Финансы » Управление операционным риском » Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Страница 1

Во внутренних документах кредитной организации рекомендуется определить методы оценки операционного риска. Кредитные организации могут разрабатывать методы оценки операционного риска самостоятельно либо использовать методы, принятые в международной банковской практике. В международной банковской практике применяются следующие методы [3]:

- статистический анализ распределения фактических убытков;

- балльно-весовой метод (метод оценочных карт);

- моделирование (сценарный анализ).

Во второй половине 90-х годов компания C & A Systems Security [33] разработала методику и одноименный инструментарий для анализа и управления информационными рисками, получившие название COBRA. Эта методика позволяет выполнить в автоматизированном режиме оценку информационных рисков банка. Для этого предлагается использовать специальные электронные базы знаний и процедуры логического вывода, ориентированные на требования ISO 17799.

Из программных комплексов российских производителей можно отметить "Кондор" и "Гриф" производства компании Digital Security [35].Они привлекают простым и понятным пользовательским интерфейсом и сравнительно невысокой ценой. Демонстрационные версии этого программного обеспечения можно бесплатно скачать с сайта производителя. Аудиторам информационной безопасности предлагаются консалтинговые версии данных программных продуктов. Они много дороже своих корпоративных аналогов, зато в их базах содержатся исчерпывающие наборы аналитических данных.

Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков.

В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт[20].

Идентификация угроз.

Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя с целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в банке не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.

Расчет информационных рисков.

Формула, чаще всего используемая при расчете рисков, представляет собой произведение трех параметров:

1. стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;

Популярные материалы:

Расчет экономической эффективности внедрения предлагаемых мероприятий
В целом, по результатам практической работы, организацию работы Кредитного управления ОАО "Восточный экспресс банк" можно считать соответствующей действующему банковскому и гражданскому законодательству, инструкциям и положениям ЦБ РФ, Кредитной политике и иной внутренней банковской докум ...

Развитие на зарубежных рынках
Сегодня ОАО Банк ВТБ является единственным российским банком, имеющим широкое международное присутствие. Наличие международной сети является одним из существенных конкурентных преимуществ Группы, которое позволяет предоставлять услуги клиентам в 20 странах по всему миру, способствует развитию между ...

Анализ состава и структуры привлеченных средств в ОАО «Банк Москва-Минск»
Анализ привлеченных средств банка, являясь частью анализа деятельности коммерческого банка, имеет немаловажное значение: - для самих банков; - для их акционеров; - для Национального банка. Коммерческие банки на основе анализа своей деятельности, а также деятельности других банков могут оценивать эф ...