Управление операционным риском

     Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту  информационной системы в качестве граней соответствующих объектов.

    Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких узлов оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

     Основные  этапы управления рисками.

     Этапы, предшествующие анализу угроз, можно  считать подготовительными, поскольку, строго говоря, они напрямую с рисками  не связаны. Риск появляется там, где  есть угрозы.

     Краткий перечень наиболее распространенных угроз  был рассмотрен нами ранее. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят  компьютерный характер. Так, вполне реальной угрозой является наличие мышей и тараканов в занимаемых организацией помещениях. Первые могут повредить кабели, вторые вызвать короткое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связана с отсутствием или недостаточной прочностью защитной оболочки.

     Первый  шаг в анализе угроз - их идентификация. Рассматриваемые виды угроз следует  выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако не забывая о возможности  захвата организации террористами), но в пределах выбранных видов  провести максимально подробный  анализ.

     Целесообразно выявлять не только сами угрозы, но и  источники их возникновения - это  поможет в выборе дополнительных средств защиты. Например, нелегальный  вход в систему может стать  следствием воспроизведения начального диалога, подбора пароля или подключения  к сети неавторизованного оборудования. Очевидно, для противодействия каждому  из перечисленных способов нелегального входа нужны свои механизмы безопасности.

     После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

     Кроме вероятности осуществления, важен  размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить  по трехбалльной шкале.

     После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке  информации, то есть собственно к оценке рисков. Вполне допустимо применить  такой простой метод, как умножение  вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

     Если  какие-либо риски оказались недопустимо  высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или  нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и  стоимости. Например, если велика вероятность  нелегального входа в систему, можно  потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее  восьми символов), задействовать программу  генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения  сервера баз данных, что может  иметь серьезные последствия, можно  врезать замок в дверь серверной  комнаты или поставить около  каждого сервера по охраннику.

     Оценивая  стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно  оценить по трехбалльной шкале и  затем сопоставить ее с разностью  между вычисленным и допустимым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.

     Важным  обстоятельством является совместимость  нового средства со сложившейся организационной  и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный  характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня .

     Как и всякую иную деятельность, реализацию и проверку новых регуляторов  безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств  и сроки обучения персонала. Если речь идет о программно-техническом  механизме защиты, нужно составить  план тестирования (автономного и  комплексного).

     Когда намеченные меры приняты, необходимо проверить  их действенность, то есть убедиться, что  остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей  переоценки. В противном случае придется проанализировать допущенные ошибки и  провести повторный сеанс управления рисками немедленно.

     Минимизация IT- риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и на уменьшение размера потенциальных операционных убытков. Методы минимизации IT- риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.

     В отношении контроля за операционным риском наиболее важным является:

     - контроль за соблюдением установленных  лимитов по проводимым банковским  операциям и другим сделкам;

     - соблюдение установленного порядка  доступа к информации и материальным  активам банка;

     - надлежащая подготовка персонала;

     - регулярная выверка первичных  документов и счетов по проводимым  банковским операциям и другим  сделкам.

     Снижению  операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации. При  этом кредитной организации рекомендуется  принимать во внимание возможную  трансформацию операционного риска: при ручной (неавтоматизированной) обработке существует высокая вероятность  наступления события, приводящего  к убыткам (например, ошибка при вводе  данных), а величина потенциальных  убытков - небольшая или умеренная, в то время как с повышением уровня автоматизации вероятность  наступления события, приводящего  к убыткам, снижается, но величина потенциальных  убытков может быть весьма значительной (например, ошибка в программном  обеспечении или системный сбой) [26].

     Снижение  уровня отдельных видов операционного  риска может быть осуществлено путем  передачи риска или его части  третьим лицам.

     Решение об использовании механизмов передачи риска (например, аутсорсинга - привлечения  специализированной сторонней организации  для выполнения отдельных видов  работ) рекомендуется принимать  по результатам тщательного анализа  с учетом ожидаемого эффекта, стоимости  и возможности трансформации  одного вида риска в другой. Кредитной  организации рекомендуется наряду с контролем за уровнем остаточного риска сохранять возможность контроля за размером передаваемого операционного риска.

     При применении аутсорсинга рекомендуется  обратить внимание на то, что в этом случае кредитная организация несет  ответственность не только за конечный результат деятельности, но и за способ его достижения, поэтому целесообразно  установить контроль за уровнем надежности, качества и соблюдением законодательства КР при оказании услуг.

     Аутсорсинг рекомендуется осуществлять на основе договоров, предусматривающих распределение прав, обязанностей и ответственности между кредитной организацией и поставщиком услуг. Кредитной организации рекомендуется предусмотреть во внутренних документах порядок регулирования рисков, связанных с аутсорсингом, в том числе риска отказа в обслуживании .

     Уменьшение  финансовых последствий операционного  риска (вплоть до полного покрытия потенциальных  операционных убытков) возможно с помощью  страхования. С использованием традиционных видов имущественного и личного  страхования кредитными организациями  могут быть застрахованы носители информации и сама информация - на случай утраты.

     Страхование может быть использовано и в отношении специфических банковских рисков как на комплексной основе (полис комплексного банковского страхования), так и применительно к отдельным видам рисков (например, страхование рисков, связанных с эмиссией и обращением платежных карт, страхование профессиональной ответственности служащих кредитной организации, страхование ущерба от преступлений в сфере компьютерной информации).

     Защита  информации — это обеспечение  непрерывности внутренних бизнес-процессов  и безопасности обмена данными с  клиентами при использовании  информационных систем. На случай возникновения  чрезвычайных ситуаций, таких как  атаки на основной сервер или сбои в его работе, журнал транзакций периодически копируется на резервный  сервер, находящийся в другом помещении, поэтому максимальный объем информации—  это данные за последний час работы.

     Таким образом, к информационным и телекоммуникационным рискам (IT-рискам) относятся потеря данных из-за сбоя в работе информационных систем, хищение информации, а также  передача информации третьим лицам  сотрудниками банка. Работа по минимизации  таких рисков делится на организационную  и техническую. Организационные  меры связаны с ограничением доступа  к данным. Для этого вся информация классифицируется на общедоступную, для  служебного пользования и секретную.

     В итоге получается матрица информационных потоков, каждому уровню которой  соответствует определенный уровень  доступа.  

     ГЛАВА2. АНАЛИЗ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ  В  ОАО «АЙЫЛ БАНК»

2.1 Общая характеристика  ОАО "Айыл Банк"

     ОАО «Айыл Банк» был образован  Правительством Кыргызской Республики при поддержке Всемирного Банка  в 1996 году в виде финансово-кредитного учреждения «Кыргызской сельскохозяйственной финансовой корпорации» с целью  предоставления кредитов частным фермерам и сельским товаропроизводителям на постоянной и устойчивой основе.

  В рамках реализации Стратегии Развития Страны на 2006-2010гг. для поддержания дальнейшего развития банковского сектора и расширения доступа сельского населения к финансовым услугам Правительство Кыргызской Республики приняло решение о преобразовании Кыргызской сельскохозяйственной финансовой корпорации (КСФК) в сельский банк, а именно в Открытое акционерное общество «Айыл Банк».