В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.
Контроль над уровнем рисков в Отделе должен быть направлен на ограничение рисков, принимаемых банком, и на обеспечение порядка проведения операций и сделок, который способствует достижению установленных банком целей и задач, при соблюдении требований законодательства, нормативных актов Банка России, стандартов профессиональной деятельности и правил деловых обычаев.
Как показывает опыт многих российских банков, наиболее успешные стратегии предупреждения информационных и телекоммуникационных рисков (IT-рисков) базируются на трех основных правилах.
Правило № 1. Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.
Правило № 2. Банк должен контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.
Правило № 3. Информационные системы, от которых напрямую зависит деятельность банка (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации [12].
Для обеспечения необходимой защиты от информационных и телекоммуникационных рисков и контроля безопасности можно провести следующие мероприятия.
1. Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение информационных и телекоммуникационных рисков (IT-рисков), а также обеспечить резервные мощности для работы в критической ситуации.
2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.
3. Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.
4. Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.
5. Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.
Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:
· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;
· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления банка;
· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.
Если бизнес банка во многом зависит от состояния ее информационных сетей, необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре банка (например, заместитель по безопасности).
Популярные материалы:
Развитие, реорганизация и окончательное формирование страховой системы в
СССР
Сложившаяся система была законодательно закреплена в 1925 году «Положением о государственном страховании в СССР». В период построения основ социалистической экономики (1926-1932 гг.) основным видом стало обязательное государственное имущественное страхование. В дополнение к нему стало развиваться д ...
Метод аналитических группировок
Аналитическая группировка позволяет выявить наличие или отсутствие зависимости. Вместе с тем в рамках этого метода не удается аналитически описать эту зависимость, а также не удается выяснить "тесноту" или "существенность" этой зависимости. Метод аналитических группировок примен ...
Проблемы вексельного рынка в России и пути их преодоления
Активизация вексельного обращения приводит, во-первых, к ускорению расчетов и оборачиваемости оборотных средств. Во-вторых, уменьшается потребность в банковском кредите, соответственно снижаются процентные ставки за его использование, и в результате сокращается эмиссия денег. Оборот векселей в ближ ...
Ценные бумаги представляют собой денежные документы, удостоверяющие права собственности или отношения займа владельца документа по отношению к лицу, выпустившему такой документ (эмитенту).
Перестройка внешнеэкономической деятельности нашей страны требует соответствующих изменений в работе коммерческих банков во всем многообразии их внешних и внутренних связей.