Можно отметить следующие основные черты, присущие сфере электронных банковских услуг и оказывающие важное влияние на соотношение отдельных категорий банковского риска:
- выход за пределы отдельных стран и за пределы финансового сектора в целом, требующий сотрудничества учреждений банковского надзора с надзорными органами других стран и отраслей;
- сильная зависимость от прогресса информационных и коммуникационных технологий, что приводит к резкому увеличению стратегических и операционных рисков;
- динамичность развития, отражающаяся в сокращении инновационных циклов (с точки зрения как финансовых инструментов, так и банковских технологий) и, следовательно, в повышении значения стратегического риска;
- рост ориентированности на клиентов в связи с уменьшением информационных асимметрий (неравномерности распределения информации между банками и клиентами), что ведет к увеличению правового и репутационного рисков;
- обострение конкуренции в банковском бизнесе, влекущее за собой повышение общего уровня системного риска.
Понятия "оценка рисков информационной безопасности" (Information Security Risk Assessments) и "управление информационными рисками" (Information Risk Management) появились сравнительно недавно, но уже прочно укоренились среди специалистов в области информационной безопасности, обеспечения непрерывности бизнеса и управления качеством. В мировой практике такая оценка применяется для снижения рисков управления, а точнее сказать, ответственности персонала за внезапно возникшие проблемы. Угрозы безопасности носят вероятностный характер и изменяются в процессе жизнедеятельности банка. Идентифицируя соответствующие угрозы, анализируя сопутствующие риски и принимая затем эффективные контрмеры, удается избежать риска, смягчить его, передать риск третьему лицу в виде эффективной программы страхования [22].
Операционная деятельность банка на всем протяжении ее осуществления сопряжена с многочисленными рисками, уровень которых возрастает расширением объема и диверсификацией этой деятельности, со стремлением менеджеров увеличить сумму операционной прибыли. Риски, сопровождающие эту деятельность, формируют обширный портфель рисков банка, который определяется общим понятием – "операционные риски". Эти риски составляют наиболее значимую часть совокупных хозяйственных рисков банка. Система классификации операционных рисков по основным признакам приведена на рисунке 1.
Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.
В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.
Информационные и телекоммуникационные риски (IT-риски) — это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.
Рис.1. Классификация операционных рисков
IT-риски можно разделить на две категории:
- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);
- риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.
Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис. 2). Стрелочками на схеме показаны информационные и финансовые потоки.
Рис. 2 Структурная схема управления информационными рисками
Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.
При использовании стандартов различных производителей результаты оценки тоже могут получаться разными. В мировой практике анализа и управления рисками основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.
В 2007 г. Международная организация по стандартизации планирует включить данный стандарт в серию ISO 27000, состоящую из шести стандартов информационной безопасности (по аналогии с другими стандартами системы менеджмента качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002.
Точный перевод международного стандарта, в целом несущий большую смысловую нагрузку, определяющую важнейшие аспекты информационной безопасности для любой организации, вне зависимости от ее масштаба и рода деятельности приведен в табл.1.
Таблица 1
Стандарт ISO 17799:2005Стандарт ISO 17799:2005 Code of practice for information security management содержит 11 пунктов. 1. Политика безопасности 2. Организация информационной безопасности: · Управление безопасностью внутренней инфраструктуры организации · Управление безопасностью при доступе внешних пользователей 3. Управление информационными ресурсами: · Ответственность за ресурсы · Классификация ресурсов 4. Управление персоналом: · Вопросы безопасности при приеме на работу · Вопросы безопасности при работе персонала в штате компании · Вопросы безопасности при увольнении с работы |
Продолжение таблицы 1
5. Физическая и экологическая безопасность: · Области безопасности · Безопасность оборудования 6. Управление коммуникациями и операциями: · Рабочие процедуры и ответственность · Управление передачей информации третьим лицам · Системное планирование и принятие решений · Защита от злонамеренного программного обеспечения · Резервное копирование · Управление сетевой безопасностью · Транспортировка носителей информации · Обмен информацией · Обслуживание электронной коммерции · Мониторинг 7. Управление доступом: · Бизнес-требования для контроля доступа · Управление доступом пользователя · Ответственность пользователей · Контроль и управление сетевым (удаленным) доступом · Контроль доступа к операционным системам · Контроль и управление доступом к приложениям и информации · Мобильные пользователи и телекоммуникации 8. Приобретение, разработка и поддержка информационных систем: · Требования по безопасности информационных систем · Правильная работа приложений · Криптография · Безопасность системных файлов · Безопасность разработки и поддержки процессов · Техническая безопасность управления 9. Управление инцидентами информационной безопасности: · Сообщение о недостатках информационной безопасности · Управление инцидентами информационной безопасности и их устранением 10. Управление непрерывностью бизнеса: · Управление аспектами информационной безопасности для обеспечения непрерывности бизнеса 11. Согласование: · Соответствие требованиям законодательства · Соответствие политикам безопасности и стандартам и техническое согласование · Анализ аудита информационных систем |
В предыдущей версии стандарта (ISO 17799:2000) было 10 пунктов. Разработчики новой версии выделили "Управление инцидентами информационной безопасности" в отдельный пункт ввиду высокой важности этого вопроса [8].
Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис. 3).
Рис. 3 Возможный сценарий анализа информационных рисков
На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).
Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его результатом должна стать характеристика всех предполагаемых уязвимостей в обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.
На заключительном этапе проводится оценка ущерба организации в случае реализации каждой из угроз.
Многообразие видов рисков, сопровождающих операционную деятельность банка, предопределяет необходимость постоянного управления ими, которое рассматривается как неотъемлемая составная часть всей системы управления операционной прибылью. Комплексное управление этими показателями обусловлено высокой степенью связи между уровнем операционной прибыли и уровнем операционных рисков, которая носит прямой характер [1].