IT-риски в банковской сфере

Определим сначала, какой  областью рассмотрения мы ограничимся. Можно привести как минимум три определения информационных рисков, использование каждого из которых будет оправдано решаемыми задачами. Самое узкое определение информационных рисков — это риски утраты, несанкционированного изменения информации из-за сбоев в функционировании информационных систем или их выхода из строя, приводящие к потерям. В данном случае информационный риск соответствует категории I уровня операционных рисков (ОР) в классификации Базельского комитета «Остановка бизнеса и сбои в системах».

Наиболее широкое определение  включает риск возникновения убытков  из-за неправильной организации или умышленного нарушения информационных потоков и систем организации. Такое расширенное понимание информационного риска совершенно оправданно, если задаться целью оценить риски в широком контексте информационной безопасности банка, включая организацию работ службы безопасности, PR-центра, информационных технологий и др. Однако при этом в круг рассмотрения попадают довольно разнородные риски, подходы при оценке и управлении которыми должны быть разными. Рассмотрим информационные риски как риски возникновения потерь в результате воздействия людей и внешних событий на информационные системы, а также из-за сбоев и неадекватной работы информационных систем. Таким образом, информационные риски —будем для краткости также называть их IT-рисками — связаны с применением банками информационных систем и технологий.

 Применение информационных  технологий является одним из важных факторов, определяющих конкурентоспособность банка. Однако наряду с очевидными преимуществами, такими как повышение скорости и качества обслуживания клиентов, доступности банковских услуг, снижение издержек, использование информационных технологий привносит новые существенные риски. Именно они приобретают всё большее значение по мере развития конкуренции в банковской сфере и расширении географического присутствия банков. Однако количественная оценка IT-рисков затруднена и зачастую оказывается неточной и ненадёжной по нескольким причинам, часть из которых относится ко всем операционным рискам, а часть специфична именно для этого типа рисков. Во-первых, данные, необходимые как входные параметры практически для всех типов количественных оценок IT-рисков, зачастую очень сложно собрать. Сбор таких данных требует исчерпывающего понимания всех угроз и их воздействия на очень многие «активы» банка, начиная от IT-активов и заканчивая репутацией банка. При этом требуется точность регистрации, её непрерывность и достаточно длинный период, чтобы данные были пригодны для построения модели, имеющей предсказательную силу. Во-вторых, информационная среда современного банка насчитывает сотни объектов риска — IT-активов, которые к тому же претерпевают постоянные изменения, так как банки стремятся модифицировать IT-среду, совершенно справедливо рассматривая операционное совершенство как одно из важнейших конкурентных преимуществ.

Таким образом, необходимо построить максимально гибкую модель IT-среды банка, которую можно было бы настраивать по мере изменения входящих в неё систем. И в-третьих, затраты времени и людских ресурсов на анализ уязвимости к рискам и собственно риск-анализ могут быть довольно высоки, что не позволяет проводить его с необходимой периодичностью. И если западные банки обладают уже достаточно полными базами данных по IT-рискам, то для большинства российских кредитных учреждений процесс грамотного систематизированного сбора данных, их отслеживания и проверки, периодический анализ и налаживание отчётности — пока нерешённая задача. Для того чтобы реализовать этот процесс, необходимо сначала провести идентификацию IT-рисков.

Идентификация IT-рисков

Рамки рассмотрения и уровень детализации 

Первым этапом в идентификации IT-рисков является выбор анализируемых объектов и уровня детализации, на котором они будут рассматриваться. Небольшая кредитная организация может рассматривать всю информационную инфраструктуру, но для большого банка такая единовременная и детализированная оценка может потребовать неприемлемых затрат времени и человеческих ресурсов. Необходимо в таком случае установить приоритеты и рассмотреть в первую очередь совокупность наиболее важных информационных активов, отдавая себе отчёт в том, что оценка будет ограниченной. Как указано во введённой Банком России в конце января 2006 года второй версии стандарта информационной безопасности (далее — Стандарт ИБ), «собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс)». При этом целесообразно создать карту информационной инфраструктуры банка, с тем чтобы видеть, какие объекты IT-инфраструктуры выбраны для анализа рисков, а какие остались за его рамками. Карту следует поддерживать в актуальном состоянии, чтобы при изменении IT-инфраструктуры или более глубоком анализе рисков легко можно было оценить, какие объекты нуждаются в рассмотрении. Карта информационной инфраструктуры создаётся в рамках инвентаризации IT-активов банка

Выявление угроз 

Поясним вначале, что мы будем понимать под IT-активами банка. Это, во-первых, информационные активы, т. е. нематериальные активы, к которым относятся различные виды банковской информации (платёжная, аналитическая и пр.), и программное обеспечение, рассматриваемое вне его носителя (аппаратных средств), и, во-вторых, технологические активы, т. е. материальные активы, включающие аппаратные средства ЭВМ, локальных вычислительных сетей и пр. При идентификации IT-активов, т. е. тех ценностей, которые банк хочет защитить, следует учитывать и поддерживающую инфраструктуру, и персонал, и такие нематериальные ценности, как репутация банка. Вершиной пирамиды, которая определяет нижележащие слои, является представление о миссии банка, т. е. об основных направлениях деятельности и способах их реализации (рис. 1) посредством определённых бизнес-процессов. Выбранные банком технологии и технологические активы — это уже зона прямого воздействия факторов IT-рисков.

Для оценки операционных рисков необходимо выявить угрозы IT-активам банка, т. е. факторы риска. Однако это будет иметь мало смысла без классификации этих факторов, поскольку для оценки риска нужно систематически собирать статистику, строить качественную или количественную модель. Сложность классификации операционных рисков в полной мере присуща и IT-рискам, к тому же здесь возникает и проблема согласования взглядов сотрудников информационных подразделений, которые занимаются вопросами информационной безопасности банка, и риск-менеджеров, которым необходимо оценивать капитал под операционный риск, проводить самооценку (selfassessment), мониторинг ключевых показателей операционного риска в рамках банка. Классификация IT-рисков должна быть единой, полной и непротиворечивой, и задача её создания с точки зрения методологии ложится на риск-менеджеров. Конечно, каждый банк может ввести свою классификацию IT-рисков, поскольку регулятор не вводит единой системы, однако лучше основываться на классификации Базельского комитета, которая является результатом многолетнего анализа источников и типов потерь западных кредитных организаций. Согласно базельской классификации категорий событий и примеров действий, которые могут приводить к реализации операционных рисков, к IT-рискам можно отнести указанные в табл. 1.

Основываясь на классификации  факторов риска, необходимо далее для каждого из принятых в рассмотрение элементов IT-активов выявить потенциальные рисковые события, которые могут на нём реализоваться. Хорошей практикой является разработка моделей угроз и нарушителей информационной безопасности для банка. Стандарт ИБ — Банк России рекомендует каждой кредитной организации разработать модель угроз информационной безопасности, которая включала бы «описание источников угроз, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба». По сути, разработать на основе сценарного анализа полноценную модель риска. При этом особо подчёркивается, что такая модель должна обладать прогностической силой. Подход «угроза — уязвимость» (модель угроз и нарушителей в терминологии Банка России), являющийся на Западе стандартом при оценке IT-рисков, предполагает сопоставление каждому элементу IT-активов определённых источников угроз (факторов риска), которые могут нанести ущерб организации посредством использования существующих в этом элементе уязвимостей.

Источник угрозы (фактор риска) определяется как намерение и способ умышленного воздействия на уязвимости либо ситуация и способ, который может непредумышленно привести в уязвимость действие, т. е. это совокупность мотивов и условий, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

 Целостность, доступность и конфиденциальность информации являются выражением стоимости информационного актива, рассматриваемого как объект риска. Поясним эти понятия, отражающие свойства информации, важные для осуществления миссии банка. Целостность отражает необходимость защиты информации от несанкционированного изменения и утраты. Целостность нарушается при неразрешённых действиях с данными или системами независимо от того, были ли они умышленными или случайными. Часто именно нарушение целостности являются первым шагом в атаке на системы. Если целостность вовремя не восстановлена, это может приводить к ошибкам в расчётах, реализации мошеннических действий, принятию неверных решений менеджментом банка.

Доступность — это обеспечение  получения требуемой информационной услуги (информации) в нужное  время. Информационные системы внедряются для предоставления определённых информационных услуг внутренним пользователям (сотрудникам банка) и внешним пользователям (клиентам, партнёрам банка). Если предоставить эти услуги в приемлемый срок невозможно, это влечёт за собой потери, начиная отснижения операционной эффективности банка и вплоть до оттока клиентов, связанного с риском потери деловой репутации.

Конфиденциальность — это обеспечение защиты от несанкционированного доступа к информации, её несанкционированного использования, воспроизводства и распространения. Конфиденциальность имеет большое значение именно для банков, поскольку её нарушение может привести к раскрытию банковской тайны, реализации риска потери деловой репутации, нанося репутации банка значительный ущерб. Источники угроз, которые могут привести к нарушению целостности, доступности и конфиденциальности информации, должны быть выявлены и описаны с уровнем детализации, определяемым реальными потребностями в защите, т. е. в зависимости от соотношения между стоимостью защиты и стоимостью риска. Поэтому процесс идентификации риска является циклическим. Первоначально составляется грубая схема цепочек «угроза Х...Хвеличина риска» без детализированного описания моделей угроз, проводится сравнительная стоимостная оценка экспертным способом с привлечением данных по потерям банка, если они есть, и других кредитных учреждений, например, с помощью карт рисков или скоринговых карт.

На основе этой оценки выделяются наиболее значимые факторы риска и для них уже строятся детальные модели нарушителей. Наиболее разнообразными являются угрозы, исходящие от человека, что определяет необходимость высокой детализации в их описании. При описании этого типа факторов риска рекомендуется выделять несколько уровней (категорий риска), упрощённый пример такого выделения на трёх уровнях приведён в табл. 2. Факторы риска, связанные с действиями внешних (хакеры, спамеры, промышленные шпионы и пр.) и внутренних нарушителей (персонал), желательно описывать наиболее детально, включая возможную мотивацию, стереотипы поведения и типичные действия нарушителей в связке с уязвимостями в IT-инфраструктуре

Выявление уязвимостей

Термин «уязвимость» характеризует  отсутствие или слабость (недостаток) предохранительных мер, позволяющих  снизить риск. К ним могут относиться процедуры обеспечения безопасности IT-систем, проектирование систем и их разработка и внедрение или процедуры внутреннего контроля.

Уязвимость — это состояние, которое позволяет угрозе осуществиться (случайно или преднамеренно), результатом чего будет большая частность потерь и (или) более тяжёлые последствия от реализации риска — величина потерь. Например, отсутствие антивирусной защиты увеличивает как частоту рисковых событий (большее количество заражений), так и тяжесть потерь, так как заражение будет выявлено с существенным запаздыванием и распространение вируса может привести к необходимости восстановления информации, переустановки операционной системы или отдельных приложений и т. д.

Рассмотрим схему формирования моделей «угроза Х...Хвеличина  риска» на примере влияния факторов риска на частотность потерь (рис. 2).

Риск — функция частотности  потерь и величины потерь, что отражено стрелками, идущими от двух соответствующих сущностей к сущности «риск». На частотность потерь будет влиять частота воздействия угроз, например, вирусных атак и уязвимость IT-среды банка, которая зависит от уровня контроля (области контролируемого банком риска, см. рис. 1) и мощности угрозы, которая не зависит от банка (банк не может её контролировать).

Мощность угрозы (фактора  риска) определяется в рамках построения модели нарушителя.

Для целей сбора информации об уязвимостях и их анализа уязвимости можно разбить на две большие группы:

• уязвимости, специфичные  для программных и аппаратных средств, примером которых могут  быть слабости конкретных версий программного обеспечения или моделей оборудования, допущенные в них производителем;

• специфичные для процессной и контрольной среды банка уязвимости, которые являются следствием слабостей практик, используемых банком для организации и управления IT-инфраструктурой и для контроля IT-безопасности.

Сбор информации об уязвимостях  первого типа, как правило, не представляет особых сложностей, поскольку соответствующая информация обычно размещается в свободном доступе на сайтах производителей; по условиям сервисных соглашений производятся уведомления об обнаружении дефектов и обновление версий, установка «заплат». Источником информации об уязвимостях также могут служить сайты компаний, специализирующихся на обеспечении информационной безопасности (например, производителей антивирусного ПО), и специализированные порталы, объединяющие пользователей соответствующего оборудования и программ. Выявление уязвимостей первого типа — прерогатива информационно-технологических служб банка.