Риски развития информационных технологий в банковском секторе
Внедрение инноваций в сфере автоматизации и компьютеризации банковской системы в России. Построение эффективной системы управления рисками IТ-безопасности. Современная законодательная база в области регулирования рисков информационной безопасности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 23.03.2021 |
Размер файла | 1,1 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Риски развития информационных технологий в банковском секторе
Н.Э. Соколинская, Л.М. Куприянова
Финансовый университет, Москва, Россия 3
Аннотация
автоматизация банковский безопасность инновация
Актуальность статьи обусловлена тем, что параллельно с процессами внедрения инноваций в сфере автоматизации и компьютеризации банковской системы возрастает количество видов банковских рисков, связанных с инновациями в сфере обслуживания клиентов онлайн и составления внутрибанковской отчетности, а также работы информационных систем. В процессе написания статьи были изучены последние законодательные акты Центрального банка России и обобщена практика отдельных кредитных организаций и банковского сектора в области рисков развития информационных технологий. Авторы отмечают, что в целях развития финансовых технологий в условиях цифровой экономики необходимо обсуждать появление новаций, а также рассмотреть возможность дальнейшего анализа имеющихся методических разработок с целью обмена передовым опытом. Построение эффективной системы управления рисками IТ-безопасности - не одноразовый проект, важен комплексный процесс, ориентированный на минимизацию внешних и внутренних угроз, и учет ограничений на ресурсы и фактор времени.
Ключевые слова: финансовые технологии; хакерские риски; риски информационной безопасности; методы оценки рисков; организационная и правовая структура управления банковскими рисками; стандарт управления рисками информационной безопасности
Abstract
Information Technology Development Risks in the Banking Sector
N.E. Sokolinskaya, L. M. Kupriyanova
Financial University, Moscow, Russia
The relevance of the article is because in parallel with the processes of introduction of innovations in the field of automation and computerization of the banking system, the number of types of banking risks associated with innovations in the field of on-line customer service and internal Bank reporting, as well as information systems. As a result of this article, we have studied the latest legislative acts of the Central Bank of Russia as a mega-regulator and summarized the practice of both individual credit institutions and the banking sector in the field of information technology development risks in the banking sector. To strengthen the development of new financial technologies in the digital economy, it is necessary to regularly discuss the emergence of new phenomena and innovations; to consider the possibility of further analysis of existing methodological developments to exchange best practices of banks. Building an effective it security risk management system is not a one-time project. Still, a complex process is important, focused on minimizing external and internal threats and taking into account the limitations on resources and time factor.
Keywords: financial technologies; hacker risks; information security risks; risk assessment methods; organizational and legal structure of Bank risk management; a standard of information security risk management
В условиях развития современных информационных технологий важное место занимает интеллектуальная собственность. Поэтому появляются риски, препятствующие распространению инноваций, сопровождающие процесс внедрения результатов интеллектуальной деятельности в жизнь общества.
Банковский сектор является первым после военно-оборонного комплекса страны, внедрившим новые цифровые продукты, технологии, сервисы и информацию. В рамках стратегии инновационного развития и для поддержания конкуренции в банковском секторе кредитные организации регулярно разрабатывают новые инновационные продукты, процессы и технологии, а также совершенствуют уже существующие. Глобализация и интеграция в области интеллектуальной деятельности способствуют развитию и модернизации банковской системы России в целом, что, с одной стороны, отражается на функциональности и расширении возможных перспектив для дальнейшего развития кредитных организаций, а с другой -- постоянно требует поисков путей минимизации возникающих рисков информационной безопасности (ИБ) коммерческих банков, связанной с развитием финтеха.
ИБ является одним из главных элементов совершенствования финтеха в банках, так как в кредитных организациях содержится много важной информации, в том числе касательно физических и юридических лиц, которая может оказаться у мошенников (хакеров, киберпреступников), что грозит банкам банкротством и потерей клиентов, а в масштабном плане -- разрушением финансовой системы внутри страны.
Исследования показывают, что утечка 20% информации, которая является коммерческой тайной, как правило, приводит к разорению кредитной организации. Поэтому необходимо обеспечивать безопасность хранения данных, а также проводить контроль вероятности утечки информации.
Принципиально важны на этом этапе развития финтеха (особенно в банковской сфере) классификация рисков информационной безопасности, методы оценки рисков информационной безопасности, организационная структура и принципы управления рисками ИБ, правовая основа и внутренние документы по рискам информационной безопасности, а также способы управления рисками и их минимизация.
Рассмотрим эти вопросы подробнее.
1. Классификация рисков информационной безопасности. Учитывая, что ежедневно банки осуществляют переводы в больших объемах (около 2 трлн долл.), важно обеспечивать их информационную безопасность. Иначе это может повлечь за собой финансовые потери и навредит имиджу банка (рис. 1).
Результаты исследований показали, что в последнее время потери от киберпреступности значительно увеличились. На рис. 2 и 3 представлены типы атак, примененных злоумышленниками в 2017 г., а также типы событий, связанные с информационной безопасностью, зафиксированные специалистами Positive Technologies в 2017 г.
Активность хакерских и других атак с течением времени продолжает нарастать, хакеры изобретают все новые способы вмешательства в деятельность банков и краж средств с банковских карт и со счетов. Это вызывает обепокоенность банковского сообщества и повышенную заинтересованность кредитных организаций в увеличении технологий по информационной защите своих данных (рис. 4).
¦ Объем ущерба, в долларах
Рис. 1 / Fig. 1. Утечка данных: убытки крупного бизнеса в области информационной безопасности / Data breach: losses of a large business in the field of information security
Рис. 2/Fig. 2. типы событий, связанные с информационной безопасностью, зафиксированные специалистами
Positive Technologies в 2017 г. / Types of events related to information security recorded by Positive Technologies specialists in 2017
Рис. 3/Fig. 3 Уязвимость банковских информационных систем в 2016-2017 гг. /The vulnerability of banking information systems in 2016-2017
Рис. 5/Fig. 5. Опрос специалистов по информационной безопасности кредитных организаций за 2017 г. / Survey of information security specialists of credit institutions for 2017
Для предупреждения или минимизации рисков информационной безопасности необходимо их четко классифицировать в зависимости от различных критериальных признаков. Источниками рисков информационной безопасности являются:
• человеческий фактор;
• неправильный выбор использования интернет-программ и сетей;
• утечка информации различными путями (в том числе и через сотрудников кредитной организации);
• хакерские атаки на банк и его информационные ресурсы;
• несанкционированное отключение сетей;
• нарушения правил пользования информационными ресурсами.
В условиях цифровой экономики потери от рисков информационной безопасности кредитных организаций постоянно растут, а к уже известным их видам (таким как риски утечки информации, недоступности данных, искажения информации, неправильной эксплуатации оборудования) прибавляются новые, связанные, например, со скрытым вмешательством в работу информационных систем.
Следует отметить высокую уязвимость банковских информационных систем (рис. 5). Поэтому так важно владеть современными методами оценки и предупреждения рисков информационной безопасности.
В то же время на сегодняшний день нет достаточного количества методик оценки рисков информационной безопасности. Их выбор ограничен, что подтверждается данными опроса 67% кредитных организаций (рис. 6).
Как видно из рис. 6, разброс применяемых в банковском секторе методик оценки рисков информационной безопасности недостаточно велик. Поэтому так важен вопрос о применяемых методах оценки рисков информационной безопасности, которые позволили бы своевременно и качественно принимать необходимые меры по их минимизации.
Таблица 1 / Table 1. Условный пример расчета информационных рисков автоматизированной банковской системы / Example of calculating information risks of an automated banking system
№ |
Показатель: сумма затрат на предупреждение рисков за анализируемый период (у.е.), оценка возможного риска |
Балльная оценка возможного риска экспертами по рангу ожидаемого риска или информационных угроз |
итого: сумма ожидаемых потерь (у.е.) |
|||
1 |
2 |
3 |
||||
1 |
Риск утечки информации - 800 |
1 |
- |
- |
80 |
|
2 |
Риск недоступности данных - 1000 |
- |
2 |
- |
200 |
|
3 |
Риск искажения информации - 200 |
- |
- |
3 |
60 |
|
4 |
Риск неправильной эксплуатации оборудования - 100 |
1 |
- |
- |
10 |
|
5 |
Риск скрытого вмешательства в работу информационных систем - 700 |
- |
- |
3 |
21 |
|
6 |
Синтетический коэффициент риска - 2800 |
- |
- |
- |
371 |
Источник/Source: составлено авторами / compiled by the authors.
1. Методы оценки рисков информационной безопасности. Все современные методы оценки рисков информационной безопасности условно можно подразделить на несколько групп (рис. 6):
• экспертные оценки с использованием автоматизированных программных средств (явные или скрытые). Недостатком этого способа является зависимость от квалификации / компетенции эксперта;
• статистика вероятности уязвимости и ущерба. Недостатком является необходимость иметь большой объем статистических данных и невозможность точной оценки данных под влиянием быстроменяющейся обстановки (в отдельных случаях -- для отдельных угроз -- отсутствие данных);
• аналитический подход, основанный на построении графиков по используемым статистическим и математическим моделям.
Кроме перечисленных методов оценки рисков информационной безопасности при построении методики их оценки следует учитывать возможности количественной и качественной оценки:
1) количественная оценка рисков ИБ проводится в ситуациях, когда исследуемые угрозы и риски можно сопоставить с количественными конечными значениями, выраженными в денежном эквиваленте, процентах, определенном времени, человеко-ресурсах и др. [1].
Количественная оценка предусматривает присвоение всем элементам оценки рисков конкретных и реальных количественных значений. Алгоритм оценки и полученных данных должен обеспечивать наглядность и понятность. Объектом оценки может быть ценность актива в денежном выражении, вероятность угрозы, ущерб от реализации угрозы, а также стоимость защитных мер и др. На сегодняшний день четкая методика количественного расчета величин рисков информационной безопасности не разработана. Это связано с отсутствием достаточного объема статистической инфрмации о вероятности реализации какой-либо угрозы в банке, так как информация конфеденциальна и индивидуальна для каждого конкретного банка;
2) качественный метод отличается сложностью получения конкретной оценки объекта из-за неопределенности получаемых показателей. Чаще всего при этом производится балльная оценка выбранных банком для своей индивидуальной методики показателей при обязательном участии экспертов. Качественный метод не использует данные в денежном выражении для объекта оценки. Для сбора данных применяется опрос, интервьирование, анкетирование, личные встречи. Такой анализ рисков проводится с привлечением сотрудников, имеющих опыт и компетенции в области рассматриваемой угрозы. При этом используется общий подход к оценке риска, сформулированный Базелем 2 и 3, включающий размер возможных потерь, умноженных на вероятность риска. При использовании такой методики целесообразно учесть шкалу увеличения показателя риска в разрезе каждого вида информационных рисков для выведения синтетического коэффициента риска (табл. 1).
Далее сумму ожидаемых потерь следует умножить на оценку их вероятности, исходя из подобного ранжирования. Можно сделать это отдельно по каждой угрозе или рассчитать обобщающий показатель с выходом на общую сумму потерь от реализации оцененных информационных рисков.
3. Организационная структура и принципы управления рисками ИБ. В условиях цифровой экономики и возрастания рисков информационной банковской деятельности требуется перестройка организационной структуры кредитных организаций. Значит, должно появиться специальное подразделение в банке, которое отвечает непосредственно за оценку и минимизацию рисков. Эта деятельность требует создания и разработки специальной политики, задач, принципов и методик оценки и управления информационными рисками, наличия квалификационных и этических требований к работникам, занимающимся этим видом деятельности. Они должны уметь в каждый момент оценивать уровень незащищенности информационных систем банка и на основании анализа вырабатывать необходимые меры для предупреждения рисков или безболезненной ликвидации их последствий.
Особенностью такой работы по управлению рисками информационной безопасности является то, что она охватывает не только работников специального подразделения в банке, но и весь коллектив -- от руководителей, служб внутреннего контроля и аудита до рядовых работников бухгалтерии. Поэтому во внутренних документах кредитной организации, в том числе во всех должностных инструкциях, должны быть отражены обязанности, связанные с информационной безопасностью банка и степень ответственности за ее нарушение. Каждый работник кредитной организации должен опираться на внутренние документы банка по рискам информационной безопасности и имеющуюся правовую базу.
4. Правовая основа и внутренние документы по рискам информационной безопасности. На сегодняшний день создана основная правовая основа, помогающая регулировать риски информационной безопасности (табл. 2).
Из табл. 2 видно, что список существующих на сегодняшний день правовых основ регулирования рисков информационной безопасности нуждается в расширении для опоры кредитных организаций при создании своих собственных внутрибанковских документов и методик.
Как видно из рис. 7, существуют 3 уровня защиты информации, для каждого из которых требование выполняется указанным способом:
«Н» -- реализация является необязательной;
«О» -- реализация путем применения организационной меры;
«Т» -- реализация путем применения технической меры.
После определения необходимого контура применяемой защиты ИБ кредитной организации следует выявить достоинства и недостатки каждого способа управления рисками информационной безопасности.
5. Способы управления рисками и их минимизация. Самым известным методом управления рисками информационной безопасности является метод COBIT for Risk. Этот метод основан на утверждении, что риски информационной безопасности являются неотъемлемым составным элементом общей системы банковских рисков. Особенно ярко эта связь проявляется в отношении операционных рисков, поэтому способы и методы управления ими во многом аналогичны уже известным кредитной организации. Однако при этом нельзя забывать про технические моменты их реализации, которым в условиях цифровизации следует уделять особое внимание (рис. 8).
Реализации функции управления рисками базируется на анализе и оценке информационной безопасности в организации по разработанному сценарию. Методология рискового сценария представляет собой описание событий, при возникновении которых возможны неопределенные (позитивные и негативные) воздействия на эффективность деятельности организации. Методологией предусматривается разработка более 100 сценариев, характеризующих определенную степень воздействия к определенному типу рисков -- стратегические, проектные, риск- менеджмент и др. (табл. 3).
Практическое применение методологии COBIT for Risk позволяет выделить следующие достоинства (табл. 4) и недостатки (табл. 5).
Таблица 2 / Table 2. Законодательная база в области регулирования рисков информационной безопасности /The legal framework in the field of regulation of information security risks
№ |
документы (по убыванию важности) |
содержание |
|
1 |
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» |
Закон регулирует отношения, связанные с использованием различных видов финансовых информационных технологий, возникающих при информационных рисках и мерах по защите кредитных организаций и их клиентов от технических и информационных сбоев и нарушений, а также от утечки информации |
|
2 |
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» |
Закон регулирует отношения, возникающие при: формировании нормативной и методологической базы для внедрения электронной подписи в системы документооборота властных структур; предоставлении административных услуг в электронной форме; создании юридической базы для проведения государственных и муниципальных закупок посредством электронных торгов; урегулировании электронного банкинга, в том числе по схеме «клиент-банк»; усовершенствовании процедур подачи электронной отчетности в налоговые и другие контролирующие инстанции |
|
3 |
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» |
Закон регулирует отношения, возникающие при взаимодействии кредитной организации с клиентами, способные нанести ущерб пользователю из-за утечки его личной информации, которой могут воспользоваться мошенники, владеющие цифровыми технологиями |
|
4 |
Письмо Банка России от 24.04.2014 № 49-т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» |
Письмо регулирует отношения, возникающие при применении средств защиты от вредоносного кода. В нем даются рекомендации банкам по повышению компетенций работников для применения средств защиты по направлениям и способам выявления вредоносного кода, методам и способам защиты при применении инновационных финансовых технологий в кредитных организациях |
|
5. |
ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер» |
Стандарт регулирует отношения, возникающие при установлении уровня защиты информации (рис. 7) |
Источник/Source: составлено авторами / compiled by the authors.
Рис. 6 /Fig. 6. Определение уровня защиты ИБ / Determination of the IS protection level
Рис. 7/Fig. 7. схематизация рисков по методу COBIT for Risk иБ /Risk schematization using the COBIT for Risk information security method
Таблица 3 / Table 3. Типы рисков и характеристика воздействия / Types of risks and exposure characteristics
типы рисков |
характеристика воздействия |
|
Стратегические риски |
Риски, связанные с упущенной возможностью использования И^-технологий, ориентированных на повышение эффективности деятельности организации |
|
Проектные риски |
Риски влияния технологий на создание и развитие действующих технологических процессов |
|
Риски управления и предоставления ИТ сервисов |
Риски, связанные с учетом пожеланий клиентов кредитной организации по использованию ИТ-сервисов |
Источник/ Source: [3].
Таблица 4/ Table 4. Достоинства применения методологии COBIT for Risk / Benefits of using COBIT for Risk methodology
достоинство |
характеристика |
|
Связана с общей библиотекой COBIT и «ИТ-контроль» (меры по снижению рисков) |
Позволяет рассматривать и оценивать риски информационной безопасности и меры по снижению рисков, воздействующие на бизнес-процессы |
|
Признается международными институтами |
Метод, по которому накоплены значительные профессиональные компетенции и имеются хорошие результаты |
|
Наличие понятного формализованного описания методологии |
Описание методологии сделано просто и доходчиво, что позволяет избежать многих недоразумений, возникающих при ее использовании |
|
Простота требований к специальным знаниям и компетенциям |
Анализ и управление рисками становятся понятны исполнителям и не требуют дополнительных компетенций |
|
Снижение трудозатрат |
Применяется внутренними и внешними аудиторами, что не требует составления специальных материалов, дополняющих отчетность банка |
Источник/Source: составлено авторами / compiled by the authors.
Таблица 5 / Table 5. Недостатки применения методологии COBIT for Risk / Disadvantages of using COBIT for Risk methodology
недостаток |
характеристика |
|
Высокая сложность и трудоемкость сбора исходных данных |
Требуется вести большую постоянную базу данных |
|
Вовлеченность большого количества заинтересованных лиц |
Затрудняет работу в команде, создает условия для возникновения ошибок и просчетов из-за длительного согласования полученных результатов |
|
Отсутствие возможности оценки рисков в денежном выражении |
Делает невозможным своевременную оценку необходимых затрат для минимизации рисков или исправления недочетов и ошибок в информационной системе банка |
Источник/ Source: составлено авторами / compiled by the authors.
Выводы
Следует отметить, что в связи с развитием информационных технологий растут риски, связанные с их использованием и появляются новые угрозы.
Реализация бессистемных мероприятий, ориентированных на повышение уровня информационной безопасности, сегодня не может обеспечить требуемый уровень защиты. Для понимания приоритетности мероприятий, направленных на повышение уровня информационной безопасности, необходимо разработать и применить механизм управления рисками ИТ-безопасности. Такой эффективный риск-менеджмент позволит сконцентрировать усилия и направить их на защиту банка от опасных угроз с минимальными затратами.
Построение эффективной системы управления рисками ИТ-безопасности -- не одноразовый проект, важен комплексный процесс, ориентированный на минимизацию внешних и внутренних угроз, и учет ограничений на ресурсы и фактор времени (https://icc.moscow/upload/doc/ICC_reports_RU.pdf). В этой связи целесообразно использовать метод CRAMM, разработанный Службой безопасности Великобритании (UK Securiti Service) по заказу британского правительства и признанный государственным стандартом построения системы управления рисками IT-безопасности. Система управления рисками как экономически обоснованная стратегия позволит минимизировать внешние и внутренние угрозы, а также издержки и неоправданные расходы.
Список источников
1. Зинкевич В., Штатов Д. Информационные риски: количественная оценка. Бухгалтерия и банки. 2007;(2):50-53.
2. Соколинская Н. Э. Банковские информационные системы и технологии. М.: Кнорус; 2020.
3. Гамза В. А., Ткачук И. В., Жилкин И. М. Безопасность банковской деятельности. 3-е изд. М.: ЮРАЙТ; 2015.
References
1. Zinkevich V., Shtatov D. Information risks: Quantitative assessment. Bukhgalteriya i banki. 2007;(2):50-53. (In Russ.).
2. Sokolinskaya N. E. Banking information systems and technologies. Moscow: Knorus; 2020. (In Russ.).
3. Gamza V. A., Tkachuk I. V., Zhilkin I. M. Banking security. 3rd ed. Moscow: URAYT; 2015. (In Russ.).
Размещено на Allbest.ru
Подобные документы
Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Создание международных критериев оценки безопасности компьютерных систем. Правовые и нормативные ресурсы в обеспечении информационной безопасности. Стандартизация в области информационных технологий. Применение эффективной программы безопасности.
курсовая работа [1,1 M], добавлен 21.12.2016Анализ современных информационных технологий в логистике. Проектирование прикладной информационной системы в среде СУБД MS Aссess. Описание предметной области. Правовое регулирование в сфере обеспечения информационной безопасности в Республике Беларусь.
курсовая работа [1,0 M], добавлен 17.06.2015Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.
реферат [78,4 K], добавлен 23.07.2013Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014