После идентификации угрозы необходимо оценить

После идентификации угроз и уязвимостей необходимо оценить вероятность их объединения и возникновения риска. Это включает в себя оценку вероятности реализации угроз, а также того, насколько легко они могут использовать имеющиеся уязвимости.

Оценка вероятности угроздолжна учитывать природу угроз и особенности, присущие различным группам угроз, например:

  • Преднамеренные угрозы. Вероятность преднамеренных угроз зависит от мотивации, знаний, компетенции и ресурсов, доступных потенциальному злоумышленнику, а также от привлекательности активов для реализации атак.
  • Случайные угрозы. Вероятность случайных угроз может оцениваться с использованием статистики и опыта. Вероятность таких угроз может зависеть от близости организации к источникам опасности, таким как автомагистрали и железнодорожные пути, а также заводы, имеющие дело с опасными материалами, химическими веществами или бензином. Также географическое положение организации оказывает влияние на возможность возникновения экстремальных погодных условий. Вероятность человеческих ошибок (одна из наиболее распространенных случайных угроз) и поломки оборудования также должны быть оценены.
  • Прошлые инциденты. Инциденты, происходившие в прошлом, иллюстрирующие проблемы в существующих защитных мерах.
  • Новые разработки и тенденции. Они включают в себя отчеты, новости и тенденции, полученные из Интернет, групп новостей, от других организаций и консультантов.

Лучше всего получать информацию, используемую для оценки вероятности угрозы и величины уязвимости, от тех, кто непосредственно вовлечен в бизнес-процессы, находящиеся в условиях риска, а также от экспертов по безопасности, имеющих наибольший опыт в обращении с этими угрозами и уязвимостями. Также может быть полезным использование списков угроз и уязвимостей и взаимосвязей между угрозами и механизмами контроля из ISO 27002, приведенных в Приложении № 6.

Для оценкивероятности реализации угрозы может использоваться трехуровневая качественная шкала:

  • Н– низкая вероятность. Маловероятно, что эта угроза осуществится, не существует инцидентов, статистики, мотивов и т.п., которые указывали бы на то, что это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раза в 5–10 лет.
  • С– средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующего могут быть определенные причины для реализации таких действий. Ожидаемая частота реализации угрозы – примерно один раз в год.
  • В– высокая вероятность. Эта угроза, скорее всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, что угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществить такие действия. Ожидаемая частота реализации угрозы – еженедельно или чаще.

Такой трехуровневой шкалы обычно достаточно для первоначальной высокоуровневой оценки угроз. В дальнейшем ее можно расширить, добавив еще пару промежуточных уровней.

Таблица. Оценка вероятности угроз (фрагмент)

Угрозы утечки конфиденциальной информации

Утечка конфиденциальной информации из сети по каналам связи (email, web, chat/IM и т.п.)

Не целевое использование компьютерного оборудования и сети Интернет сотрудниками организации

Квалификация сотрудников досточно низкая и большинство каналов перекрыто, что снижает вероятность данной угрозы

Утечка конфиденциальной информации на мобильных устройствах, носителях информации, ноутбуках и т.п.

Не целевое использование компьютерного оборудования и сети Интернет сотрудниками организации

Угроза достаточно легко осуществима, однако ноутбуки и КПК не используются

Прослушивание внешних каналов связи злоумышленниками

Угроза не соответствует ценности информации

Общая вероятность инцидента также зависит от уязвимостей активов, т.е. насколько легко слабости активов могут быть использованы для успешного осуществления угроз.

Уязвимости, так же как и угрозы, могут быть оценены по трехуровневой качественной шкале. Значение уровня уязвимости показывает, насколько вероятно успешное осуществление угрозы с использованием данной уязвимости в случае, если эта угроза будет реализовываться. Соответствующие качественные уровни уязвимости могут быть определены, например, следующим образом:

    В– вероятно. Уязвимость легко использовать, и существует слабая защита или защита вообще отсутствует. Вероятность успешной реализации угрозы

0.9 – 1. С– возможно. Уязвимость может быть использована, но существует определенная защита. Вероятность успешной реализации угрозы

0.5. Н– маловероятно. Уязвимость сложно использовать, и существует хорошая защита. Вероятность успешной реализации угрозы

Так же, как и с угрозами, для первоначальной высокоуровневой оценки уязвимостей вполне должно хватить данной трехуровневой шкалы. В дальнейшем для более детальной оценки, при необходимости, сможем добавить еще пару промежуточных уровней.

Оценка вероятности угроз и величины уязвимостей заносится в таблицу, изображенную на рисунке, и в реестр информационных рисков, минуя промежуточную таблицу.

Таблица. Результаты оценки угроз и уязвимостей (фрагмент)

Группы угроз

Уязвимости

Вероятность угроз

Уровень уязвимости

Механизмы контроля

НСД к ресурсам ЛВС компании со стороны внутренних злоумышленников

Маскарад, использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации

Слабые пароли, отсутствие парольной политики

Наличие внутренних уязвимостей, обусловленных несвоевременным обновление ОС

Мониторинг действий пользователей не производится

Корректное управление доступом

Низкая квалификация пользователей для осуществления НСД

НСД к ресурсам ЛВС компании со стороны внешних злоумышленников

Маскарад, использование чужих пользовательских идентификаторов, раскрытие паролей и другой аутентификационной информации

Отсутствуют последние обновления на корпоративном файрволле

Единственный защитный барьер

Наличие внутренних уязвимостей, обусловленных несвоевременным обновлением ОС

Отсутствие системы обнаружения вторжений (IDS)

Хорошая защита периметра

Отсутствие известных уязвимостей

Следует обратить внимание на то, что в таблице оценки угроз и уязвимостей фигурируют группы угроз и группы уязвимостей, а оценка вероятности является суммарной оценкой вероятностей всех угроз и всех связанных с ними уязвимостей.

При оценке величины группы уязвимостей взвешиваются все найденные слабости защиты, способствующие успешному осуществлению угроз, и все существующие механизмы контроля, затрудняющие осуществление этих угроз. Суммарный уровень группы уязвимостей определяется путем сложения уровней всех идентифицированных уязвимостей и вычитания из них уровней всех идентифицированных механизмов контроля, при это действенность (уровень) механизма контроля определяется по такому же принципу, как и уровень уязвимости:

    В– высокий уровень контроля. Маловероятно, что такой механизм контроля удастся обойти. Вероятность обхода (преодоления) механизма контроля

0 – 0.1. С– средний уровень контроля. Механизм контроля обеспечивает определенную защиту, однако есть возможность его обойти, затратив определенные усилия. Вероятность обхода (преодоления) механизма контроля

0.5. Н– низкий уровень контроля. Такой механизм контроля незначительным образом уменьшает уязвимости активов, и его довольно просто обойти. Вероятность обхода (преодоления) механизма контроля

Для определения итогового уровня уязвимости, рассматриваемой для конкретной группы угроз, обычно используются экспертные оценки. На правую чашу весов кладутся механизмы контроля, на левую – уязвимости. Если сильно перевешивают уязвимости, тогда итоговый уровень будет высоким. Если существенный перевес на стороне механизмов контроля, которые способны нивелировать все имеющиеся уязвимости, тогда итоговый уровень уязвимости будет низким. Если между механизмами контроля и уязвимостями наблюдается примерный паритет, тогда итоговый уровень уязвимости оценивается как средний.

Конечно, такая оценка навряд ли может считаться объективной, т.к. всецело зависит от мнения того или иного эксперта об уязвимостях и механизмах контроля. К сожалению, ничего более точного мы здесь предложить не можем. Многие умные люди пытались придумать более точные методы анализа угроз и уязвимостей, писали формулы, строили модели, но так ни до чего реально эффективного и не додумались. Любые математические выкладки, сопровождающие точные количественные методы измерений, оставались на бумаге, и если для чего то и годились, то только не для использования в практической работе.

Это интересно:  С чего можно вернуть 13 процентов перечень

Хорошая новость заключается в том, что для принятия решений по рискам, а больше излагаемая здесь методология ни для чего не нужна, вполне достаточно простого качественного подхода к оценке угроз и уязвимостей. Такой подход демонстрирует свою высокую эффективность и в полной мере соответствует потребностям современных организаций. На практике всего-навсего требуется правильно и своевременно идентифицировать возможные проблемы, расставив должны образом приоритеты по их предупреждению.

Для повышения объективности оценки следует применять подтвердившие свою эффективность методы экспертной оценки, такие как, например, метод Дельфи. Надо устраивать коллективные обсуждения угроз, уязвимостей и механизмов контроля, на которые следует приглашать представителей различных бизнес-подразделений, владельцев активов и бизнес-процессов, экспертов по безопасности и внешних консультантов. Это повышает не только объективность оценок, но и, что не менее важно, осведомленность всех участников таких обсуждений.

Оценки ожидаемой частоты реализации угрозы от уровня к уровню по качественной шкале различаются в разы, поэтому маловероятно, чтобы компетентная экспертная группа так сильно ошибалась в своих оценках.

В Приложениях № 7 и № 8 приведены примеры опросных листов, используемых для оценки угроз и уязвимостей в методе CRAMM.

Защита информации в локальных сетях

Информация — Компьютеры, программирование

Другие материалы по предмету Компьютеры, программирование

�мые рамки. Таким образом, управление рисками включает в себя два вида деятельности:

выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы:

0.выбор анализируемых объектов и степени детальности их рассмотрения;

a.выбор методологии оценки рисков;

c.анализ угроз и их последствий, определение слабостей в защите;

e.выбор защитных мер;

f.реализация и проверка выбранных мер;

g.оценка остаточного риска.

Этапы f и g относятся к выбору защитных регуляторов, остальные — к оценке рисков.

Управление рисками — процесс циклический. По существу, последний этап — это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку.

Выбор анализируемых объектов и степени детальности их рассмотрения — первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организации крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, то выбираются те из них, риски для которых заведомо велики или неизвестны.

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать.

При идентификации активов — тех ценностей, которые организация пытается защитить, следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе репутацию компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.

Если информационной основой организации является локальная сеть, то в число аппаратных активов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование. К программным активам будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными системами. Важно зафиксировать в каких узлах сети хранится программное обеспечение и из каких узлов используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

Первый шаг в анализе угроз — их идентификация.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления.

Кроме вероятности осуществления важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации, ослабление позиций на рынке и т.п.

Слабости обладают свойством притягивать к себе не только злоумышленников, но и относительно честных людей. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем.

Уничтожение информации называется санацией. Имеется три метода уничтожения: перезапись, размагничивание и разрушение носителя. Если речь идет о данных на магнитных носителях, то для санации вполне достаточно тройной перезаписи случайными последовательностями бит. После этого даже с помощью специальной аппаратуры прочитать первоначальную информацию невозможно.

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше — с составления описания должности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не смог нарушить критически важный для организации процесс.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно — уменьшить ущерб от случайных или умышленных некорректных действий

После идентификации угрозы необходимо оценить

Использование АС связано с определенной совокупностью рисков, под которыми понимаются стоимостные выражения событий (обычно вероятностных), ведущих к потерям. Если риск не приемлем, то необходимо предпринять защитные меры, не превышающие по стоимости возможный ущерб.

Анализ риска, главным образом, необходим для следующего:

— выявления уязвимости АС и ее системы защиты,

— определения необходимых и достаточных затрат на ОБИ,

— выбора конкретных мер, методов, средств и систем защиты,

— повышения информированности и компетентности персонала АС.

В целом, периодический анализ риска необходим для планирования компромисса между степенью безопасности АС и ее качественными характеристиками: стоимость, производительность, функциональность, удобство работы, масштабируемость, совместимость и др.

3.2.1. Основные этапы анализа риска

Работа по анализу риска состоит в том, чтобы оценить величину рисков, выработать меры по их уменьшению и затем убедиться, что риски заключены в приемлемые рамки.

Анализ риска – процесс нелинейный и взаимосвязанный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему.

Это интересно:  Бюджет фсс на 2020 год

На начальном этапе методом экспертной оценки решаются общие вопросы проведения анализа риска.

Первым делом выбираются компоненты АС и степень детальности их рассмотрения. Всеобъемлющий анализ требует рассмотрения всей информационной инфраструктуры. Но на практике из принципа разумной достаточности могут быть выделены и подвергнуты большей детализации отдельные наиболее важные компоненты и службы, в первую очередь, где риски велики или неизвестны. Более тщательному анализу подвергаются новые и модифицированные компоненты АС, а также компоненты, в которых были новые инциденты и нарушения безопасности.

Далее выбираются методологии оценки рисков как процесса получения количественной или качественной оценки ущерба, который может произойти в случае реализации угроз безопасности АС. Методологии носят частный характер, присущий организации и АС, и зависят от конкретного множества дестабилизирующих факторов и условий функционирования АС, возможности их количественной оценки, степени их неточности, неполноты, нечеткости и т. д. На практике, с учетом допустимой приближенной оценки рисков, часто используют простые наглядные методы, основанные на элементах теории вероятности и математической статистики.

Этап идентификации активов. Основу процесса анализа риска составляет определение: что надо защищать, от кого и как. Для этого выявляются активы (компоненты АС), нуждающиеся в защите. Некоторые активы (например, технические и программные средства) идентифицируются очевидным образом. Про некоторые активы (люди, расходные материалы) часто забывают. При идентификации активов могут быть затронуты и нематериальные ценности, способные, однако, пострадать от нарушения режима безопасности, например: репутация компании, моральный климат в коллективе.

В некоторых специфичных АС активы, уникальные для организации, могут быть выделены в отдельные группы, например: коммуникационное, алгоритмическое или лингвистическое обеспечение. Кроме того, могут подлежать защите части инфраструктуры, в частности подсистемы электроснабжения и др.

В процессе идентификации активов фиксируются технологии ввода, хранения, обработки и передачи информации в системе. Главным результатом процесса идентификации активов является получение детальной информационной структуры организации и способов использования информации. Дальнейшие этапы анализа риска основываются именно на данной, зафиксированной на некоторый момент времени информации.

Этап анализа угроз. После идентификации активов АС следует рассмотреть все возможные угрозы указанным активам, оценить риски и ранжировать их по степени возможного ущерба.

Под угрозой обычно понимают любое событие (действие), которое потенциально может нанести ущерб АС путем нарушения конфиденциальности, целостности или доступности информации. Угрозы могут быть преднамеренными, являющимися следствием умышленных (злонамеренных) действий людей, и непреднамеренные, вызванные ошибками человека или сбоями и отказами работы технических и программных средств, или стихийными действиями.

При анализе угроз необходимо выявить их источники и условия реализации. Это поможет в выборе дополнительных средств защиты. Часто одни угрозы могут быть следствием или условием проявления ряда других угроз. Например, несанкционированный доступ (в различных формах его проявления) к ресурсам облегчает реализацию практически любой угрозы: от порчи магнитного носителя до комплексной удаленной атаки.

Этап оценки рисков. После идентификации угрозы необходимо оценить риск проявления угрозы. В большинстве случаев возможно получить количественную оценку риска. Она может быть получена на базе экспертного опроса, оценена статистически или рассчитана по некоторой математической зависимости (адекватной конкретной угрозе конкретному активу).

Кроме вероятности осуществления угрозы, важен размер ожидаемых потерь. В общем случае ожидаемые потери рассчитываются по следующей формуле: e = p·v, где p – вероятностная оценка риска проявления угрозы, v – ущерб при реализации угрозы. Однако как вероятности угрозы, так и ожидаемые потери не всегда можно оценить количественно. Например, рассчитать замену компьютера достаточно просто, но трудно оценить потенциальный ущерб в случае задержки выдачи данных, искажения информации, разглашения отдельных сведений и т. д. Некоторые инциденты могут нанести ущерб репутации фирмы, вызвать социальную напряженность в коллективе, повлечь юридическое преследование предприятия со стороны пользователей и т. д.

Следует оговориться, что методы анализа риска обычно не отличаются высокой точностью. Дело в том, что основная задача анализа риска (как инструмента планирования) – оценить уровень возможных потерь и уровень затрат на защиту. Для практики, когда разнородные исходные данные имеют приближенный или субъективный характер оценки, высокая точность расчета и не требуется. Иногда вообще невозможно оценить точность результата.

3.2.2. Выбор и проверка защитных мер

Для уменьшения размера ущерба необходим выбор соответствующих мер защиты: организационных, физических, программно-технических и др. Каждая угроза может быть предотвращена различными способами. Поэтому на данном этапе решается задача анализа и синтеза мер, методов и средств защиты по критерию эффективность/стоимость с учетом, конечно, технической политики организации и других жизненно важных характеристик АС.

После выбора способов защиты АС производится проверка их эффективности. Если остаточные риски стали опять-таки неприемлемы, весьма разумно повторить этапы анализа риска.

Завершая подраздел, следует отметить, что разработка политики безопасности и проведение анализа риска являются кропотливыми научно-техническими задачами. Поэтому важно правильно подобрать коллектив разработчиков. Обычно этим профессионально занимается группа информационной безопасности предприятия. Однако возможно привлечение администраторов и разработчиков систем и сетей, специалистов по аудиту и управлению, психологов, представителей службы режима.

© 2020 Научная библиотека

Копирование информации со страницы разрешается только с указанием ссылки на данный сайт

Оценка операционного риска ОАО «Сбербанк России»

Анализ базовых видов операционных рисков коммерческого банка проводится по следующей методике:

1. Идентификация рисков.

Первый шаг в анализе рисков — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако, не забывая о возможности захвата террористами), но в пределах выбранных видов провести максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты.

2. Оценка вероятности осуществления.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

3. Оценка потенциальных (максимальных) потерь при наступлении события.

Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

4. Оценка ожидаемых потерь (приемлемости риска).

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на потенциальный ущерб.

Если для вероятности и величины ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9.

Первые два результата можно отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому, после чего появляется возможность снова привести их к трехбалльной шкале.

По этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вычисленная величина совпала с приемлемой, целесообразно рассматривать более тщательно из-за приближенного характера результата.

Проведем анализ базовых видов операционных рисковна примереодного из дополнительных офисов ОАО «Сбербанк России».

Рассмотрим группы операционных рисков применительно к анализируемому банку (табл. 7).

Это интересно:  Как оформить кфх подробно

Таблица 7 – Основные операционные риски и последствия их реализации в дополнительном офисе Сбербанка

Группы операционных рисков Угроза Последствия реализации
Персонал банка Недостаточная компетентность и отсутствие опыта Ошибки в работе, занесение ошибочных данных
Внутреннее мошенничество Хищение денег тем или иным способом
Процессы и внутренний контроль Использование некорректных данных, проводок и расчетов по финансовым операциям Ошибки в отчетности, ведущие к потерям банка
Неадекватное распределение полномочий Передача больших полномочий сотрудникам, к которым нет доверия, или тем, у которых нет большого опыта работы. Может привести к хищениям, ошибкам в работе, злоупотреблению должностным положением
Информационные системы и технологии Сбои информационной системы и отказ оборудования Остановка всей работы банка на неопределенный период. Ведет к потерям банка
Неполное резервное копирование данных Потеря данных без возможности восстановления
Незащищенная обработка данных Хищение данных третьими лицами
Взлом информационной системы и заражение вирусом Потеря данных, уничтожение, намеренное внесение некорректных ошибок и т.д.

После идентификации угроз оценим вероятность их осуществления в Сбербанке России, используя трехбалльную шкалу (табл. 8).

Таблица 8 – Оценка вероятности осуществления операционных рисков в дополнительном офисе Сбербанка

Группы операционных рисков Угроза Вероятность
низкая (1) средняя (2) высокая (3)
Персонал банка Недостаточная компетентность и отсутствие опыта +
Внутреннее мошенничество +
Процессы и внутренний контроль Использование некорректных данных, проводок и расчетов по финансовым операциям +
Неадекватное распределение полномочий +
Информационные системы и технологии Сбои информационной системы и отказ оборудования +
Неполное резервное копирование данных +
Незащищенная обработка данных +
Взлом информационной системы и заражение вирусом +

Таким образом, три вида угроз характеризуются низкой вероятностью осуществления, четыре – средней, а одна угроза имеет высокий уровень вероятности реализации. При этом, ни одной угрозе не установлен нулевой уровень вероятности, что характеризовало бы ее невозможностью реализации.

Далее необходимо установить максимальные потери от возникновения риска, для чего составим табл. 9.

Таблица 9 – Оценка потенциального ущерба от реализации операционных рисков в дополнительном офисе Сбербанка

На основании приведенных выше данных оценим приемлемость риска для банка. Для этого составим табл. 10.

Таблица 10 – Оценка ожидаемого ущерба от реализации операционных рисков в дополнительном офисе Сбербанка

Угроза Приемлемость риска (Вероятность × ущерб в баллах) Общая оценка риска Общая оценка риска (в баллах) Скорректированная сумма ущерба (1 балл – 33 % от суммы)
Недостаточная компетентность и отсутствие опыта Высокий
Внутреннее мошенничество Высокий
Использование некорректных данных, проводок и расчетов по финансовым операциям Низкий
Неадекватное распределение полномочий Низкий
Сбои информационной системы и отказ оборудования Средний
Неполное резервное копирование данных Низкий
Незащищенная обработка данных Низкий
Взлом информационной системы и заражение вирусом Высокий
ИТОГО

Ожидаемые потери оценивались исходя из величины 1 балла – 33,3% (0,333):

5100 тыс. руб. × 1,0 = 5100 тыс. руб.

2000 тыс. руб. × 0,333 = 666 = 670 тыс. руб.

Наибольшее внимание нужно уделить таким угрозам, как недостаточная компетентность и отсутствие опыта у персонала, внутреннее мошенничество, сбои информационной системы и отказ оборудования, взлом информационной системы и заражение вирусом. Рассмотрим основные причины, которые ведут к возникновению этих угроз в дополнительном офисе Сбербанка России (табл. 11).

Таблица 11 – Причины возникновения угрозы операционных рисков в дополнительном офисе Сбербанка

Угроза Причины
1. Недостаточная компетентность и отсутствие опыта — нехватка квалифицированных и опытных кадров на местном рынке; — банк не уделяет достаточного внимания обучению и повышению уровня квалификации сотрудников; — недостаточный период адаптации сотрудников перед вступлением в должность.
2. Внутреннее мошенничество — непроработанная система отбора кадров, в результате чего на рабочие места попадают люди, склонные к мошенничеству; — слабая система внутренней безопасности, что способствует осуществлению незаконных операций.
3. Сбои информационной системы и отказ оборудования — использование нелицензионных или несовместимых приложений; — неисправность сетевых кабелей и соединительных разъемов (обрывы кабеля, короткое замыкание и физическое повреждение соединительных устройств и т.д.); — слабые серверы.
4. Взлом информационной системы и заражение вирусом — доступ к виртуальным ключам имеет несколько пользователей (к каждому); — Защита на сервере имеет только один уровень; — сотрудники вводят короткие пароли, которые легко подобрать внешним мошенникам; — подключение к сети неавторизованного оборудования.

На основании проведенного анализа угроз, вероятности их возникновения и возможного ущерба необходимо разработать мероприятия по снижению операционных рисков в анализируемом филиале Сбербанка России.

Таким образом, примерная оценка ущерба от реализации операционных рисков в дополнительном офисе Сбербанка России показала, что при реализации всех рисков банк может потерять 168,4 млн. руб. Реальная величина ущерба может составить 160,63 млн. руб. Наибольшее внимание нужно уделить таким угрозам, как недостаточная компетентность и отсутствие опыта у персонала, внутреннее мошенничество, сбои информационной системы и отказ оборудования, взлом информационной системы и заражение вирусом.

Рекомендации по снижению операционных рисков в анализируемом офисе Сбербанка России:

1. Повышение квалификации специалистов банка за счет банка: разработка системы обучения и повышения квалификации; отправлять работников на специализированные семинары; стажировка молодых специалистов в других регионах системы Сбербанка РФ; разработка системы адаптации новых работников.

2. Для вновь нанятых работников целесообразно проводить «интервал-тренинг» (признанный в Европе наилучшей методикой безболезненного «врабатывания» нового работника в его обязанности). Он наиболее подходит для специалистов банка.

3. Для того, чтобы предотвратить или выявить внутреннее мошенничество в банке, рекомендуется, во-первых, проверить всех работающих банка, а, во-вторых, вновь поступающих на работу проверять на полиграфе.

4. Для предотвращения поломок и сбоев оборудования, рекомендуется приобрести сканеры сетевого кабеля, установки источников бесперебойного питания, системы дисковых массивов, архивные серверы.

5. Для предотвращения взломов информационной системы и заражения вирусом внедрить системы smart–использовать систему шифрования данных, ограничивать доступ в помещения посторонних лиц или сотрудников других подразделений, жёстко ограничивать круг лиц, имеющих доступ к каждому компьютеру, требовать, чтобы пользователи выбирали длинные пароли, задействовать программу генерации паролей.

6. Использовать автоматизированную систему управления операционными рисками, которая позволяет осуществлять: сбор данных о фактически понесенных потерях, вызванных влиянием операционного риска; мониторинг неблагоприятных событий операционного характера и вызванных ими потерь; генерацию отчетов, анализ и визуализация накопленной статистики; проведение опросов экспертов с целью оценки влияния факторов операционного риска на бизнес-процессы банка и построение на полученных данных карты рисков; расчет оценки требований на капитал для покрытия возможных потерь от операционных рисков и т.д.

7. Ввести отдел по управлению операционными рисками. В отдел будет входить два специалиста: начальник отдела и риск – менеджер.

Статья написана по материалам сайтов: www.studsell.com, sernam.ru, infopedia.su.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock
detector