Об операционных банковских рисках СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ … …

БАНКОВСКИЙ СЕКТОР РФ БУДЕТ ОТКРЫТ ПРИ ПРИСОЕДИНЕНИИ РФ к ВТО заявил глава Минэкономразвития РФ Герман Греф ( , BizTime.ru).

В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, в частности, что, в Европе давно перешли от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

Рекомендации Базельского комитета Эффективность банковской системы по Базель-1: Эффективное корпоративное управление Эффективная система внутреннего контроля Культура контроля Контроль рисков Кредитный риск Страновой (региональный) риск Рыночный риск Процентный риск Риск ликвидности Операционный риск источник: Сазыкин Б.В., д.т.н., профессор

Определение операционного риска Базельский комитет (2003 г). Операционный риск – риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, связанных с людьми и системами, а также вследствие внешних воздействий. Указание ЦБР 70Т от г. «О типичных банковских рисках». Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

Изменения в концепции контроля, принятой ЦБР источник: Сазыкин Б.В., д.т.н., профессор

Положение ЦБР от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" 1.2. Внутренний контроль осуществляется в целях обеспечения: …Постоянное наблюдение за банковскими рисками; Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений).

Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом 19 апреля 2006 года в Москве В мероприятии приняли участие: Министр внутренних дел РФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты. « в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев «с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников

2005 CSI/FBI Лоуренс А. Гордона, Мартин П. Лоеба, Уильям Ласайшайн, Роберт Ричардсон Обзор компьютерных преступлений и безопасности Результаты исследования Базируются на ответах 700-сот респондентов из американских корпораций, правительственных агентств, финансовых и медицинских институтов и университетов. Количество инцидентов, связанных с веб- сайтами резко возросло.

Потери в долларах по типу атаки CSI представляет отчет о результатах исследования в свободный доступ на сайте GoCSI.com

Самые серьезные угрозы для данных и корпоративной сети Источник: IDC, 2006

«Report on Widening Gap» "Отчет о расширяющейся пропасти" Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005".

Заинтересованность коммерческих банков в решении проблем информационной безопасности Результаты опроса АРБ 200 респондентов

Секция «Кибернетический терроризм» российско- американского семинара (Президиум РАН, 2003 год) «Истина состоит в том, что мы не знаем, как создавать надежные информационные системы». …Главный вывод – необходима «разработка совершенно новых методов обеспечения безопасности информационных систем». Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США). ppt

Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский ун-т США). Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности необходимо решить следующие 4 первоочередные задачи: 1. Создать новую модель компьютерной защиты вместо прежней модели «круговой обороны». 2. Ввести новое определение «компьютерной безопасности». 3. Перейти к активной обороне. 4. Скоординировать действия «кибернетических сообществ», законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии….

«Настоящая наука начинается там, где начинаются измерения» Дмитрий Иванович Менделеев

Стандарты информационной безопасности и риск ГОСТ Р ИСО/МЭК «Информационная технология.Методы безопасности. Система управления безопасностью информации. Требования» ГОСТ Р ИСО/МЭК " Информационная технология. Методы безопасности. Руководство по управлению безопасностью информации" ГОСТ Р ИСО/МЭК « Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий »

Закон «О техническом регулировании» Статья 2. Основные понятия «риск - вероятность причинения вреда…..» «безопасность - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда…….»

Технический комитет 362 «Защита информации» Подкомитет 3 « Защита информации в кредитно- финансовой сфере » (Сберегательный банк РФ, Альфа-банк, Россельхозбанк, банки «Петрокоммерц» и «Российский кредит», ММВБ, Институт банковского дела АРБ, международная аудиторская фирма KPMG и другие)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) СТАНДАРТ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ Москва 2006 СТО БР ИББС Вестник 6, 2006 год

Статья 3. Целями деятельности Банка России являются: …………………………………………………………… ………………………………. обеспечение эффективного и бесперебойного функционирования платежной системы. Получение прибыли не является целью деятельности Банка России. Федеральный закон от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"

Федеральный закон «О банках и банковской деятельности» (с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г., 19 июня, 7 августа 2001 г.,21 марта 2002 г.) Глава I. Общие положения Статья 1. Основные понятия настоящего Федерального закона Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности

Федеральный закон от г. N 98-ФЗ "О коммерческой тайне" Статья 3. Основные понятия, используемые в настоящем Федеральном законе. Для целей настоящего Федерального закона используются следующие основные понятия: 1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

R-суммарные издержки n-количество рисков А-вероятный риск В-стоимостная оценка риска С-стоимость реализации мер защиты Rmax-оценка допустимого риска Обобщенный критерий защищенности информации в коммерческой АС С защита < С выгода < У ущерб системы нарушителя владельца ИЗВЛЕЧЕНИЕ ИЗ МЕТОДИКИ ФРАНЦУЗСКОЙ БАНКОВСКОЙ КОМИССИИ

Предложение по определению термина «информационная безопасность» (на «законных» основаниях ФЗ «О техническом регулировании») «информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации» Достоинства нового определения: Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК , 27001, 17799) и прежнего научно-технического задела. Получение метрик информационной безопасности.

Спасибо за Ваше внимание! СКОРОДУМОВ БОРИС ИВАНОВИЧ