После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.
Если какие-либо риски оказались недопустимо высокими, необходимо их нейтрализовать, реализовав дополнительные меры защиты. Как правило, для ликвидации или нейтрализации уязвимого места, сделавшего угрозу реальной, существует несколько механизмов безопасности, различных по эффективности и стоимости. Например, если велика вероятность нелегального входа в систему, можно потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения сервера баз данных, что может иметь серьезные последствия, можно врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику.
Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым риском. Если по этому показателю новое средство оказывается экономически выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов.
Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структурой, с традициями организации. Меры безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузиазме сотрудников. Порой сохранение духа открытости важнее минимизации материальных потерь. Впрочем, такого рода ориентиры должны быть расставлены в политике безопасности верхнего уровня [15].
Как и всякую иную деятельность, реализацию и проверку новых регуляторов безопасности следует предварительно планировать. В плане необходимо учесть наличие финансовых средств и сроки обучения персонала. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного).
Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно.
Минимизация IT- риска предполагает осуществление комплекса мер, направленных на снижение вероятности наступления событий или обстоятельств, приводящих к операционным убыткам, и на уменьшение размера потенциальных операционных убытков. Методы минимизации IT- риска рекомендуется применять с учетом характера и масштабов деятельности кредитной организации.
В отношении контроля за операционным риском наиболее важным является:
- контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;
- соблюдение установленного порядка доступа к информации и материальным активам банка;
- надлежащая подготовка персонала;
- регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.
Снижению операционного риска может способствовать развитие систем автоматизации банковских технологий и защиты информации. При этом кредитной организации рекомендуется принимать во внимание возможную трансформацию операционного риска: при ручной (неавтоматизированной) обработке существует высокая вероятность наступления события, приводящего к убыткам (например, ошибка при вводе данных), а величина потенциальных убытков - небольшая или умеренная, в то время как с повышением уровня автоматизации вероятность наступления события, приводящего к убыткам, снижается, но величина потенциальных убытков может быть весьма значительной (например, ошибка в программном обеспечении или системный сбой) [26].
Популярные материалы:
Условия членства
кредитная кооперация членство Кооператив является открытой организацией и заинтересован в увеличении количества членов. Желающий вступить в кооператив подает заявление в правление кооператива, в котором обязуется: соблюдать устав кооператива, пользоваться услугами данного кооператива, погашать убыт ...
Возникновение банков
На протяжении всего периода зарождения первых древних государств (начиная с 3 тысячелетия до н. э.) в качестве денег, использовались наиболее важные, общественно значимые предметы потребления (скот, зерно, меха, кожа и пр.). Товарные деньги обладали высокой транспортабельностью, относительной сохра ...
Проблемы и причины их возникновения в сфере кредитования субъектов малого
предпринимательства
Финансовое состояние и показатели развития малых предприятий являются достаточно точной характеристикой экономической ситуации. Так, несмотря на стабилизацию экономического развития и возникновение большого числа новых малых предприятий, до полного освоения экономической ниши малого бизнеса в Росси ...
Ценные бумаги представляют собой денежные документы, удостоверяющие права собственности или отношения займа владельца документа по отношению к лицу, выпустившему такой документ (эмитенту).
Перестройка внешнеэкономической деятельности нашей страны требует соответствующих изменений в работе коммерческих банков во всем многообразии их внешних и внутренних связей.