Риски развития информационных технологий в банковском секторе

Рис. 2/Fig. 2. типы событий, связанные с информационной безопасностью, зафиксированные специалистами

Positive Technologies в 2017 г. / Types of events related to information security recorded by Positive Technologies specialists in 2017

Рис. 3/Fig. 3 Уязвимость банковских информационных систем в 2016-2017 гг. /The vulnerability of banking information systems in 2016-2017

Рис. 5/Fig. 5. Опрос специалистов по информационной безопасности кредитных организаций за 2017 г. / Survey of information security specialists of credit institutions for 2017

Для предупреждения или минимизации рисков информационной безопасности необходимо их четко классифицировать в зависимости от различных критериальных признаков. Источниками рисков информационной безопасности являются:

• человеческий фактор;

• неправильный выбор использования интернет-программ и сетей;

• утечка информации различными путями (в том числе и через сотрудников кредитной организации);

• хакерские атаки на банк и его информационные ресурсы;

• несанкционированное отключение сетей;

• нарушения правил пользования информационными ресурсами.

В условиях цифровой экономики потери от рисков информационной безопасности кредитных организаций постоянно растут, а к уже известным их видам (таким как риски утечки информации, недоступности данных, искажения информации, неправильной эксплуатации оборудования) прибавляются новые, связанные, например, со скрытым вмешательством в работу информационных систем.

Следует отметить высокую уязвимость банковских информационных систем (рис. 5). Поэтому так важно владеть современными методами оценки и предупреждения рисков информационной безопасности.

В то же время на сегодняшний день нет достаточного количества методик оценки рисков информационной безопасности. Их выбор ограничен, что подтверждается данными опроса 67% кредитных организаций (рис. 6).

Как видно из рис. 6, разброс применяемых в банковском секторе методик оценки рисков информационной безопасности недостаточно велик. Поэтому так важен вопрос о применяемых методах оценки рисков информационной безопасности, которые позволили бы своевременно и качественно принимать необходимые меры по их минимизации.

Таблица 1 / Table 1. Условный пример расчета информационных рисков автоматизированной банковской системы / Example of calculating information risks of an automated banking system

Источник/Source: составлено авторами / compiled by the authors.

1. Методы оценки рисков информационной безопасности. Все современные методы оценки рисков информационной безопасности условно можно подразделить на несколько групп (рис. 6):

• экспертные оценки с использованием автоматизированных программных средств (явные или скрытые). Недостатком этого способа является зависимость от квалификации / компетенции эксперта;

• статистика вероятности уязвимости и ущерба. Недостатком является необходимость иметь большой объем статистических данных и невозможность точной оценки данных под влиянием быстроменяющейся обстановки (в отдельных случаях -- для отдельных угроз -- отсутствие данных);

• аналитический подход, основанный на построении графиков по используемым статистическим и математическим моделям.

Кроме перечисленных методов оценки рисков информационной безопасности при построении методики их оценки следует учитывать возможности количественной и качественной оценки:

1) количественная оценка рисков ИБ проводится в ситуациях, когда исследуемые угрозы и риски можно сопоставить с количественными конечными значениями, выраженными в денежном эквиваленте, процентах, определенном времени, человеко-ресурсах и др. [1].

Количественная оценка предусматривает присвоение всем элементам оценки рисков конкретных и реальных количественных значений. Алгоритм оценки и полученных данных должен обеспечивать наглядность и понятность. Объектом оценки может быть ценность актива в денежном выражении, вероятность угрозы, ущерб от реализации угрозы, а также стоимость защитных мер и др. На сегодняшний день четкая методика количественного расчета величин рисков информационной безопасности не разработана. Это связано с отсутствием достаточного объема статистической инфрмации о вероятности реализации какой-либо угрозы в банке, так как информация конфеденциальна и индивидуальна для каждого конкретного банка;

2) качественный метод отличается сложностью получения конкретной оценки объекта из-за неопределенности получаемых показателей. Чаще всего при этом производится балльная оценка выбранных банком для своей индивидуальной методики показателей при обязательном участии экспертов. Качественный метод не использует данные в денежном выражении для объекта оценки. Для сбора данных применяется опрос, интервьирование, анкетирование, личные встречи. Такой анализ рисков проводится с привлечением сотрудников, имеющих опыт и компетенции в области рассматриваемой угрозы. При этом используется общий подход к оценке риска, сформулированный Базелем 2 и 3, включающий размер возможных потерь, умноженных на вероятность риска. При использовании такой методики целесообразно учесть шкалу увеличения показателя риска в разрезе каждого вида информационных рисков для выведения синтетического коэффициента риска (табл. 1).

Далее сумму ожидаемых потерь следует умножить на оценку их вероятности, исходя из подобного ранжирования. Можно сделать это отдельно по каждой угрозе или рассчитать обобщающий показатель с выходом на общую сумму потерь от реализации оцененных информационных рисков.

3. Организационная структура и принципы управления рисками ИБ. В условиях цифровой экономики и возрастания рисков информационной банковской деятельности требуется перестройка организационной структуры кредитных организаций. Значит, должно появиться специальное подразделение в банке, которое отвечает непосредственно за оценку и минимизацию рисков. Эта деятельность требует создания и разработки специальной политики, задач, принципов и методик оценки и управления информационными рисками, наличия квалификационных и этических требований к работникам, занимающимся этим видом деятельности. Они должны уметь в каждый момент оценивать уровень незащищенности информационных систем банка и на основании анализа вырабатывать необходимые меры для предупреждения рисков или безболезненной ликвидации их последствий.

Особенностью такой работы по управлению рисками информационной безопасности является то, что она охватывает не только работников специального подразделения в банке, но и весь коллектив -- от руководителей, служб внутреннего контроля и аудита до рядовых работников бухгалтерии. Поэтому во внутренних документах кредитной организации, в том числе во всех должностных инструкциях, должны быть отражены обязанности, связанные с информационной безопасностью банка и степень ответственности за ее нарушение. Каждый работник кредитной организации должен опираться на внутренние документы банка по рискам информационной безопасности и имеющуюся правовую базу.

4. Правовая основа и внутренние документы по рискам информационной безопасности. На сегодняшний день создана основная правовая основа, помогающая регулировать риски информационной безопасности (табл. 2).

Из табл. 2 видно, что список существующих на сегодняшний день правовых основ регулирования рисков информационной безопасности нуждается в расширении для опоры кредитных организаций при создании своих собственных внутрибанковских документов и методик.

Как видно из рис. 7, существуют 3 уровня защиты информации, для каждого из которых требование выполняется указанным способом:

«Н» -- реализация является необязательной;

«О» -- реализация путем применения организационной меры;

«Т» -- реализация путем применения технической меры.

После определения необходимого контура применяемой защиты ИБ кредитной организации следует выявить достоинства и недостатки каждого способа управления рисками информационной безопасности.

5. Способы управления рисками и их минимизация. Самым известным методом управления рисками информационной безопасности является метод COBIT for Risk. Этот метод основан на утверждении, что риски информационной безопасности являются неотъемлемым составным элементом общей системы банковских рисков. Особенно ярко эта связь проявляется в отношении операционных рисков, поэтому способы и методы управления ими во многом аналогичны уже известным кредитной организации. Однако при этом нельзя забывать про технические моменты их реализации, которым в условиях цифровизации следует уделять особое внимание (рис. 8).

Реализации функции управления рисками базируется на анализе и оценке информационной безопасности в организации по разработанному сценарию. Методология рискового сценария представляет собой описание событий, при возникновении которых возможны неопределенные (позитивные и негативные) воздействия на эффективность деятельности организации. Методологией предусматривается разработка более 100 сценариев, характеризующих определенную степень воздействия к определенному типу рисков -- стратегические, проектные, риск- менеджмент и др. (табл. 3).

Практическое применение методологии COBIT for Risk позволяет выделить следующие достоинства (табл. 4) и недостатки (табл. 5).

Таблица 2 / Table 2. Законодательная база в области регулирования рисков информационной безопасности /The legal framework in the field of regulation of information security risks

Источник/Source: составлено авторами / compiled by the authors.

Рис. 6 /Fig. 6. Определение уровня защиты ИБ / Determination of the IS protection level

Рис. 7/Fig. 7. схематизация рисков по методу COBIT for Risk иБ /Risk schematization using the COBIT for Risk information security method

Таблица 3 / Table 3. Типы рисков и характеристика воздействия / Types of risks and exposure characteristics

Источник/ Source: [3].

Таблица 4/ Table 4. Достоинства применения методологии COBIT for Risk / Benefits of using COBIT for Risk methodology

Источник/Source: составлено авторами / compiled by the authors.

Таблица 5 / Table 5. Недостатки применения методологии COBIT for Risk / Disadvantages of using COBIT for Risk methodology

Источник/ Source: составлено авторами / compiled by the authors.

Выводы

Следует отметить, что в связи с развитием информационных технологий растут риски, связанные с их использованием и появляются новые угрозы.

Реализация бессистемных мероприятий, ориентированных на повышение уровня информационной безопасности, сегодня не может обеспечить требуемый уровень защиты. Для понимания приоритетности мероприятий, направленных на повышение уровня информационной безопасности, необходимо разработать и применить механизм управления рисками ИТ-безопасности. Такой эффективный риск-менеджмент позволит сконцентрировать усилия и направить их на защиту банка от опасных угроз с минимальными затратами.

Построение эффективной системы управления рисками ИТ-безопасности -- не одноразовый проект, важен комплексный процесс, ориентированный на минимизацию внешних и внутренних угроз, и учет ограничений на ресурсы и фактор времени (https://icc.moscow/upload/doc/ICC_reports_RU.pdf). В этой связи целесообразно использовать метод CRAMM, разработанный Службой безопасности Великобритании (UK Securiti Service) по заказу британского правительства и признанный государственным стандартом построения системы управления рисками IT-безопасности. Система управления рисками как экономически обоснованная стратегия позволит минимизировать внешние и внутренние угрозы, а также издержки и неоправданные расходы.

Список источников

1. Зинкевич В., Штатов Д. Информационные риски: количественная оценка. Бухгалтерия и банки. 2007;(2):50-53.

2. Соколинская Н. Э. Банковские информационные системы и технологии. М.: Кнорус; 2020.

3. Гамза В. А., Ткачук И. В., Жилкин И. М. Безопасность банковской деятельности. 3-е изд. М.: ЮРАЙТ; 2015.

References

1. Zinkevich V., Shtatov D. Information risks: Quantitative assessment. Bukhgalteriya i banki. 2007;(2):50-53. (In Russ.).

2. Sokolinskaya N. E. Banking information systems and technologies. Moscow: Knorus; 2020. (In Russ.).

3. Gamza V. A., Tkachuk I. V., Zhilkin I. M. Banking security. 3rd ed. Moscow: URAYT; 2015. (In Russ.).

Размещено на Allbest.ru