Финансы » Управление операционным риском » Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем
Страница 3

Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.

Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.

Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).

Этапами анализа информационных рисков являются:

• классификация информационных ресурсов по критериям безопасности;

• оценка стоимости ресурсов;

• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;

• определение перечня возможных атак на объект защиты и механизмов их реализации;

• оценивание возможного ущерба и последствий реализации угроз;

• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;

• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.

Результат выполнения:

• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.

• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.

Оценка информационных рисков.

Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.

Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.

Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.

1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.

2. Подбор, приобретение и внедрение программного обеспечения (ПО).

3. Регламентирование бизнес-процессов.

4. Поддержание технологии в актуальном состоянии.

5. Ведение данных.

6. Сопровождение ПО.

Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.

Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.

Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].

Страницы: 1 2 3 4

Популярные материалы:

Совершенствование страховых выплат
Специфика страховой пассивности населения России заключается в изначальном недоверии к страховым организациям, слабой страховой культуре, административных, процедурных и процессуальных сложностях процесса получения возмещения, в недостаточной материальной обеспеченности и многих других факторах. Со ...

Современные тенденции в наличном денежном обращении
В 2010 году наличное денежное обращение функционировало в условиях восстановления экономики после ее спада в связи с финансово-экономическим кризисом. Рост по сравнению с аналогичным периодом 2009 году наблюдается по всем ключевым индикаторам экономики: ВВП, индексу промышленного производства, обор ...

Современные системы дистанционных расчетов
Управление банковскими счетами через интернет, или по-другому Интернет-банкинг, является наиболее динамичным и представительным направлением финансовых интернет-решений, в силу наиболее широкого спектра банковских услуг, представленных в системах Интернет-банкинга. Подобные системы могут быть основ ...

Актуальное

Ценные бумаги

Ценные бумаги

Ценные бумаги представляют собой денежные документы, удостоверяющие права собственности или отношения займа владельца документа по отношению к лицу, выпустившему такой документ (эмитенту).

Валютные операции

Валютные операции

Перестройка внешнеэкономической деятельности нашей страны требует соответствующих изменений в работе коммерческих банков во всем многообразии их внешних и внутренних связей.

Меню сайта

Copyright © 2019 - All Rights Reserved - www.castbanking.ru