Финансы » Управление операционным риском » Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Страница 3

Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.

Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.

Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).

Этапами анализа информационных рисков являются:

• классификация информационных ресурсов по критериям безопасности;

• оценка стоимости ресурсов;

• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;

• определение перечня возможных атак на объект защиты и механизмов их реализации;

• оценивание возможного ущерба и последствий реализации угроз;

• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;

• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.

Результат выполнения:

• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.

• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.

Оценка информационных рисков.

Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.

Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.

Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.

1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.

2. Подбор, приобретение и внедрение программного обеспечения (ПО).

3. Регламентирование бизнес-процессов.

4. Поддержание технологии в актуальном состоянии.

5. Ведение данных.

6. Сопровождение ПО.

Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.

Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.

Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].

Популярные материалы:

Виды международных аккредитивов
Как указывалось выше, аккредитивная форма расчетов имеет преимущества как для импортера, так и для экспортера. В российской практике наряду с часто используемыми формами аккредитивов есть и такие, с которыми банки работают неохотно, ужесточая требования к российским клиентам. Раньше иностранные бан ...

Анализ возможных последствий прихода иностранных страховых компаний на российский рынок после вступления России в ВТО
Страхование — это экономическая категория, система экономических отношений, которые включают совокупность форм и методов формирования целевых фондов денежных средств и их использование на возмещение ущерба, обусловленного различными непредвиденными неблагоприятными явлениями (рисками). Проблема пос ...

Резервирование ценных бумаг
Механизм резервирования ценных бумаг не нашёл отражения в действующем законодательстве Республики Беларусь. При отсутствии такого механизма невозможно осуществление взаимного резервирования денежных средств и ценных бумаг контрагентов по сделкам купли-продажи и встречной поставки ценных бумаг. Резе ...