Управление операционным риском

     При использовании стандартов различных  производителей результаты оценки тоже могут получаться разными. В мировой  практике анализа и управления рисками  основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.

     В 2007 г. Международная организация  по стандартизации планирует включить данный стандарт в серию ISO 27000, состоящую  из шести стандартов информационной безопасности (по аналогии с другими  стандартами системы менеджмента  качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002.

     Точный  перевод международного стандарта, в целом несущий большую смысловую  нагрузку, определяющую важнейшие аспекты  информационной безопасности для любой  организации, вне зависимости от ее масштаба и рода деятельности приведен в табл.1.

 

Продолжение таблицы 1

  

          В предыдущей версии стандарта (ISO 17799:2000) было 10 пунктов. Разработчики новой версии выделили "Управление инцидентами информационной безопасности" в отдельный пункт ввиду высокой важности этого вопроса .

     Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис. 3).

       

Рис. 3 Возможный  сценарий анализа информационных рисков

     На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).

     Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его  результатом должна стать характеристика всех предполагаемых уязвимостей в  обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной  информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.

     На  заключительном этапе проводится оценка ущерба организации в случае реализации каждой из угроз.

     Многообразие  видов рисков, сопровождающих операционную деятельность банка, предопределяет необходимость постоянного управления ими, которое рассматривается как неотъемлемая составная часть всей системы управления операционной прибылью. Комплексное управление этими показателями обусловлено высокой степенью связи между уровнем операционной прибыли и уровнем операционных рисков, которая носит прямой характер .

     Управление  операционными рисками представляет собой систему мероприятий по их идентификации, оценке, профилактике и страхованию с целью минимизации  связанных с ними финансовых потерь в процессе операционной деятельности банка.

     Группировка операций банка по уровню риска позволяет  определить какие из них находятся  за пределами уровня допустимого  риска (особенно в зоне катастрофического  риска) с тем, чтобы еще раз  взвесить целесообразность их проведения.

     Внутренними и внешними факторами (причинами) операционного  риска являются:

     - случайные или преднамеренные  действия физических и (или)  юридических лиц, направленные  против интересов кредитной организации;

     - несовершенство организационной  структуры кредитной организации  в части распределения полномочий  подразделений и служащих, порядков  и процедур совершения банковских  операций и других сделок, их  документирования и отражения  в учете, несоблюдение служащими  установленных порядков и процедур, неэффективность внутреннего контроля;

     - сбои в функционировании систем  и оборудования;

     - неблагоприятные внешние обстоятельства, находящиеся вне контроля кредитной  организации.

     Управление  операционным риском входит в систему  управления рисками кредитной организации. 

 

1.2 Управление банковскими  рисками

     Необходимость управления информационными и телекоммуникационными рисками (IT- рисками) определяется значительным размером возможных операционных убытков, которые могут создавать угрозу финансовой устойчивости кредитной организации.

     Управление  рисками рассматривается нами на административном уровне информационной безопасности, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ .

     Использование информационных систем связано с  определенной совокупностью рисков. Когда возможный ущерб неприемлемо  велик, необходимо принять экономически оправданные меры защиты. Периодическая   переоценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

     С количественной точки зрения уровень  риска является функцией вероятности  реализации определенной угрозы (использующей некоторые уязвимые места), а также  величины возможного ущерба.

     Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы  оценить их размер, выработать эффективные  и экономичные меры снижения рисков, а затем убедиться, что риски  заключены в приемлемые рамки (и  остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

     - переоценка (измерение) рисков;

     - выбор эффективных и экономичных  защитных средств (нейтрализация рисков).

     По  отношению к выявленным рискам возможны следующие действия:

     - ликвидация риска (например, за счет устранения причины);

     - уменьшение риска (например, за счет использования дополнительных защитных средств);

     - принятие риска (и выработка плана действия в соответствующих условиях);

     - переадресация риска (например, путем заключения страхового соглашения).

     Процесс управления рисками можно разделить  на следующие этапы приведенные  на рисунке 4.

     

     Рис.4 Этапы управления рисками

      Уже перечисление этапов показывает, что управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность.

     Управление  рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили четыре этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.

     На этапе инициации известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности.

     На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности.

     На этапе установки выявленные риски следует учитывать при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествовать внедрению системы в эксплуатацию.

     На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе.

     При выведении системы из эксплуатации управление рисками помогает убедиться в том, что миграция данных происходит безопасным образом.

     Подготовительные  этапы управления рисками.

     Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны .

     Мы  уже указывали на целесообразность создания карты информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими пришлось пренебречь. Если информационная система меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

     Вообще  говоря, уязвимым является каждый компонент  информационной системы - от сетевого кабеля, который могут прогрызть  мыши, до базы данных, которая может  быть разрушена из-за неумелых действий администратора. Как правило, в сферу  анализа невозможно включить каждый винтик и каждый байт.

     Очень важно выбрать разумную методологию  оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и  если нет, то какие защитные средства стоит использовать. Значит, оценка должна быть количественной, допускающей  сопоставление с заранее выбранными границами допустимости и расходами  на реализацию новых регуляторов  безопасности. Управление рисками - типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются  к книгам по информационной безопасности) .

     При идентификации активов, то есть тех  ресурсов и ценностей, которые организация  пытается защитить, следует, конечно, учитывать  не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация  организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае.