Понятия операционного риска и факторы его возникновения

Материалы » Управление операционным риском в коммерческом банке » Понятия операционного риска и факторы его возникновения

Страница 2

IT-риски можно разделить на две категории:

риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);

риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.

Рис.1. Классификация операционных рисков

Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис.2). Стрелочками на схеме показаны информационные и финансовые потоки.

Fig.1

Рис.2 Структурная схема управления информационными рисками

Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные.

SO/IEC 27002 - стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он озаглавлен Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). До 2007 года данный стандарт назывался ISO/IEC 17799. Стандарт разработан в 2005 году на основе версии ISO 17799, опубликованной в 2000, которая являлась полной копией Британского стандарта BS 7799-1: 1999.

Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Информационная безопасность определяется стандартом как "сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации, а также методов её обработки) и доступности (гарантии того, что уполномоченные пользователи имеют доступ к информации и связанным с ней ресурсам)".

Текущая версия стандарта состоит из следующих основных разделов:

Политика безопасности (Security policy)

Организация информационной безопасности (Organization of information security)

Управление ресурсами (Asset management)

Безопасность персонала (Human resources security)

Физическая безопасность и безопасность окружения (Physical and environmental security)

Управление коммуникациями и операциями (Communications and operations management)

Управление доступом (Access control)

Приобретение, разработка и поддержка систем (Information systems acquisition, development and maintenance)

Управление инцидентами информационной безопасности (Information security incident management)

Управление бесперебойной работой организации (Business continuity management)

Соответствие нормативным требованиям (Compliance)

Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис.3).

Fig.2

Рис.3 Возможный сценарий анализа информационных рисков

На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).

Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его результатом должна стать характеристика всех предполагаемых уязвимостей в обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.

На заключительном этапе проводится оценка ущерба организации в случае реализации каждой из угроз.

Многообразие видов рисков, сопровождающих операционную деятельность банка, предопределяет необходимость постоянного управления ими, которое рассматривается как неотъемлемая составная часть всей системы управления операционной прибылью. Комплексное управление этими показателями обусловлено высокой степенью связи между уровнем операционной прибыли и уровнем операционных рисков, которая носит прямой характер [1].

Страницы: 1 2 3 4

Статьи по теме:

Экономическая сущность ипотечного кредитования и его правовые основы
Ипотека – это способ обеспечения обязательства заемщика перед кредитором залогом недвижимого имущества, заключающийся в праве кредитора получить удовлетворение своих денежных требований из стоимости заложенного недвижимого имущества. Пред ...

Валютная позиция банка. Валютный арбитраж
Конверсионные операции нельзя проводить, не учитывая риски по валютным позициям банка. Валютная позицияотражает остатки средств в иностранных валютах, которые формируют активы и пассивы (с учетом внебалансовых требований и обязательств по ...

Общая характеристика ЗАСО «ТАСК»
Закрытое акционерное страховое общество «ТАСК» создано в 1991 году по инициативе Белорусской железной дороги, являющейся основным учредителем. В число учредителей также входит ОАО «Белпромстройбанк». Доля государственной собственности в и ...