Финансы » Управление операционным риском » Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Страница 1

Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы [3]:

- статистический анализ распределения фактических убытков;

- балльно-весовой метод (метод оценочных карт);

- моделирование (сценарный анализ).

Во второй половине 90-х годов компания C & A Systems Security [33] разработала методику и одноименный инструментарий для анализа и управления информационными рисками, получившие название COBRA. Эта методика позволяет выполнить в автоматизированном режиме оценку информационных рисков банка. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.

Из программных комплексов российских производителей можно отметить "Кондор" и "Гриф" производства компании Digital Security [35].Они привлекают простым и понятным пользовательским интерфейсом и сравнительно невысокой ценой. Демонстрационные версии этого программного обеспечения можно бесплатно скачать с сайта производителя. Аудиторам информационной безопасности предлагаются консалтинговые версии данных программных продуктов. Они много дороже своих корпоративных аналогов, зато в их базах содержатся исчерпывающие наборы аналитических данных.

Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков.

В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт[20].

Идентификация угроз.

Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя с целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в банке не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.

Расчет информационных рисков.

Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:

1. стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;

Популярные материалы:

Основные черты добровольного медицинское страхования
В основе формирования тех или иных интересов находятся потребности личности. Потребность - испытываемая живым организмом в процессе его жизнедеятельности нужда в чем-либо[1], нужда, принявшая специфическую форму в соответствии с культурным уровнем и личностью индивида. Применительно к заявленной на ...

Учёт операций по покупке и продаже безналичной иностранной валюты
Валютные операции регламентируются законом «О валютном регулировании и валютном контроле», принятый в октябре 1992г. В законе определены принципы осуществления валютных операций в РФ, полномочия и функции органов валютного регулирования и валютного контроля, права и обязанности юридических и физиче ...

Повышение качества банкнот, оптимизация структуры наличных денег
Основными направлениями этой деятельности Банка России являются: · защита платежного оборота от фальшивомонетничества; · оптимизация структурных затрат, связанных с производством денежных знаков; · улучшение потребительских свойств банкнот и продление срока их жизни; · оптимизация структуры наличны ...