20 декабря 2015г.
Приоритетным направлением развития Российской банковской системы является внедрение новых информационных технологий. Идет активный перевод совершения банковских операций из традиционных офисов в альтернативные каналы обслуживания: Интернет, устройства самообслуживания, дистанционное банковское обслуживание. Эффективная работа банковской системы невозможна без обеспечения высокого уровня информационной безопасности организаций банковской системы. Отдельные сбои в работе организаций могут повлечь развитие системного кризиса платежной системы и нанести существенный ущерб банкам и их клиентам. В стандарте Банка России [11] отмечается, что «обеспечение информационной безопасности является для организаций банковской системы РФ одним из основополагающих аспектов их деятельности». Одним из этапов построения эффективной системы обеспечения информационной безопасности является проведение регулярной оценки риска нарушения информационной безопасности.
Особенностью проведения оценки рисков информационной безопасности является недостаточность статистической информации, необходимость использования экспертных оценок, наличие большого количества неопределенностей, вызванных постоянно меняющимися условиями функционирования бизнес-процессов кредитных организаций. Для лучшего понимания процесса оценки риска информационной безопасности в этой работе будут рассмотрены современные подходы к интерпретации понятий «информационная безопасность» и «риск информационной безопасности».
Банки осуществляют свою деятельность путем реализации совокупности основных, вспомогательных и управленческих процессов [11]. Основные процессы обеспечивают достижение целей и задач кредитной организации. Вспомогательные процессы обеспечивают качество. К ним относится обеспечение информационной безопасности организации банковской системы. Процессы менеджмента (управления) обеспечивают поддержку параметров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий.
Такое разделение процессов является достаточно условным, так как основные и вспомогательные процессы образуют единое целое. В частности, выполнение мер информационной безопасности является составной частью большинства основных процессов. И, соответственно, без надлежащего функционирования вспомогательных процессов, создающих своеобразный «кредит доверия» невозможно качественное исполнение основных процессов.
Любые банковские процессы неразрывно связаны с необходимостью обеспечения безопасности и управления рисками. Фактически, защита информации рассматривается сейчас как бизнес-процесс, рассчитанный на долгосрочную перспективу и обеспечивающий процветание и победу в конкурентной борьбе. Теоретическим фундаментом здесь являются исследования в области изучения, моделирования и прогнозирования риска [6].
Бизнес-процесс обеспечения банковской безопасности состоит из нескольких уровней, имеющих большое значение для построения комплексной системы обеспечения безопасности: законодательный – организационный - программно-технический. Законодательный - работа банков связана с обязательных исполнением многочисленных законодательных требований и необходимостью обеспечивать безопасность совершаемых банковских операций. Организационный - действия общего характера, предпринимаемые руководством и персоналом банка. Программно-технический - конкретные технические меры, реализуемые для достижения необходимого уровня безопасности.
Существует большое количество определений понятия «Информационная безопасность». Например, определение из стандарта BS ISO/IEC 17799:2005 BS 7799-1:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью» [4]: «Информационная безопасность – это защита информации от широкого спектра угроз с целью обеспечения непрерывности бизнеса, минимизации бизнес риска, максимизации прибыли на инвестированный капитал и возможностей для бизнеса».
Банк России определяет информационную безопасность [11], как безопасность, связанную с угрозами в информационной сфере, т.е. это обеспечение защищенности совокупности свойств ИБ (доступности, целостности, конфиденциальности информационных активов).
ГОСТ Р ИСО/МЭК 13335-1 — 2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Национальный стандарт Российской Федерации» [3], так же как и ГОСТ Р ИСО/ТО 13569-2007» Финансовые услуги. Рекомендации по информационной безопасности. Национальный стандарт Российской Федерации» [13] рассматривает информационную безопасность более широко - как все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Стандарты BS ISO/IEC 17799:2005 BS 7799-1:2005 [4] и BS ISO/IEC 27001:2005 BS 7799-2:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» [5] понимают под информационной безопасностью обеспечение конфиденциальности, целостности и доступности информации; дополнительно также могут подразумеваться другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность.
То есть фактически можно дать следующее общее определение информационной безопасности – обеспечение защищенности интересов (целей) организации в условиях информационных угроз.
Всемирная федерация ученых еще в августе 2000 г. первой в списке угроз человечеству в 21 веке поставила угрозу информационной безопасности [1]. Задача управления рисками для банков критически важна: по данным консалтинговой компании Roland Berger, она генерирует 38% выручки банка практически наравне с продажами [14].
Для банков обеспечение безопасности является принципиально важным. Реализация любых из рисков безопасности может привести к существенным убыткам в настоящем и будущем времени. Поэтому, сейчас в системе менеджмента банков все большее значение получает необходимость обеспечения достаточного уровня информационной безопасности, что невозможно без проведения детальной оценки рисков нарушения информационной безопасности.
Риски информационной безопасности тесно связаны с другими банковскими рисками (операционный, репутационный, стратегический и т.д.) [11]. Нарушение целостности, доступности или конфиденциальности информационных активов может привести к реализации одного или нескольких банковских рисков [8], которые, в свою очередь могут привести к реализации системного риска. При рассмотрении различных видов риска наиболее интересна взаимосвязь рисков информационной безопасности и операционных рисков.
Оценка и управление рисками ИБ положительно сказывается на стабильности кредитной организации и помогает снижению операционных рисков.
Позиция Банка России в управлении операционными рисками и рисками информационной безопасности существенно отличается. Документы, регламентирующие управление операционными рисками носят обязательный характер [7, 9, 10], а документы, связанные с управлением рисками ИБ – рекомендательный характер. Такое положение существенно снижает желание кредитных организаций внедрять данные документы [12].
Банк России определяет риск нарушения информационной безопасности, как риск, связанный с угрозой ИБ, то есть, с нарушением свойств ИБ — доступности, целостности или конфиденциальности информационных активов организации [11].
ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности» [2] рассматривает риск информационной безопасности как возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
Организация правильного подхода к оценке и управлению рисками информационной безопасности положительно сказываются на стабильности кредитной организации и помогают снижению операционных рисков.
Список литературы
1. Атаманов Г.А., О свойствах информации, обуславливающих существование феномена информационной опасности //Защита информации. Inside, № 4, 2010, СС. 18-21
2. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
3. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 13335-1 –2006. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 декабря 2006 г. № 317-ст
4. Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью. Британский стандарт BS ISO/IEC 17799:2005 BS 7799-1:2005.
5. Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью - Требования. Британский стандарт BS ISO/IEC 27001:2005 BS 7799- 2:2005
6. Маслов О.Н., Реинжениринг бизнес-процесса обеспечения корпоративной безопасности //Защита информации. Inside, № 6, 2011, СС. 18-28.
7. О порядке расчета размера операционного риска: Положение Центрального Банка Российской Федерации от 3 ноября 2009 г. N 346-П// Доступ из справ.-правовой системы «КонсультантПлюс»
8. О типичных банковских рисках: Письмо Центрального Банка Российской Федерации от 23 июня 2004 г. N 70-Т// Доступ из справ.-правовой системы «КонсультантПлюс».
9. Об обязательных нормативах банков: Инструкция Центрального Банка Российской Федерации от 16 января 2004 г. N 110-И// Доступ из справ.-правовой системы «КонсультантПлюс».
10. Об организации управления операционным риском в кредитных организациях: Письмо Центрального Банка Российской Федерации от 24 мая 2005 г. N 76-Т// Доступ из справ.-правовой системы «КонсультантПлюс».
11. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. Стандарт Банка России СТО БР ИББС-1.0-2010. Принят и введен в действие распоряжением Банка России от 21.06.2010 г. № Р-705.
12. Стандарт Банка России по ИТ-безопасности: внедрять или не внедрять? //Совместное исследование компании InfoWatch и Сообщества ABISS. Москва – 2007 //URL. www.abiss.ru
13. Финансовые услуги. Рекомендации по информационной безопасности. Национальный стандарт Российской Федерации ГОСТ Р ИСО/ТО 13569-2007. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. № 514-ст
14. URL. http://perimetrix.ru/content/view/73/176/ (дата обращения 07.01.2012)
