Финансы » Управление операционным риском » Понятие и сущность риска в кредитных организациях

Понятие и сущность риска в кредитных организациях

Страница 2

Операционные риски являются объективным явлением в деятельности любого банка и проявляются как совокупность отдельных видов рисков. Виды операционных рисков весьма многообразны, поэтому в целях эффективного управления ими эти риски классифицируют с различной степенью их интеграции.

В системе операционных рисков особое место занимают информационные и телекоммуникационные риски кредитных учреждений.

Информационные и телекоммуникационные риски (IT-риски) — это опасность возникновения убытков или ущерба в результате применения банком информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи.

IT-риски можно разделить на две категории:

- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу (информационные риски);

- риски технических сбоев работы каналов передачи информации (телекоммуникационные риски), которые могут привести к убыткам.

Рассмотрим упрощенную структурную схему управления информационными рисками банка (рис. 2). Стрелочками на схеме показаны информационные и финансовые потоки.

Рис. 2 Структурная схема управления информационными рисками

Важнейший элемент управления информационными рисками - аудит безопасности. Существуют различные методологии такого аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона "О техническом регулировании" мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)*.

При использовании стандартов различных производителей результаты оценки тоже могут получаться разными. В мировой практике анализа и управления рисками основополагающим считается стандарт ISO 17799:2005 Code of practice for information security management ("Свод правил по управлению информационной безопасностью" - предыдущая версия ISO 17799:2000). Фактически этот стандарт представляет собой технологию управления информационной безопасностью.

В 2007 г. Международная организация по стандартизации планирует включить данный стандарт в серию ISO 27000, состоящую из шести стандартов информационной безопасности (по аналогии с другими стандартами системы менеджмента качества ISO 9000). Тогда данный стандарт получит новое название - ISO 27002. В предыдущей версии стандарта (ISO 17799:2000) было 10 пунктов. Разработчики новой версии выделили "Управление инцидентами информационной безопасности" в отдельный пункт ввиду высокой важности этого вопроса [8].

Анализ информационных рисков вне зависимости от выбранных стандартов можно представить как некий сценарий или алгоритм действий, направленный на сбор и обобщение информации об исследуемой системе (рис. 3).

Рис. 3 Возможный сценарий анализа информационных рисков

На первом и втором этапах анализа рисков составляется перечень наиболее критичной и конфиденциальной информации. Третий этап - построение схем каналов доступа, через которые может выполняться несанкционированное воздействие на информацию (например, установленные у пользователя факс-модем или адаптер Bluetooth для соединения с ноутбуком или мобильным телефоном).

Четвертый этап предполагает анализ способов защиты всех возможных точек атак; его результатом должна стать характеристика всех предполагаемых уязвимостей в обороне, в том числе с учетом неблагоприятных обстоятельств. На пятом этапе, исходя из накопленной информации обо всех возможных способах и средствах преодоления защиты, определяют вероятности реализации угроз для каждой из возможных точек атак.

Популярные материалы:

Процедура эмиссии первичных ценных бумаг
Согласно ФЗ "О рынке ценных бумаг" эмиссия ценных бумаг - установленная законом последовательность действий эмитента по размещению эмиссионных ценных бумаг. Нужно отметить, что размещаться могут только эмиссионные ценные бумаги, а именно акции и облигации. Процедура эмиссии ценных бумаг р ...

Исследование состояния рынка ценных бумаг Республики Беларусь
Биржевой рынок ценных бумаг существует в Республике Беларусь уже более 15 лет. За прошедшие годы проделана масштабная работа по формированию нормативной и технологической инфраструктуры биржевых операций с ценными бумагами. Регулярно функционирующий последние 12 лет на Белорусской валютно-фондовой ...

Национальная финансовая безопасность
Таким образом, тенденции развития банковской системы России в условиях глобализации обусловлены двумя группами факторов: внешней глобализирующей средой и внутренним состоянием экономики и потребностями ее развития. Главной характеристикой банковской системы России можно считать незавершенный характ ...