быть 3 Минимизирует риск
(выключение электропитания, отдельных нарушена отказов ПО, риск
критические сбои операци- модулей работа потери или искаже-
онных систем и т. п . ) не могут может быть критически ния информации в
явиться причиной искажения нарушена важного хранилищах данных
программных модулей и содер- ПО
жания ИБС
Ежедневно создается резерв- Да, Да, Нет 3 Минимизирует риск
ная копия ИБС ведется журнал учета сделанных копий журнал учета не ведется потери актуальной информации в хранилищах данных
Существует выделенный не- Да хра- Да, хранятся Нет 3
сгораемый сейф для хранения нятся все не все копии
резервных копий копии
Организовано параллельное Да, Да, Нет 2
хранение резервных копий все копии не все копии
вне помещения центрального
офиса банка
Продолжение табл. 1
Значение индикатора по степеням риска Ответствен-
Индикатор 2 1 0 Коэффициент значимости Характеристика индикатора ные за предоставление информации лица
Проверка ИБС на нали- Да Да, Нет 3 Минимизирует
чие компьютерных вирусов не каждый риск повреждения,
работает постоянно, каждый компьютер потери или кражи
компьютер использует анти- или несвое- конфиденциальной
вирусную программу, обнов- временно информации
ление антивирусных программ обновляется
проводится своевременно
Используются программные Да Да, Нет 3
средства, ограничивающие не в полной
доступ извне к локальной сети мере
банка и программное обеспе-
чение, ограничивающее доступ
работников банка посредством
сети Интернет к запрещенным
сетевым ресурсам
Организован и резервируется Да Да, Нет 2 Обеспечивает воз-
архив файлового обмена с срок хране- можность разбора
контрагентами по операциям в ния менее 5 конфликтных
течение последних пяти лет лет ситуаций с контрагентами
Организован и резервируется Да Да, Нет 2 Минимизирует
архив банковской отчетности срок хране- риск потери банком
с неограниченным сроком ния ограни- отчетных форм
хранения чен
Организован архив и учет Да Да, Нет 1 Минимизирует риск
дистрибутивов программных только потери актуального
продуктов критически важное ПО состояния программного обеспечения банка
Группа 1.3. Индикаторы по повышению эффективности работы и отказоустойчивости аппаратных средств ИБС
Количество произошедших До 1 1-3 Свыше 3 3 Показывает текущее Руководи-
продолжительных сбоев состояние отказоус- тель отдела
оборудования и систем в ИБС тойчивости ИБС автома-
(сетевое оборудование, каналы тизации,
связи и прочее) специалист отдела автоматизации филиала
Конфигурация технических Да Отдельное Значитель- 3 Минимизирует риск Руководи-
средств соответствует требова- оборудова- ная часть сбоев аппаратного тель отдела
ниям бизнес-процессов банка ние требует оборудова- обеспечения, риск автома-
замены ния не соответствует требованиям бизнес-процессов возникновения задержек в работе персонала банка, вызванных неэффективным функционированием оборудования и каналов связи тизации, специалист отдела автоматизации филиала; руководители СП
Аппаратные средства обновля- Да, су- Да, Нет, 3 Руководи-
ются своевременно, согласно ществуют по мере воз- значитель- тель отдела
принятым в банке срокам утверж- никающей ная часть автома-
службы на различные виды денные необходи- оборудова- тизации,
техники сроки мости ния требует замены специалист отдела автоматизации филиала
Окончание табл. 1
Индикатор Значение индикатора по степеням риска Характеристика индикатора Ответственные за предоставление информации лица
2 1 0 Коэффициент значимости
На серверах и рабочих станциях, работоспособность которых является критически важной для функционирования банка, предусмотрена автономная система электропитания Да, проводится плановая замена источников автоном питания Да, замена источников питания проводится после выхода из строя Нет 3 Минимизирует риск выхода из строя оборудования ИБС и потери актуальной информации в хранилищах данных
Помещения, в которых расположены серверы ИБС, оборудованы системами климат-контроля, обеспечивающими оптимальную температуру окружающего воздуха для работы серверного и сетевого оборудования Да, используемые системы всегда обеспечивают оптимальной температурой Да, отмечены случаи неспособности обеспечить оптимальную температуру Нет 2
Отделом автоматизации разработаны планы действий сотрудников в случае отказа работы критически важных для работы банка аппаратных средств и каналов связи и меры по восстановлению работоспособности банка Да, учитывают длительные (на день) отключения электроэнергии Рассчитаны только на локальные сбои Нет 3 План содержит алгоритм действий сотрудников в критических случаях, позволяет быстро восстанавливать работоспособность банка
Помещения, в которых расположены серверы ИБС, оборудованы системой противопожарной безопасности и системой охранной сигнализации с тремя рубежами защиты Да Да, отмечаются частые сбои системы или ложные срабатывания Нет 3 Минимизирует риск потери критически важного для деятельности банка оборудования
В банке предусмотрены дополнительные (альтернативные) каналы связи на случай потери работоспособности основных Да Да, не все Нет 2 Обеспечивает непрерывность производственного процесса в случае выхода из строя основных каналов связи
Банк покупает компьютерную технику у дилеров, зарекомендовавших себя на протяжении длительного периода времени с хорошей стороны, по конкурентным ценам Да Да, есть отдельные случаи неудачных закупок Нет 2 Позволяет банку использовать качественное оборудование, оптимальное по соотношению цена/качество с гарантированным квалифицированным сервисным обслуживанием
Проводится тестирование работоспособности нового оборудования Да Да, только критически важного Нет 1 Позволяет выявлять некачественное оборудование до этапа ввода его в эксплуатацию
безопасности ИБС осуществляется по балльно-весовому методу [2]. Предельные значения риска безопасности ИБС даны в табл 2
Способы минимизации операционного риска безопасности ИБС. Для минимизации операционного риска безопасности ИБС необходимы:
— анализ состояния индикаторов риска;
— выявление их наиболее худших значений;
— выработка рекомендаций для подразделений банка по устранению имеющихся недостатков
На основе итоговых значений риска по группам индикаторов риска и общего значения операционного риска безопасности ИБС определяется динамика изменения операционного риска безопасности ИБС по отчетным периодам При управлении банковскими рисками анализируются причины, повлиявшие на значение риска, в том числе в разрезе подразделений банка, и выносится мотивированное суждение об общем уровне операционного риска безопасности ИБС, сложившемся в банке на отчетную дату
Итак, была проделана следующая работа:
— рассмотрены особенности управления операционным риском безопасности информационных банковских систем;
Таблица 2
Предельные значения риска безопасности информационных банковских систем
Уровень риска Значение, %
Низкий От 0 до 25
Средний От 26 до 50
Высокий От 51 до 100
— определены перечень индикаторов операционного риска безопасности информационных банковских систем, их характеристики и руководители подразделений банка, ответственные за их предоставление . Установлены коэффициенты значимости и уровни оценки индикаторов;
— описаны способы минимизации операционного риска безопасности информационных банковских систем
Список литературы 1. Корнейчук В. И. Организация управления операционным риском в кредитной организации // Финансовая аналитика: проблемы и решения . 2011. № 8 .
2 Об организации управления операционным риском в кредитных организациях: письмо Банка России от 24. 05 .2005 № 76-Т.
10 ноября 2011 г. в гостинице Radisson SAS Slavyanskaya (г. Москва) CNews при поддержке Министерства связи и массовых коммуникаций РФ проводит третий ежегодный форум
«CNews Forum 2011: Информационные технологии завтра»
Информационная поддержка - Издательский дом «ФИНАНСЫ и КРЕДИТ»
Основные вопросы форума:
- тенденции развития ИКТ-отрасли в России и мире;
- векторы дальнейшего развития информатизации бизнеса и органов государственной власти в России;
- технологические тренды, которые будут определять эволюцию корпоративных ИТ-систем в ближайшие годы.
Отраслевые секции:
госсектор, банки, информационная безопасность, розница, облачные технологии.
За дополнительной информацией, а также по вопросам участия обращаться по телефонам: +7 (495) 363-11-57, 5078, 5077, 5035 либо e-mail: forum@cnews.ru Айвазов Армен, Серова Елена, Четвернин Алексей
www.forum.cnews.ru