Финансы » Управление операционным риском » Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Методы управления рисками, связанными с использованием информационных и телекоммуникационных систем

Страница 3

Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность ее реализации.

Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.

Анализ информационных рисков - это процесс определения угроз информации, уязвимостей информационной системы и возможного ущерба. Анализ информационных рисков служит для количественной оценки возможного материального ущерба (в т.ч. в денежном выражении) от реализации выявленных угроз безопасности информации, а также при страховании информационных рисков (в этом случае Северо-Западный центр защиты информации "Актив" может выступать в качестве главного).

Этапами анализа информационных рисков являются:

• классификация информационных ресурсов по критериям безопасности;

• оценка стоимости ресурсов;

• анализ угроз безопасности информации с определением перечней актуальных источников угроз и актуальных уязвимостей;

• определение перечня возможных атак на объект защиты и механизмов их реализации;

• оценивание возможного ущерба и последствий реализации угроз;

• формирование перечня, классификация и определение характеристик информационных рисков, оценка эффективности существующих методов управления рисками;

• выработка предложений по управлению рисками с помощью организационных, административных и технических мер и средств защиты информации.

Результат выполнения:

• отчет с описанием реальных угроз безопасности информации и уязвимостей системы, а также расчетом всех возможных информационных рисков банка и прогнозом их реализации.

• результаты анализа и оценки используются при выборе адекватных оптимальных методов парирования угроз, а также для составления бюджета дальнейших работ по защите информации и построения системы парирования угроз, адекватной самим угрозам.

Оценка информационных рисков.

Развитие ИТ-инфраструктуры банка неизменно влечет за собой неконтролируемый рост числа информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации и осуществлять его поддержку, а также выработать стратегию развития информационной структуры банка.

Точно определить возможный ущерб от большинства информационных и телекоммуникационных рисков (IT-рисков) довольно сложно, но примерно оценить их вполне возможно.

Обозначим основные статьи расходов, которые несет банк в процессе создания и эксплуатации системы риск-менеджмента.

1. Построение технологии управления рисками: определение стратегии банка, создание карты рисков, определение стоимости рисков, определение методов контроля риска и управления риском.

2. Подбор, приобретение и внедрение программного обеспечения (ПО).

3. Регламентирование бизнес-процессов.

4. Поддержание технологии в актуальном состоянии.

5. Ведение данных.

6. Сопровождение ПО.

Все эти затраты могут быть оценены количественно — в денежном выражении или в трудозатратах.

Для принятия решения о целесообразности внедрения той или иной технологии управления рисками и покупки ПО, поддерживающего выбранную технологию, банк, как правило, сравнивает планируемые затраты на внедрение и прогнозируемый эффект от внедрения. В расчете следует учесть не только разовые затраты в ходе внедрения, а также стоимость поддержания технологии в актуальном состоянии и сопровождения ПО. Эффект от внедрения системы — долговременный. По нашему мнению, при определении стоимости внедрения технологии управления рисками следует рассчитывать не менее чем на пять лет функционирования системы и экстраполировать прогнозируемый эффект соответственно.

Разработка и реализация политики по минимизации информационных и телекоммуникационных рисков (IT-рисков) не принесет пользы, если рекомендуемые стандарты и правила неверно используются, например, если сотрудники не обучены их применению и не понимают их важности. Поэтому работа по обеспечению IT-безопасности должна быть комплексной и продуманной [16].

Популярные материалы:

Общие условия кредитования малого бизнеса
Банк “ Центр-инвест” – один из самых надёжных и устойчивых банков Ростовской области, располагающий большим финансовым потенциалам и уникальной разветвлённой филиальной сетью по всей области и за её пределами. Банк действует на основание. Генеральной лицензии ЦБ РФ № 2225 от 26 января 1998 г. Полит ...

Страховой рынок, его структура и участники
Страховой рынок представляет собой определенную сферу денежных отношений, в которой объектом купли-продажи являются страховые услуги и формируются спрос, предложение на них. Он характеризуется как сложная многофакторная динамическая система, состоящая из постоянно взаимодействующих и взаимозависящи ...

Банковский баланс как база для анализа деятельности коммерческого банка
Баланс - это соотношение взаимно связанных показателей какой-либо деятельности. Деятельность коммерческих банков представляет собой совокупность пассивных операций, посредством которых образуются банковские ресурсы, и активных операций по использованию этих ресурсов с целью получения доходов. Балан ...