Моделирование оценки риска нарушения информационной безопасности кредитной организации (1142471), страница 3
Текст из файла (страница 3)
Второй составляющей СОИБ является система информационной безо3Понятия система управления ИБ и система менеджмента ИБ, система управления рисками ИБ и система менеджмента риска ИБ имеют аналогичные значения. Использование разных названий связано с их использованием в российских и международных стандартах.11пасности (СИБ), которая включает в себя совокупность защитных мер, реализующихобеспечение ИБ организации и процессов их эксплуатации.Для реализации и поддержания ИБ в организации БС РФ необходимо выполнение следующих групп циклических процессов, составляющих СМИБ: «планирование», «реализация», «проверка», «совершенствование».Создание эффективной СМИБ невозможно без организации систематическогоподхода к управлению (менеджменту) риска ИБ. В таблице 1 показана взаимосвязьпроцессов менеджмента риска с фазами процесса СМИБ.
Фактически, результатыоценки рисков используются на всех стадиях построения системы обеспечения информационной безопасности.Анализ функционирования системы обеспечения информационной безопасности включает в себя в обязательном порядке оценку рисков в области ИБ организации, включая оценку уровня остаточного и допустимого риска.Управление рисками ИБ должно осуществляться четко и последовательно вовсей организации.
Для управления рисками ИБ могут применяться различные подходы к оценке и управлению рисками, различные степени детализации, которые отвечают требованиям организации. Организация должна сама определить, какой подходк оценке рисков будет использоваться.Таблица 1Соотношение процессов СМИБ и процессов менеджмента риска ИБПроцесс СМИБПланированиеОсуществлениеПроверкаСовершенствованиеПроцесс менеджмента риска ИБУстановление контекстаОценка рискаПланирование обработки рискаПринятие рискаРеализация плана обработки рискаПроведение непрерывного мониторинга и переоценки рисковПоддержка и усовершенствование процесса менеджмента риска ИБРиски ИБ тесно связаны с другими банковскими рисками (операционный, репутационный, стратегический и т.д).
Нарушение целостности, доступности или конфиденциальности информационных активов может привести к реализации одного илинескольких банковских рисков, которые, в свою очередь могут привести к реализации системного риска. При рассмотрении различных видов риска особенно интересна взаимосвязь рисков ИБ и операционных рисков, которая хорошо видна при анализе источников угроз, формирующих операционные риски и риски ИБ (таблица 2).12Самая общая трактовка операционного риска используется в Базель II. Приэтом, в качестве источника угрозы не рассматриваются угрозы, связанные с несоответствием требованиям надзорных и регулирующих органов, действующему законодательству. Источники угроз операционного риска, используемые в определенииБанка России, в целом соответствуют источникам угроз ИБ.
Но источники угроз ИБимеют более развернутую и наглядную классификацию. Реализация любых угроз засчет источников, показанных в таблице 2, может привести как к реализации рискаинформационной безопасности, так и к реализации операционного риска. Оценка иуправление рисками ИБ положительно сказывается на стабильности кредитной организации и помогает снижению операционных рисков.Таблица 2.Источники угроз операционного риска и источники угроз ИБИсточники угрозоперационногориска (из определения Basel II4)-неадекватныеили ошибочныевнутренние процессы, действиясотрудниковисистемВнешниесобытия4Источники угроз операционного риска (из определения Банка России5)несоответствие характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательствавнутренних порядков и процедур проведениябанковских операций и других сделокнарушение внутренних порядков и процедурпроведения банковских операций и других сделок служащими кредитной организации и (или)иными лицами (вследствие некомпетентности,непреднамеренных или умышленных действийили бездействия)несоразмерность (недостаточность) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и(или) их отказов (нарушений функционирования)в результате воздействия внешних событийИсточники угроз ИБ6Класс 7.
Источники угроз ИБ, связанные снесоответствием требованиям надзорных ирегулирующих органов, действующемузаконодательствуКласс 5. Источники угроз ИБ, связанные сдеятельностью внутренних нарушителейИБКласс 4. Источники угроз ИБ, связанные сосбоями,отказами,разрушениями/повреждениями программных и технических средствКласс 1. Источники угроз ИБ, связанные снеблагоприятными событиями природного,техногенного и социального характераКласс 2. Источники угроз ИБ, связанные сдеятельностью террористов и лиц, совершающих преступления и правонарушенияКласс 3. Источники угроз ИБ, связанные сдеятельностью поставщиков/провайдеров/партнеровКласс 6.
Источники угроз ИБ, связанные сдеятельностью внешних нарушителей ИБМеждународная конвергенция измерения капитала и стандартов капитала: новые подходы // Базельский комитетпо банковскому надзору – 2004.5О типичных банковских рисках: Письмо Центрального Банка Российской Федерации от 23 июня 2004 г. N 70-Т6Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методикаоценки рисков нарушения информационной безопасности.
Рекомендации в области стандартизации Банка РоссииРС БР ИББС-2.2.-2009.13К сожалению, на текущий момент позиции Банка России в управлении операционными рисками и рисками ИБ существенно отличаются. Документы, регламентирующие управление операционными рисками носят обязательный характер, а документы, связанные с управлением рисками ИБ – рекомендательный характер. Такоеположение существенно снижает желание кредитных организаций внедрять данныедокументы.2.
Провести анализ существующих источников угроз информационнойбезопасности, уточнить классификацию источников угроз ИБ.Проведенный анализ источников угроз свидетельствует о том, что рекомендуемый перечень классов основных источников угроз ИБ в соответствии с РС БР ИББС2.2-2009 желательно уточнить. Это связано со следующими моментами: 1) по результатам многочисленных исследований и на основании статистических данных самым опасным является мошенничество в системах дистанционного банковского обслуживания; 2) рекомендуемый перечень классов основных источников угроз содержит угрозы, оказывающие непосредственное влияние на организации БС РФ, но,кроме этого, существует ряд угроз, оказывающих опосредованное влияние на организации БС РФ, которые также необходимо учитывать.
Поэтому, перечень классовосновных источников угроз информационной безопасности нужно дополнить классом 8 (рис. 1, таблица 3).миРис. 1. Модификация классов источников угрозНовыйкласс14Проходящие в банках процессы реинжиниринга, современные тенденции развития банковских продуктов приводят к активному переводу банковских операций вальтернативные каналы обслуживания. Стремительный перевод клиентов в альтернативные каналы обслуживания и такой же стремительный рост преступлений, связанных с их использованием вполне может привести к развитию системного кризиса,о котором предупреждает Банк России при самом пессимистичном варианте развития событий, или, как минимум, вызвать существенный отток клиентов из-за недоверия к банковской системе.С 01 января 2013 года вступают в силу основные положения Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе», обязывающие банки возмещать клиентам ущерб в случае перевода денежных средств безсогласия клиента, если банк не докажет, что клиент нарушил порядок использованияэлектронного средства платежа, что повлекло совершение операции без согласияклиента.
Нельзя забывать и про ст. 1095 «Основания возмещения вреда, причиненного вследствие недостатков товара, работы или услуги» Гражданского Кодекса РФ.Таблица 3Класс 8. Источники угроз, связанные с противоправными действиями противклиентов Банка, использующих банковские продуктыИсточникугроз ИБМошенничествовсистемах ДБО юридических лицМошенничествовсистемах ДБО физических лицМошенничество с использованием другихбанковских продуктовОписаниеИспользование вредоносного ПО;Умышленные действия стороннихлиц, преследующих мошеннические цели, реализуемые посредством обмана, введения в заблуждение клиентов организации БС РФ.Умышленные действия стороннихлиц, преследующих мошеннические цели, реализуемые посредством обмана, введения в заблуждение клиентов организации БС РФ.ВозможныепричиныНедостаточнаяосведомленность клиентов о требованияхИБ.
Игнорирование клиентамитребований ИБ.Недостаточнаяосведомленность клиентов о банковскихпродуктах.Игнорированиеклиентами элементарных требований безопасности.ВозможныепоследствияНанесение материальногоущерба клиентам. Реализациярепутационныхрисков для банка.На сегодня можно выделить следующие проблемы: клиенты банков слабо представляют, какие операции могут совершаться в системах ДБО, а какие являются мошенничеством; низкая компьютерная грамотность населения, в результате этого,многие клиенты не представляют, как выглядит лицензионное и антивирусное ПО ит.д.; российский менталитет, считающий «дурным» тоном использование лицензионного ПО (правда, здесь свою роль играет и стоимость лицензионного ПО); излишнее доверие большинства клиентов, позволяющих преступникам широко использовать методы социальной инженерии; требования по обеспечению безопасности рабочего места клиента излагаются таким образом, что большинство клиентов их не по-15нимает в связи с недостаточной подготовкой, или не имеет возможностей для их исполнения (или и то и другое).Для дальнейшего успешного развития ДБО и снижения рисков его использования (помимо широко внедряющихся технических средств) необходимо проведениепостоянных широкомасштабных мероприятий по повышению осведомленности клиентов в области ИБ.
Существующие на сегодняшний день варианты обучения былобы целесообразно дополнить проводимыми на постоянной основе бесплатными семинарами для физических и юридических лиц. Такие мероприятия могут дать следующий положительный эффект: ненавязчивая реклама банковских продуктов помогает расширению их использования; повышение грамотности клиентов банка способствует снижению риска совершения мошенничества в их отношении, и, как следствие, снижению репутационных рисков банка; подготовка к проведению семинарови их проведение повышает квалификационный уровень сотрудников банка; выявление неясных для клиентов моментов при совершении банковских операций, их пожеланий и потребностей может помочь развитию банковских операций; формирование положительного имиджа банка, так как свидетельствуют о заботе банка о своихклиентах.Безопасное использование ДБО тесно связано с соблюдением организационныхтребований обеспечения ИБ со стороны клиентов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
