Управление операционным риском

В документе  излагаются три подхода (методики) расчета размера капитала, отчисляемого на операционный риск:

1) базовый метод показателей (BIA — Basic Indicator Approach);

2) стандартизованный метод (TSA — Standardised Approach);

3) усовершенствованные  методы измерения (группа методов  AMA — Advanced Measurement Approaches).

Выбор соответствующей  методики остается за банком. По мере своего развития банки могут продвигаться от простой методики BIA к более  сложной AMA, и даже разработать свою (внутрибанковскую) методику. Однако для  этого банк должен получить разрешение надзорного органа — в нашей стране это Центральный Банк (ЦБ).

Квалификационные  критерии для применения усовершенствованного метода измерения операционного  риска (AMA) представлены ниже. Банк должен, как минимум, доказать надзорному органу следующее.

1. В банке  решены задачи организационного  управления ОР:

• совет директоров и правление участвуют в контроле политики управления операционным риском;
• в банке имеется концептуально здравая и добросовестно реализуемая система управления рисками;
• у банка есть достаточно ресурсов для применения выбранной методики на основных бизнес-направлениях (бизнес-линиях), а также в сфере контроля и аудита.

2. Выполнены  требования обоснованности выбранного  метода:

• метод охватывает потенциально тяжелые случаи убытков (99,9 % распределения потерь);
• банки должны разработать и соблюдать строгие процедуры создания модели операционного риска и независимой проверки модели.

3. В применяемой  системе оценок ОР должны быть  определенные ключевые признаки:

• применение внутренних статистических данных по случаям убытков и величинам потерь;
• использованы субъективные суждения экспертов о вероятности и масштабах убытков;
• система измерения ОР должна использовать соответствующие внешние данные (государственные данные или сводные данные по банковской системе), особенно когда есть основания считать, что банк несет хотя и редкие, но потенциально ощутимые потери.

Следует подчеркнуть, что применяемая в банке система  оценки ОР, вне зависимости от выбранной  методики, должна помочь распределить капитал на операционный риск по всем бизнес-линиям так, чтобы появились  стимулы улучшить управление операционным риском по всем направлениям деятельности банка. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     3. РЕГУЛИРОВАНИЕ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ РИСКОВ В СИСТЕМЕ УПРАВЛЕНИЯ ОПЕРАЦИОННЫМ РИСКОМ КРЕДИТНЫХ ОРГАНИЗАЦИЙ 

     3.1. Методы управления  рисками, связанными  с использованием  информационных и  телекоммуникационных  систем

        Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы [3]:

     - статистический анализ распределения  фактических убытков;

     - балльно-весовой метод (метод  оценочных карт);

     - моделирование (сценарный анализ).

     Во  второй половине 90-х годов компания C & A Systems Security [33] разработала методику и одноименный инструментарий для  анализа и управления информационными  рисками, получившие название COBRA. Эта  методика позволяет выполнить в  автоматизированном режиме оценку информационных рисков банка. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.

     Из  программных комплексов российских производителей можно отметить "Кондор" и "Гриф" производства компании Digital Security [35].Они привлекают простым и  понятным пользовательским интерфейсом  и сравнительно невысокой ценой. Демонстрационные версии этого программного обеспечения можно бесплатно  скачать с сайта производителя. Аудиторам информационной безопасности предлагаются консалтинговые версии данных программных продуктов. Они много дороже своих корпоративных аналогов, зато в их базах содержатся исчерпывающие наборы аналитических данных.

     Четкой  методики количественного расчета  величин рисков как не было, так  и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности  реализации той или иной угрозы. В результате наибольшее распространение  получила качественная оценка информационных рисков.

     В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт.

     Идентификация угроз.

     Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя с целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в банке не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.

     Расчет  информационных рисков.

     Формула, чаще всего используемая при расчете  рисков, представляет собой произведение трех параметров:

     1. стоимость ресурса (Asset Value, AV). Указанная  величина характеризует ценность  ресурса. При качественной оценке  рисков стоимость ресурса чаще  всего ранжируется в диапазоне  от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;

     2. мера уязвимости ресурса к  угрозе (Exposure Factor, EF). Этот параметр  показывает, в какой степени тот  или иной ресурс уязвим по  отношению к рассматриваемой  угрозе. Например, с точки зрения  банка ресурс автоматизированной  банковской системы имеет наибольшую  доступность. Таким образом, атаки  с целью реализации отказа  в обслуживании (Denial of Service, DoS) представляют  для него максимальную угрозу. При качественной оценке рисков  данная величина также ранжируется  в диапазоне от 1 до 3, где 1 — минимальная мера уязвимости (слабое воздействие), 2 — средняя (ресурс подлежит восстановлению), 3 — максимальная (ресурс требует полной замены после реализации угрозы);

     3. оценка вероятности реализации  угрозы (Annual Rate of Occurrence, ARO) демонстрирует,  насколько вероятна реализация  определенной угрозы за определенный  период времени (как правило,  в течение года) и также ранжируется  по шкале от 1 до 3 (низкая, средняя,  высокая).

     На  основании полученных данных выводится  оценка ожидаемых потерь (уровень  риска):

• оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле:

     SLE = AV x EF; (1)

• итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле:

     ALE = SLE x ARO. (2)

     Таким образом, конечная формула расчета  рисков представляет собой произведение:

     ALE = ((AV x EF = SLE) x ARO). (3)

     Как видим, большинство из описанных  параметров принимается на основе мнения эксперта. Это связано с тем, что  количественная оценка вероятности  реализации угрозы затруднена ввиду  относительной новизны информационных технологий и, как следствие, отсутствия достаточного количества статистических данных. В случае оценки стоимости  ресурса (AV) количественная оценка (например, в денежном эквиваленте) чаще всего  не проводится, и тогда оценка параметра SLE затруднена [34].

     Методики  управления рисками.

     После проведения первичной оценки рисков полученные значения следует систематизировать  по степени важности для выявления низких, средних и высоких рисков. Методика управления рисками подразумевает несколько способов действий. Риск может быть:

     - принят (assumption), т. е. пользователь  согласен на риск и связанные  с ним потери, поэтому работа  информационной системы продолжается  в обычном режиме;

     - снижен (mitigation) — с целью уменьшения  величины риска будут приняты  определенные меры;

     - передан (transference) — компенсацию  потенциального ущерба возложат  на страховую компанию, либо риск  трансформируют в другой риск  — с более низким значением  — путем внедрения специальных  механизмов.

     Некоторые методики дополнительно предусматривают еще один способ управления — "упразднение" (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако, на мой взгляд, такой подход неконструктивен ввиду того, что, если величина риска достаточно велика, порождающий его компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска (mitigation).

     После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже — передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа. Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Так, например, если величины рассчитанных рисков лежат в диапазоне от 1 до 18, низкие риски находятся в диапазоне от 1 до 7, средние — в диапазоне от 8 до 13, высокие — в диапазоне от 14 до 18.

     Таким образом, управление рисками сводится к снижению величин высоких и  средних рисков до характерных для  низких рисков значений, при которых  возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (AV, EF, SLE) путем принятия определенных мер. В основном это возможно применительно  к EF и SLE, так как AV (стоимость ресурса) — фиксированный параметр. Однако возможно и его снижение. Например, если хранящаяся на сервере информация относится к конфиденциальной, но проверка выявила, что гриф "конфиденциально" в силу каких-либо причин может быть снят. В результате стоимость ресурса  автоматически уменьшается. В системе Internet-банкинга, например, параметр EF можно  уменьшить путем фиксации ответственности  сторон в договорном порядке. В этом случае считается, что стороны предупреждены  об ответственности, которую может  повлечь за собой нарушение правил эксплуатации системы, и, таким образом, фактор уязвимости снижается [27].

     Снижение  параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии  угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность  ее реализации.

     Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для  обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они  оценены как высокие и средние.

     Анализ  информационных рисков - это процесс  определения угроз информации, уязвимостей  информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в  денежном выражении) от реализации выявленных угроз безопасности информации, а  также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).