ОЦЕНКА РИСКОВ БЕЗОПАСНОСТИ СИСТЕМ ИНТЕРНЕТ-БАНКИНГА

На сегодняшний день автоматизированные банковские системы (АБС) являются краеугольным камнем в обеспечении бизнес-процессов практически любой кредитной организации вне зависимости от ее размеров и масштабов деятельности. Использование интернет-технологий подвергает АБС дополнительным рискам внутреннего и внешнего проникновения, поэтому от их защиты напрямую зависит устойчивость работы банка. В этой связи высокую значимость для каждого банка, особенно предоставляющего услуги интернет-банкинга, приобретают вопросы оценки операционных рисков, связанных с возможным нарушением информационной безопасности, систематизации действующих мер защиты и разработки стратегии в области минимизации рисков до приемлемого уровня[1].

В настоящее время можно выделить следующие основные виды оценки состояния информационной безопасности банков:

  • ? оценка соответствия требованиям Международного стандарта ISO 27001;
  • ? оценка соответствия требованиям Стандарта Банка России СТО БР ИББС-1.0;
  • ? оценка соответствия требованиям Нового Базельского соглашения о достаточности капитала (Базель II);
  • ? оценка защищенности — анализ, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения АБС;
  • ? оценка рисков информационной безопасности.

Каждая из вышеперечисленных видов оценки может проводиться по отдельности или в комплексе в зависимости от тех задач, которые необходимо решить банку. В качестве объекта оценки может выступать как АБС в целом, так и ее отдельные подсистемы, в которых проводится обработка информации, подлежащей защите. В качестве таких подсистем может выступать интранет-портал, узел доступа к сети Интернет, система электронного документооборота, система «Клиент — Банк».

Качество проводимой оценки рисков безопасности во многом зависит от полноты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении АБС, информацию о средствах защиты, установленных в АБС.

В процессе анализа информации определяются операционные риски информационной безопасности, которым может быть подвержен банк. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Обычно выделяют две основные группы методов расчета рисков безопасности:

  • 1) позволяет установить уровень риска путем оценки степени соответствия определенному набору требований по обеспечению информационной безопасности. В качестве источников таких требований могут выступать требования Стандарта Банка России;
  • 2) базируется на определении вероятности реализации угрозы, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой угрозы и в общем случае представляется как произведение вероятности реализации угрозы на величину возможного ущерба от этой угрозы:

Значение ущерба определяется собственником информационного ресурса, а вероятность успешной атаки вычисляется группой экспертов, проводящих процедуру оценки риска.

Методы первой и второй группы могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае риск и все его параметры выражаются в числовых значениях. Так, при использовании количественных шкал вероятность реализации угрозы Р(а) может выражаться числом в интервале (0,1), а ущерб может задаваться в виде денежного эквивалента материальных потерь, которые может понести банк в случае успешного проведения атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков (рис. 4.5).

В последующих табл. 4.1 и 4.2 приведены примеры качественных шкал оценки рисков информационной безопасности, в которых для оценки уровней ущерба и вероятности успешной атаки используется пять понятийных уровней.

Модель измерения информационной безопасности

Рис. 4.5. Модель измерения информационной безопасности

Таблица 4.1

Качественная шкала оценки уровня ущерба

№ п/п

Уровень ущерба

Описание

1

Малый ущерб

Приводит к незначительным потерям материальных активов, которые быстро восстанавливаются, или к незначительному влиянию на репутацию банка

2

Умеренный ущерб

Вызывает заметные потери материальных активов или приводит к умеренному влиянию на репутацию банка

3

Ущерб средней тяжести

Приводит к существенным потерям материальных активов или значительному урону репутации банка

4

Большой ущерб

Вызывает большие потери материальных активов и наносит большой урон репутации банка

5

Критический ущерб

Приводит к критическим потерям материальных активов или к полной потере репутации компании на рынке, что делает невозможным дальнейшую деятельность банка

При использовании качественных шкал для вычисления уровня риска применяются специальные таблицы-матрицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке — уровни вероятности атаки. Ячейки же таблицы, расположенные

Таблица 4.2

Качественная шкала оценки вероятности реализации угрозы

№ п/п

Уровень вероятности

Описание

1

Очень низкая

Угроза практически никогда не будет реализована. Уровень соответствует числовому интервалу вероятности (0—0,25)

2

Низкая

Вероятность реализации угрозы достаточно низкая. Уровень соответствует числовому интервалу вероятности (0,25—0,5)

3

Средняя

Вероятность реализации угрозы = 0,5

4

Высокая

Угроза скорее всего будет реализована. Уровень соответствует числовому интервалу вероятности (0,5-0,75)

5

Очень высокая

Угроза почти наверняка будет реализована. Уровень соответствует числовому интервалу вероятности (0,75-1)

на пересечении первой строки и столбца, содержат уровень риска безопасности. Размерность таблицы зависит от количества концептуальных уровней вероятности атаки и ущерба (табл. 4.3).

Таблица 4.3

Определение уровня риска информационной безопасности

Ущерб

Вероятность атаки

очень низкая

низкая

средняя

высокая

очень высокая

Малый

Низкий риск

Низкий риск

Низкий риск

Средний риск

Средний риск

Умеренный

Низкий риск

Низкий риск

Средний риск

Средний риск

Высокий риск

Средней

тяжести

Низкий риск

Средний риск

Средний риск

Средний риск

Высокий риск

Большой

Средний риск

Средний риск

Средний риск

Средний риск

Высокий риск

Критический

Средний риск

Высокий риск

Высокий риск

Высокий риск

Высокий риск

Логичным продолжением процесса оценки рисков интернет-банкинга, в том числе рисков информационной безопасности, является подготовка рекомендаций по совершенствованию организационно-технического обеспечения информационной безопасности банка. Такие рекомендации могут включать в себя различные типы действий, направленных на минимизацию выявленных рисков, в том числе уменьшение риска путем использования дополнительных организационных и технических средств защиты, уклонение от риска за счет изменения архитектуры или схемы информационных потоков АБС, изменение характера риска путем, например, реализации соответствующих мер по страхованию информационных активов, принятие приемлемого для банка уровня риска.

В большинстве случаев полностью устранить все риски информационной безопасности невозможно, поэтому рекомендации могут только минимизировать их до возможно приемлемого уровня[1].

Необходимо отметить, что выбор конкретной методики оценки рисков зависит от специфики АБС банка и услуг, предоставляемых посредством сети Интернет, а также профессионального уровня риск- менеджмента банка. Последний фактор приобретает высокую значимость в свете необходимости применения суждения относительно вероятности наступления риска и качественной его оценки.

Например, стратегический риск считается высоким в том случае, если наблюдаются следующие факторы:

  • ? практика управления риском в банке не согласуется со стратегическими инициативами;
  • ? имеются явные недостатки в определении стратегического направления;
  • ? стратегические инициативы не в должной мере поддерживаются рабочими принципами и программами, определяющими нормы поведения;
  • ? структура и показатели деятельности банка не обеспечивают долгосрочных стратегий;
  • ? недостатки в принятии руководящих решений и распознавании риска не позволяют эффективно оценивать новые услуги, виды обслуживания или приобретения;
  • ? информационные системы управления, предназначенные для поддержки стратегических инициатив, имеют серьезные недостатки;
  • ? стратегические цели неясны или противоречивы и привели к рассогласованию между устойчивостью банка к риску и возможностью мобилизации необходимых ресурсов для их достижения.

Очевидно, что итоговое оценивание, во-первых, прямо зависит от квалификации того, кто осуществляет оценку, во-вторых, зависит от таких же промежуточных количественных или качественных оценок, в-третьих, не связано с четкими и ясными алгоритмами выявления и анализа факторов риска.

При внедрении дистанционного банковского обслуживания типа интернет-банкинга, соответственно расширяется состав компонентов рисков и проявляется взаимное влияние между рисками, что неизбежно смещает их оценки. Например, у операционного риска появляются новые компоненты, обусловленные несовершенством защиты банковских автоматизированных систем, правовой риск усугубляется недостаточно глубокими законодательными определениями юридической силы документов, формируемых и передаваемых в электронной форме, а оба эти риска оказывают влияние на репутационный риск, связанный к тому же с возможностями несанкционированного доступа к клиентской информации, циркулирующей в банковской информационной системе. В итоге может повыситься и стратегический риск, поскольку положение банка станет менее устойчивым, в том числе из-за неправильных бизнес-решений стратегического характера. Следовательно, для выявления, оценивания, анализа и мониторинга банковских рисков принципиально требуется создание специальной причинно-следственной методологии, причем уникальной для каждого коммерческого банка из-за множественных различий в структуре банков, масштабах и сферах их деятельности, архитектуре внутрибанковских систем, аппаратно-программном обеспечении, квалификации персонала и т.п. В то же время принципы, на которых могла бы основываться эта методология, должны быть достаточно общими и универсальными, чтобы их можно было использовать при анализе любого частного банковского риска в любом банковском учреждении независимо от категории и специфики формирования итоговых оценок рисков. Для этого необходимо прежде всего сформулировать базовые понятия с учетом смыслового содержания банковской деятельности, затем, исходя из семантики полученных формулировок, определить причины, источники и условия возникновения отдельных банковских рисков в кредитных организациях, даяее—определить виды и содержание конкретных последствий влияния выявленных факторов риска по всем затрагиваемым направлениям деятельности и, наконец, разработать практическую методику получения финансовых оценок последствий такого рода и методику воздействия на источники рисков[3].

  • [1] См.: Сердюк В. Зачем кредитным организациям нужен аудит безопасности? //Бухгалтерия и банки. 2007. № 6.
  • [2] См.: Сердюк В. Зачем кредитным организациям нужен аудит безопасности? //Бухгалтерия и банки. 2007. № 6.
  • [3] См.: Лямин Л.В. Принципы риск-ориентированного банковского контроля // Оперативное управление и стратегический менеджмент в коммерческом банке. 2003. № 3.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >