Финансы » Управление операционным риском » Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Страница 1

Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы [3]:

- статистический анализ распределения фактических убытков;

- балльно-весовой метод (метод оценочных карт);

- моделирование (сценарный анализ).

Во второй половине 90-х годов компания C & A Systems Security [33] разработала методику и одноименный инструментарий для анализа и управления информационными рисками, получившие название COBRA. Эта методика позволяет выполнить в автоматизированном режиме оценку информационных рисков банка. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.

Из программных комплексов российских производителей можно отметить "Кондор" и "Гриф" производства компании Digital Security [35].Они привлекают простым и понятным пользовательским интерфейсом и сравнительно невысокой ценой. Демонстрационные версии этого программного обеспечения можно бесплатно скачать с сайта производителя. Аудиторам информационной безопасности предлагаются консалтинговые версии данных программных продуктов. Они много дороже своих корпоративных аналогов, зато в их базах содержатся исчерпывающие наборы аналитических данных.

Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков.

В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт[20].

Идентификация угроз.

Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя с целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в банке не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.

Расчет информационных рисков.

Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:

1. стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;

Популярные материалы:

Основные положения устава
В Уставе содержатся следующие сведения: · наименование банка и его местонахождение (почтовый и юридический адрес); · перечень выполняемых им банковских операций; · размер уставного капитала, резервного и иных фондов, образуемых банком; · указание на то, что банк является юридическим лицом и действу ...

Инструменты регулирования банков и структура управления
Центральные банки экономически развитых стран располагает определенными методами воздействия на экономику. Традиционно к таким методам относятся: дисконтная (учетная) и залоговая политика, политика минимальных резервов, операции на открытом рынке, депозитная политика, валютная политика. Основной пр ...

V&M-метод финансового анализа деятельности банка
Рассмотрим комплексный показатель финансового анализа на основании результатов теории нечетких множеств. [6] Алгоритм построения так называемого V&M-показателя следующая: 1. Полное множество состояний А банка разбивается на пять (в общем случае пересекающихся) нечетких подмножеств вида: А1 - не ...