IT-риски в банковской сфере

При выявлении уязвимостей  второго рода набор внешних источников информации, как правило, чрезвычайно ограничен. Хорошей практикой является составление таблиц пар «источник угроз — уязвимость» и использование этой информации, в совокупности с результатами работ по аудиту безопасности систем, для составления списка требований к обеспечению безопасности. Отсутствие элемента контроля, соответствующего определённой угрозе, должно считаться уязвимостью, даже если вероятность реализации угрозы достаточно мала, поскольку ущерб (величина потерь) от данной угрозы может быть весьма существенным. Дальнейший вопрос о применении тех или иных способов снижения уязвимости — процедур контроля (минимизации риска) должен решаться в рамках стоимостного анализа.

Анализ уязвимости IT-инфраструктуры банка желательно проводить регулярно, но не реже одного раза в год. Эта процедура осуществляется в рамках само- оценки (self assessment) среды контроля рисков банка, которая была описана ранее

Снижение IT-рисков

Поскольку снижение IT-рисков сопряжено с затратами, при рассмотрении возможных действий по снижению риска  необходимо разработать различные  варианты средств минимизации для  каждой единицы портфеля рисков, оценить потенциальный эффект от их внедрения (например, используя сценарный анализ в построенной байесовской сети) и стоимость этого внедрения, т. е. провести анализ «издержки–выгода» (cost-benefit analysis). Выработать реалистичный и эффективный план снижения IT-рисков можно путём комплексного анализа структуры портфеля IT-рисков банка и сравнения возможных действий, направленных на снижение риска, между собой по ряду значимых характеристик. В этом смысле разработка такого плана является типичным примером многомерной управленческой задачи выбора, которую разумнее всего решать в рамках поэтапного процесса, по своей сути схожего с методологией дерева решений.

Группы возможных методов  снижения риска для каждой единицы портфеля IT-рисков стандартные для риск-менеджмента.

• Принятие риска. Банк признаёт потенциальные потери приемлемыми  для себя и не реализует специальные  меры по снижению риска.

• Избежание риска. Банк принимает решение, направленное на удаление данной единицы риска из портфеля IT-рисков, в частности, устраняя причину соответствующей угрозы (например, отказывается от использования установленного ПО, существенно нарушающего требования информационной безопасности).

• Ограничение риска. Банк внедряет специальные средства контроля, снижающие вероятность реалиизации угрозы IT-активам и (или) уменьшающие последствия этой реализации.

• Передача риска. Банк создаёт  условия для компенсации потенциальных  потерь путём передачи риска третьему лицу, например, используя страхование или отдавая отдельные функции на аутсорсинг.

Указанные способы не являются взаимоисключающими и часто применяются  в комплексе. Основная цель ограничения риска — это его снижение до приемлемого для банка уровня, но поскольку риск при этом не устраняется полностью, то его часть, оставшаяся после ограничения, должна быть принята банком. При выборе мер воздействия на каждую единицу портфеля рисков необходимо разделить все выявленные IT-риски на подконтрольные и неподконтрольные банку. Эта характеристика, по сути, разбивает портфель IT-рисков на два субпортфеля с различным составом возможных методов снижения рисков. Так, банк не может воздействовать на неподконтрольные ему риски (такие, как природные угрозы и некоторые угрозы технологической среды), и, следовательно, он может либо принять их, либо передать путём страхования. Для субпортфеля подконтрольных IT-рисков применимы все из описанных методов воздействия на риск, но для этого субпортфеля. Если мы далее сравним денежную оценку каждого элемента портфеля рисков с порогом принятия риска, определяемым на основе «аппетита на риск», установленного высшим руководством и акционерами банка, то это позволит нам выделить ещё один субпортфель — субпортфель приемлемого риска. Для каждой единицы этого субпортфеля величина потенциальных потерь не превосходит порог принятия риска, поэтому эти риски могут быть полностью приняты банком. Хотя банк может пожелать ещё больше снизить риски из это- го субпортфеля, в силу существующих ограничений по ресурсам, до этого доходит чрезвычайно редко, поскольку в первую очередь средства из бюджета разумно направлять на самые значимые для банка риски.

Таким образом, область анализа  после первых двух этапов сузилась до одного субпортфеля подконтрольных, но неприемлемых для банка рисков, которые следует минимизировать наиболее подходящими средствами контроля.

Необходимым шагом, предшествующим ранжированию средств контроля, является составление списков инструментов контроля (ограничения) риска для каждой единицы субпортфеля. Средства контроля делятся на три категории по применяемым в их рамках методам воздействия на источник риска:

• организационные (управленческие) средства подразумевают создание надёжной и безопасной системы управления IT-рисками (разделение ответственности  за обеспечение безопасности IT-активов, управление мероприятиями по оценке и снижению рисков, обеспечение правильной подготовки пользователей IT-систем, создание механизмов реагирования в экстренных ситуациях и т. п.);

• технические средства заключаются в использовании автоматизированных механизмов контроля безопасности IT-активов (например, использование криптографической защиты информации, защищённых каналов связи, программных методов аутентификации и авторизации, антивирусной защиты);

• технологические (операционные) средства помогают обеспечить и контролировать непрерывность функ-ионирования IT-активов банка (например, контроль физического доступа к оборудованию, архивирование и резервное копирование информации, защита от пожаров, обеспечение бесперебойного энергоснабжения и т. п.).

Все эти средства довольно подробно описаны в Стандарте  ИБ, причём там указаны и инструменты, наиболее подходящие для различных  процессов, поэтому мы не будем останавливаться на их описании.

Подчеркнём важную особенность  Стандарта ИБ, который делает акцент на корпоративном управлении и корпоративной  этике как важном элементе соблюдения политики информационной безопасности. Установленные стандарты корпоративного управления, основанные на лучших практиках, очень существенны в решении проблемы инсайдеров, которые рассматриваются как основные источники угроз и уязвимостей информационной безопасности. Предотвращение конфликтов интересов, разделение полномочий и ролей, недопущение наделения суперполномочиями, контроль над обращением конфиденциальной информации — все эти организационные средства, значимые для любых видов операционного риска, приобретают исключительное значение для IT-рисков ввиду их взаимосвязи практически со всеми бизнес-процессами банка.

Как правило, ограничение  риска для каждой единицы субпортфеля рисков может достигаться применением разных средств, поэтому необходимо проанализировать альтернативные варианты средств контроля, предложенные техническими специалистами, чтобы выбрать наиболее эффективные.

Сравнение средств контроля может проводиться по множеству параметров, наиболее значимыми из которых являются стоимость средства контроля и планируемая выгода от его внедрения, определяемая как величина, на которую средство контроля позволит снизить оценку риска в денежном выражении.

Существенной особенностью IT-рисков, о которой следует помнить  при выработке мер минимизации, является то, что внедрение средств защиты IT-активов, как правило, привносит новые уязвимости и соответственно новые риски. Поэтому, помимо стоимостной оценки первичных рисков и средств контроля, нужно провести анализ вновь возникающих уязвимостей, дать риску стоимостную оценку, а затем в комплексе оценивать, стоит ли применять данный метод минимизации.

Новые риски возникают  не только при ограничении IT-риска, но и при передаче его путём аутсорсинга. Возрастающие объёмы функций, которые западные финансовые институты передают в аутсорсинг, заставили Базельский комитет обратить пристальное внимание на эту проблему. Понятно, что передача какой то функции на аутсорсинг редко служит цели только минимизации IT-риска, но обычно включает и эту цель. Например, у европейских банков на первых двух местах находятся мотивы, связанные со снижением совокупной стоимости владения данной функцией и доступ к новым технологиям. Базельский комитет указывает, что наряду с выгодами, которые приобретаются при передаче функций на аутсорсинг, следует эффективно управлять возникающими при этом рисками. Укажем некоторые из них, связанные с IT-сферой. К группе стратегических рисков, например, относится риск того, что финансовый институт не обладает достаточным опытом и знаниями, чтобы осуществлять адекватный надзор за сервис-провайдером. Возможные технологические сбои, мошенничество и ошибки, отказ от обслуживания, нарушение конфиденциальности — вот не полный список угроз, которые следует, по мнению Базеля, рассматривать в связи с аутсорсингом.

Особенности IT-рисков требуют, чтобы защитные меры осуществлялись непрерывно, регулярно проверялись  на адекватность угрозам, связанные  с применением мер снижения риски  учитывались в профиле риска банка. Актуализация информации о факторах риска, оценка риска и обновление (разработка) комплекса мероприятий по его минимизации должны проводиться с определённой периодичностью, зафиксированной во внутренних документах банка. Мониторинг уровня IT-риска, например, по ключевым показателям риска разумнее поручать специалистом, которые не являются сотрудниками информационно-технологических служб банка, поскольку они смогут обеспечить объективную оценку и анализ. Лучшие практики свидетельствуют, что ключевыми факторами успеха в процессе реализации программы снижения рисков является поддержка высшего руководства банка, наличие документально оформленных процедур всех этапов управления IT-рисками, чёткое распределение ответственности за внедрение каждого средства контроля, тестирование внедряемых и уже внедрённых контрольных инструментов. Планирование на случай непредвиденных обстоятельств Мы обошли в предыдущих разделах вопрос о минимизации последствий реализации риска. Этот вопрос особенно важен в отношении рисков, которые нельзя устранить, ограничить или передать, но они представляют чрезвычайную опасность для банка. Поскольку внедрение большинства средств контроля не позволяет свести риск к абсолютному нулю, а для отдельных единиц портфеля рисков их применение невозможно, определённая часть IT-риска, сохраняющаяся после принятия мер поснижению, принимается банком.

Эту часть принято обозначать термином «остаточный риск», который  является разностью между всем присущим банку IT-риском и его контролируемой частью. Таким образом, вероятность и величина потерь от реализации факторов остаточного риска не контролируется банком, а значит, банк не защищён от его возможных проявлений. Такого рода чрезвычайные риски выявляются посредством процедур стресс-тестирования, которые основываются, как правило, на экспертных знаниях специалистов банка (либо привлечённых экспертов, консультантов). Некоторые банковские специалисты, занимающиеся вопросами риск-менеджмента, рассматривают анализ чувствительности и стресс-тестирование как аналогичные процедуры. Однако процедура анализа чувствительности не позволяет учесть ни одновременное действие нескольких факторов риска, ни чрезвычайно сильные отклонения, ни взаимоусиление факторов и последствий, а также широкое распространение последствий реализации дажеодного фактора.

Уровень надёжности качественного анализа напрямую будет зависеть от знаний  опыта экспертов.

Устранить или существенно  снизить такие чрезвычайные риски нельзя, но можно минимизировать их последствия с тем, чтобы даже в этих чрезвычайных условиях банк продолжить обслуживание клиентов, быстро восстановил нормальный режим работы.

При этом план действий в области IT должен быть составной частью комплексного общебанковского плана обеспечения непрерывности деятельности, поскольку в стрессовых ситуациях одновременно проявляются многие виды банковских рисков, такие как стратегический риск, риск ликвидности, репутационный риск, прочие категории операционного риска. План действий на случай непредвиденных обстоятельств в области IT, чтобы быть эффективным, должен как минимум содержать следующие разделы:

• политика банка в области  планирования действий в кризисных ситуациях в сфере IT, в которой формализованно выражаются цели и задачи плана и определяется общий порядок функционирования банка в кризисных ситуациях: структура управления и разделения полномочий и ответственности (которая может отличаться от «штатной» управленческой структуры), порядок выделения необходимых финансовых и людских ресурсов и т. д. В этом разделе также определяется порядок перехода банка в кризисный режим работы и обратно, регламентируются общие подходы к соответствующему обучению персонала, тестированию плана и его периодическому обновлению;

• описание состава кризисных  ситуаций (сценариев), для борьбы с возможными последствиями которых был разработан план;

• описание принятых в банке  превентивных мер, направленных на снижение или минимизацию величины последствий  каждого типа кризисных ситуаций (например, резервное копирование данных, средства пожаротушения, обеспечение бесперебойного  электропитания и т. п.). Превентивные меры никак не влияют на вероятность реализации негативного события (например, отключения электричества в городской сети), но направлены на подавление причиняемого ими ущерба (источник бесперебойного питания позволяет предотвратить потерю данных);