Банковские риски
РОЛЬ ОРГАНИЗАЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ПРЕДОТВРАЩЕНИИ РИСКОВ В БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ
Л.Ю. ТАТАРИНОВА, кандидат экономических наук, доцент, заведующая кафедрой финансов и кредита Хакасский государственный университет
им. Н. Ф. Катанова
В статье отмечается, что процесс организации и управления информационной безопасностью в кредитной организации можно сформировать через применение модели Деминга (ГОСТ Р ИСО 9001 и ИБISO/IEC 5 27001-2005). Грамотная регламентация информационной безопасности и выработка соответствующей единой регулирующей политики, включая выполнение всех положений СТО БР ИББС-1.0-2008, позволят банкам избежать нежелательных информационных всплесков и рисков.
Ключевые слова: банк, риски, угрозы, информационная безопасность, стандарт, качество, модель Деминга, актив, кредит, организация.
Риски, которым подвергается современная кредитная организация, представляют потенциальную опасность для интересов граждан и нашего общества, могут оказывать отрицательное влияние на состояние всей банковской системы и, в конечном счете, на состояние социально-экономических процессов в стране.
Кредитные организации, выполняя посреднические функции в системе движения капитала, должны уметь не только заниматься рациональным сбором рыночной информации, но и заботиться о ее достоверности, целостности и сохранности, дабы избежать различного рода угроз и потерь.
Для этого в каждом банке необходимо разработать, утвердить и реализовать комплекс мер, позволяющий создать каналы сбора, обработки, хранения и использования данных, служащих для обеспечения его финансовой стабильности и безопасности.
Практическая реализация требований безопасности является общей задачей как государства, так и органов управления кредитной организации.
Важнейший показатель информационной безопасности кредитной организации — его финансовая состоятельность, защищенность имущественных прав и интересов вкладчиков и кредиторов, а также контрагентов. По этой причине государство предпринимает определенные меры законодательного, надзорного и иного характера, призванные обеспечивать безопасность кредитных организаций, а соответственно отечественной банковской системы.
Законодательные и нормативные предписания государственных органов, относящиеся к обеспечению банковской безопасности, содержатся в положениях федеральных законов «О банках и банковской деятельности», «О Центральном Банке Российской Федерации (Банке России)» и других законов и нормативных правовых актах Российской Федерации. В совокупности они уже представляют собой требования безопасности, обязательные для субъектов кредитной деятельности.
Исполнительные структуры современной кредитной организации обязаны:
— организовывать и осуществлять своевременный внутренний контроль за соблюдением порядка функционирования банка, а также за выполнением отдельных банковских операций;
— принимать меры, позволяющие уменьшать вероятность реализации угроз, а в случаях, когда это невозможно, снижать тяжесть нежелательных последствий;
— проводить внутренние расследования с целью выяснения причин событий, связанных с нанесением ущерба интересам кредитной организации;
— разрабатывать собственные рекомендации по уменьшению угроз интересам кредитной организации [2,649].
Таким образом, создавая себе имидж надежного и стабильно функционирующего финансового учреждения, современная кредитная организация должна не только отслеживать движение информационных потоков как внутри организации, так и во внешней среде, но и обеспечивать соблюдение нормативных требований на каждом этапе информационных процессов, сопровождающих ее деятельность.
Банковское законодательство в России традиционно использовалось как средство принуждения к раскрытию определенного рода информации. Это чаще всего касалось пруденциальной информации, необходимой надзорным органам, и статистических данных для целей кредитно-денежной политики, но не информации, позволяющей производить глубокую оценку финансовых рисков, потерь и потенциальных угроз.
Либерализация финансового рынка и рынка капиталов, произошедшая в последние годы прошлого столетия в России, усилила потребность в качественной информации для обеспечения финансовой стабильности всех участников рынка капиталов. Поскольку такая информация служит важным фактором обеспечения стабильности банковской системы, органы регулирования отдали приоритет улучшению каналов ее получения. Это потребовало от кредитных организаций совершенствования внутренних информационных систем, позволяющих им предотвратить ряд возможных рисков в деятельности.
Изменения же в мировой экономике и финансовых потоках, стимулирующие рост интернационализации и взаимозависимости, выдвинули на передний план проблему открытости информации в процессе выработки экономической политики финансово-кредитными учреждениями. Государственные органы власти, включая Центральный банк, все чаще признают, что прозрачность способствует предсказуемости и эффективности политических и финансовых решений [1,229].
Прозрачность и подотчетность взаимно усиливают друг друга. Прозрачность способствует подотчетности, облегчая мониторинг, а подотчетность — прозрачности, заставляя кредитные организации следить за тем, чтобы их действия были известны и правильно понимались. Однако прозрачность не предотвращает риск и не может предотвратить финансовые кризисы, хотя и способна смягчить
реакцию участников рынка на плохие новости. Раскрытие информации также помогает целевым аудиториям выявлять и оценивать негативные явления, уменьшая тем самым панику и распространение кризиса. Однако раскрытие частной информации может дать конкурентам преимущество в использовании конкретных ситуаций. Такая перспектива в современных конкурентных условиях часто удерживает участников рынка от предоставления полной и точной информации. Нередко конфиденциальную информацию от кредитных учреждений требуют и органы надзора, что может иметь существенные последствия для рынка капиталов и его участников.
В таких обстоятельствах кредитные организации могут воздерживаться от предоставления подобной информации без гарантии конфиденциальности со стороны клиента. В то же время односторонняя прозрачность и полное раскрытие информации способствуют установлению режима прозрачности.
Поэтому обязательное для кредитных организаций публичное раскрытие информации возможно сегодня и через использование стандартов качества, адекватной методологии финансовой отчетности. Принятие Международных стандартов финансовой отчетности (МСФО) послужило необходимым шагом к обеспечению прозрачности и должного понимания финансовой отчетности в России.
В 1989 г. в МСФО были включены «Основы подготовки и представления финансовой отчетности», где преследовались следующие цели:
— прояснить для внешних пользователей концепцию, лежащую в основе подготовки и представления финансовой отчетности;
— обеспечить руководство для выработки дальнейших стандартов раскрытия финансовой информации;
— помочь внешним пользователям информации понимать МСФО и решать проблемы, не учтенные в стандартах [1,225].
В последние годы благодаря развитию и распространению новых технологий предоставления банковских услуг кредитными организациями ситуация в банковском секторе России изменилась радикально. Поэтому стала столь актуальной и тематика обеспечения информационной безопасности и защиты информации как банковской, так и клиентской.
Что касается российских стандартов, то в настоящее время особое внимание уделяется не конкретно финансовой отчетности и сопутствующей ей прозрачности информации, а более детально
рассматриваются вопросы защиты информации в банковском секторе.
Банком России разработан стандарт, определяющий общие принципы обеспечения информационной безопасности на рынке банковских услуг — Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», введенный в действие с 1 мая 2009 г. (СТО БР ИББС-1.0-2008).
Значимость данного Стандарта для кредитных организаций в России принципиальна, поскольку постоянное совершенствование обеспечения информационной безопасности в условиях наблюдаемой полной компьютеризации банковской деятельности должно непосредственно ассоциироваться с повышением безопасности ее функционирования и дальнейшего развития.
Повсеместное внедрение автоматизации финансово-кредитной деятельности, использование технологий дистанционного банковского обслуживания, электронного банкинга вынуждают кредитные организации уделять особое внимание всем рискам и угрозам.
Современный риск потери состояния защищенности интересов кредитной организации в информационной сфере и, соответственно, возникновения ущерба банковскому бизнесу, заключается, прежде всего, в утрате свойств доступности, целостности, в ряде случаев, конфиденциальности информационных активов или доступности сервисов инфраструктуры банковской организации.
Центральный Банк РФ через введение СТО БР ИББС-1.0-2008 призывает кредитные организации к проведению постоянного анализа и изучению банковской инфраструктуры с целью выявления и устранения уязвимых мест информационной безопасности в их деятельности.
Организация информационной безопасности кредитной организации заключается в защите своих информационных активов от различного рода рисков и угроз, как правило, техногенного и антропогенного характеров.
Как показывает практика, наибольшие угрозы в информационных ресурсах могут представлять сами работники банка, формирующие различного рода операционные риски.
В стандарте СТО БР ИББС-1.0-2008 Центральный Банк РФ также указывает на подобные угрозы, связанные с собственным персоналом банка (пункты 5.4, 5.10 данного Стандарта), предлагая менеджерам разработать модели угроз и модели возможных нарушений в целях эффективной
организации информационной безопасности кредитной организации.
Такого эффективного инструмента в управлении банковскими рисками сегодня остро не хватает отечественным кредитным организациям, особенно при обеспечении информационной безопасности. Отчасти это можно объяснить отсутствием наработанной практики составления прогнозных моделей таких угроз, да и выявления нарушителей в том числе.
Организация информационной безопасности в кредитных организациях России не всегда выделена в отдельном локальном документе либо не включает такие важные составляющие, как иденти -фикация информационных активов по их ценности для целей и выполнения стратегических задач, а также исходя из сформированных моделей угроз и нарушителей банковской информации.
Стандартом СТО БР ИББС-1.0-2008 определены процедура организации и процесс управления информационной безопасностью банковской системы. Он затрагивает модели угроз и нарушителей информационной безопасности, персонал банка, внутрибанковские автоматизированные системы, организацию системной защиты при использовании ресурсов сети Интернет в рамках дистанционного банковского обслуживания клиентов, обеспечение информационной безопасности банковских платежных технологических процессов и аудит информационной безопасности, заключающийся в проверке и оценке ее соответствия требованиям Стандарта, и иные внутренние нормативные акты кредитной организации в части информационной безопасности.
В целом же, согласно Стандарту «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», процесс организации и управления информационной безопасностью кредитной организации можно сформировать через должное применение модели Деминга (ГОСТ Р ИСО 9001 и ИБ ^О/1ЕС К 27001-2005) [3] (см. рисунок).
Таким образом, процесс реализации информационной безопасности в кредитной организации должен включать согласованные между собой этапы.
Каждый такой этап имеет свою сложную структуру и множество особенностей, регулирование и организация которых важны в целях сокращения банковских рисков и обязательно должны учитываться в комплексной информационной политике современной кредитной организации.
Отметим, что, устанавливая правила и регламентируя порядок процесса сбора, обработки, хранения и использования информационных ресурсов
Процесс реализации информационной безопасности в кредитных организациях
путем утверждения информационной политики, банки сталкиваются с проблемой защиты имеющейся информационной базы.
Кредитные организации, двигателем деятельности которых являются информационные потоки, находятся в постоянной неизбежной опасности. Любому информационному процессу угрожают:
— предоставление недостоверной информации,
— использование ложных сведений,
— утечка конфиденциальной информации,
— уничтожение важных сведений,
— модификация информации,
— блокирование доступа к необходимой информации,
— несанкционированной доступ к секретным сведениям,
— шпионаж конкурирующих организаций,
— другие виды угроз.
Мерами защиты, принимаемыми банками в данных условиях, являются разработка и утверждение, а затем реализация информационной безопасности через последовательное выполнение кредитной организацией этапов «планирование — реализация — проверка — контроль — планирование».
Решая проблемы в данной области, кредитная организация ставит перед собой цель—документально обозначить комплекс мер, закрепляющих приоритеты и стандарты информационной деятельности банка по отношению к его целевым аудиториям, и определить перечень раскрываемой информации, каналы и сроки ее распространения.
Грамотная регламентация информационной безопасности (см. рисунок) и выработка соответствующей единой регулирующей политики, включая выполнение всех положений СТО БР ИББС-1.0-2008, позволит кредитной организации предохранить себя от неожиданных и нежелательных информационных всплесков, а также избежать таких рисков, как операционный, правовой, риск потери деловой репутации, ликвидности и стратегический.
В конкурентных условиях процесс раскрытия банковской информации должен проходить в рамках обдуманной, предотвращающей как можно больше возможных негативных последствий и угроз политики кредитной организации, направленной на установление оптимальных взаимоотношений с клиентами и субъектами. Этот процесс в отечественной практике только начинается, но необходимость его продвижения и совершенствования не вызывает сомнения.
Список литературы
1. Грюнинг Х. Ван, Брайович Братанович С. Анализ банковских рисков. Система оценки корпоративного управления и управления финансовым риском / Пер. с англ. К. Р. Тагирбекова. М.:Весь Мир, 2007.
2. Управление деятельностью коммерческого банка (банковский менеджмент) /Под ред. д-ра экон. наук, проф. О. И. Лаврушина. М.: Юристъ, 2002.
3. ISO/IEC IS 27001-2005 Information technology. Security techniques. Information security management systems. Requirements.
46
финансы и кредит