Финансы » Управление операционным риском » Заключение

Заключение

Страница 1

Обеспечение информационной безопасности — одна из главных задач современного банка. Угрозу могут представлять не только технические сбои, но и несогласованность данных в различных учетных системах, которая встречается едва ли не у каждого банка, а также неограниченный доступ сотрудников к информации.

Работа по минимизации информационных и телекоммуникационных рисков (IT-рисков) заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

Под термином "Регулирование информационных и телекоммуникационных рисков" обычно понимают комплекс мер по идентификации, анализу и устранению выявленных в структуре информационной безопасности недостатков, которые связаны с разработкой, эксплуатацией и утилизацией информационно-вычислительных комплексов, в соответствии с существующей нормативно-правовой базой и корпоративной политикой безопасности.

Этот процесс можно разбить на следующие этапы:

· определение и оценка информационных рисков;

· выбор и применение контрмер, структурированных по уровням: административному, процедурному, программно-техническому;

· финансирование рисков;

· контроль рисков на всех этапах жизненного цикла.

Основной целью регулирования риска использования информационных и телекоммуникационных систем является минимизация его отрицательного влияния на результаты деятельности кредитной организации. В настоящее время разработка систем оценки и мониторинга операционного риска находится в начальной стадии, что не даёт возможности органам надзора утвердить положения, обязывающие соблюдать конкретные методики оценки или количественные ограничения уровня риска. Кредитные организации Российской Федерации только начинают применять инструменты регулирования данного риска, позволяющие строить процесс управления операционным риском в зависимости от принятой в кредитной организации стратегии.

Для регулирования и обеспечения необходимой защиты от

информационных и телекоммуникационных рисков (IT-рисков)

и контроля безопасности можно провести следующие мероприятия:

1.Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала банка, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.

2. Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах банка, используемых для этой цели.

3.Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.

4.Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

5.Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия банка по выходу из кризиса. Для этого следует:

· проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников банка во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

· разработать варианты решения проблем, связанных с кадрами, включая уход из банка ключевых сотрудников, например, составить и ознакомить персонал с планом преемственности управления в кредитной организации;

· подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи.

Применение политики информационной безопасности и оптимизация структуры информационной системы с точки зрения повышения защищенности, внедрение рекомендаций позволит повысить эффективность системы управления информационной безопасностью и оптимизировать затраты на нее по соотношению цена / допустимый уровень информационных рисков.

Популярные материалы:

Мероприятия по совершенствованию процесса кредитования, оценка их эффективности
Стратегической целью является сохранение и укрепление лидирующих позиций на рынке банковской розницы за счет диверсификации продуктовой линейки и активного развития розничного направления бизнеса на территории России. Банку «Хоум Кредит» необходимо: - расширять и постоянно совершенствовать спектр п ...

Формы гражданско-правовой ответственности за ненадлежащее исполнение обязательств по договору добровольного медицинского страхования
Какой бы спецификой ни обладало медицинское страхование, обязанностью страховщика всегда будет выплата определенной денежной суммы (денежное обязательство)[41]. Это утверждение тем более справедливо в отношении договоров ДМС, имеющих рисковую природу, но все же возмездных и направленных в своей сов ...

Анализ мирового опыта ипотечного кредитования
Ипотека впервые возникла в Древней Греции, в Афинах, что было связано с обеспечением ответственности должника перед кредитором определенными земельными владениями. В 621 г. до н.э. Драконт ввел закон, согласно которому посягательства на частную собственность и ее движимую часть сурово карались. Не ...