Операционные и информационные риски есть ли разница?

Презентация:

Advertisements

Похожие презентации

Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела административного и технологического.

Advertisements

СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.

Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела нормативно-методической.

Практический опыт оценки соответствия стандарту БАНКА РОССИИ СТО БР ИББС–1.0–2010 ( CNews FORUM 2010, 10 ноября) Лысенко Юрий Начальник Управления информационной.

Г. Саратов 2009 г. ОСНОВНЫЕ ПОЛОЖЕНИЯ ДЕПАРТАМЕНТА ВНУТРЕННЕГО АУДИТА ОАО «МРСК ВОЛГИ»

Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»

Контроль операций с ценными бумагами. Вопросы и проблемы. А.В. Макаров ОАО Внешторгбанк Управление внутреннего контроля.

Практика Международного Московского Банка в области управления Операционными рисками (ОР) Москва, 2005 г.

Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч.

Банковские риски Лекция 8.. Риск Под риском мы будем понимать вероятность потери банком части своих средств, недополучения доходов или произведения дополнительных.

Создание бизнес ориентированной стратегии информационной безопасности Роман Чаплыгин 22 мая 2014.

Россия, , Москва, Волков переулок, д. 19/1. Тел: (095) Аккредитация организаций, выполняющих работы (оказывающих услуги)

Аудит корпоративного управления.. « Аудит корпоративного управления», «корпоративный аудит» – регулярное приведение внешним консультантом оценки соответствия.

Digital Security LifeCycle Management System Эффективное решение для автоматизации процессов в рамках жизненного цикла СУИБ © 2008, Digital Security.

Меры, позволяющие обеспечить информационную безопасность в банке ОАО «Центр банковских технологий» Беларусь, Минск, ул. Кальварийская 7 Тел.: +375.

Аудит информационной безопасности банка. О проекте Стандарта СТО БР ИББС – 1.1 «Обеспечение информационной безопасности организаций банковской системы.

Анна Кожина Консультант отдела информационной безопасности

Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.

Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.

«Создание и внедрение автоматизированной системы управления ИТ-услугами в ОАО «Белинвестбанк» ОАО «Белинвестбанк» Начальник отдела поддержки пользователей.

Транксрипт:

Операционные и информационные риски есть ли разница?

История развития подразделений информационной безопасности в Банках, почему информационная безопасность не может быть в Департаменте ИТ или в Департаменте безопасности Возникающая ситуация в Департаменте риск-менеджмента Оценка требований Basel II и СТО БР Сравнение фактического функционала операционных и информационных рисков (ОР и ИР) Сравнение определений ОР и ИР (определение ЦБ) Предложения Выводы 2 Структура презентации Содержание:

3 Варианты организации подразделения ИБ Подразделение ИБ подчинялось ИТ на самом начале становления информационной безопасности. Минусы – расхождение задач ИБ и ИТ (ИТ должно обеспечивать предоставление сервиса любой ценой) Из Департамента ИТ спускаются указания на обеспечение сервиса любой ценой, а обратно требования сделать нельзя Итог – Подразделение ИБ никак не контролируется, зачастую обслуживает только криптографию и ИТ задачи Минусы – отсутствует подразделение, которое может оценить информационные риски и создать метрики контроля информационной безопасности (невозможно контролировать самого себя) ? ?

4 Варианты организации подразделения ИБ Во многих Банках подразделение ИБ включено в состав безопасности. Минусы – расхождение задач ИБ и безопасности, Плюсы – возможность делать независимую оценку ИТ Минусы – все равно отсутствует подразделение, которое может оценить информационные риски и создать метрики контроля информационной безопасности (невозможно контролировать самого себя) Итог – Подразделение ИБ продолжает быть безконтрольным со стороны руководства (некому создать метрики контроля), Также, помимо требований к ИТ-инфраструктуре, существуют требования к бизнес-процессам, которые не анализируются ? ? Появляется возможность делать независимую оценку действий ДИТ Минусы - оценка действий Департамента безопасности невозможна. Задачи Департамента безопасности и подразделения информационной безопасности зачастую расходятся (или не находят понимания)

5 Варианты организации подразделения ИБ Встречающийся подход. Плюсы для подразделения – прямой доступ к первому лицу. Обязательное условие – наличие времени у Председателя Правления для сравнения данных от 4 подразделений Появляется возможность делать независимую оценку действий ДИТ и Департамента безопасности. Минусы – подразделение, никогда не напишет метрики контроля информационной безопасности, которые будут «плохими» для подразделения (невозможно контролировать самого себя) Итог – Несмотря на значительное улучшение ситуации, подразделение ИБ продолжает быть безконтрольным со стороны руководства (некому создать метрики контроля самого подразделения), ? Проводится оценка бизнес-процессов, появляются методики контроля, по которым СВК и рисковики могут проводить независимую оценку (подтверждать оценку подразделения ИБ). Метрики контроля Контроль

6 Варианты организации подразделения ИБ Подход Русь-Банка (после проб и ошибок). Основная задача подразделения – расчет вероятности реализации рисков, а также тяжести последствий (убытков) и формирование планов устранения/минимизации выявленных рисков. Обслуживание информационных систем по теме безопасности выделено в отдельное подразделение и передано в ДИТ. Плюсы: все информационные системы сосредоточены в одних руках, не возникает вопросов «почему не работает», нет «пин- понга» между подразделениями о степени влияния одних систем на другие. Задачи подразделения информационных рисков четко очерчены – выявление слабых мест и предложения по их устранению. Сохраняется возможность делать независимую оценку действий ДИТ и Департамента безопасности. Итог – появляется единый механизм контроля всех подразделений. Данный механизм описан, созданы понятные методики контроля, они измеряются во всех подразделениях по всем филиалам. Председатель Правления вмешивается (тратит свое время) только на разбор крупных конфликтных ситуаций. Проводится оценка бизнес-процессов, появляются методики контроля. Предложения по модернизации формируются при обязательном сравнении с возможными убытками. Обобщенные (не только по информационной безопасности) методики контроля передаются в СВК Метрики контроля Контроль Проверка Обобщенные метрики контроля

7 Возникающая ситуация в ДРМ Следствие требований Basel II Следствие требований СТО БР После передачи информационных рисков в Департамент риск- менеджмента, выясняется, что похожее подразделение в Департаменте уже есть

8 Сравнение фактического функционала Выявление и оценка операционных рисков (ведение базы учета инцидентов); Выявление и оценка рисков нарушения информационной безопасности (ведение базы учета инцидентов); Разработка и осуществление мероприятий, направленных на минимизацию операционных рисков; Анализ бизнес-процессов, информационных потоков, карт рисков и выработка рекомендаций в области автоматизации и защиты информации; Оценка эффективности принятых мер и применяемых средств защиты информации; Мониторинг и контроль выявленных операционных рисков; Контроль устранения выявленных рисков нарушения информационной безопасности; Соблюдение требований ЦБ РФ и внутренних нормативных документов Банка в части управления операционными рисками; Соблюдение требований ЦБ РФ и внутренних нормативных документов Банка в части управления информационными рисками; Формирование резерва на потери на основе предложенных ЦБ подходов. Абсолютно одинаковые по смыслу задачи!!!!! ??????

9 Формальное сравнение определений Определение операционного риска (Письмо ЦБ РФ от N 70-Т «О типичных банковских рисках») Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности Банка и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими Банка и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых Банком информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Определение риска нарушения информационной безопасности (СТО БР ИББС ) п Риск нарушения информационной безопасности (риск нарушения ИБ): Риск, связанный с угрозой ИБ. п Угроза информационной безопасности (угроза ИБ): Угроза нарушения свойств ИБ доступности, целостности или конфиденциальности информационных активов организации банковской системы Российской Федерации. п Безопасность: Состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз. п Информационная безопасность, ИБ: Безопасность, связанная с угрозами в информационной сфере. Согласно определениям, информационная безопасность не направлена на уменьшение убытков Банка и занимается только целостностью, доступностью и конфиденциальностью !!! Формально !!!

10 Должно ли ИБ заниматься операционными рисками ? Выдержка из определения операционного риска Операционный риск - риск возникновения убытков в результате ….. несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых Банком информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Примеры из методики проверки стандарта Банка России по информационной безопасности: М15.3 Kонтролирует ли руководство организации выполнение плана поставки/установки/сопровождения оборудования, АБС и их компонентов и/или плана проведения НИОKР? М17.5 Поддерживается ли в организации централизованная база инцидентов ИБ? М17.3 Осведомлены ли сотрудники о порядке действий при обнаружении нетипичных событий ИБ и порядке информирования о данных событиях? М18.1 Существует ли в организации документ, содержащий план восстановления бизнеса после прерываний? М18.3 Проходит ли весь персонал и службы/подразделения обеспечения непрерывности бизнеса периодическое обучение процедурам действий в чрезвычайных ситуациях? !!! Вывод - должно !!!

11 Должно ли ИБ заниматься операционными рисками ? Выдержка из определения операционного риска Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности Банка и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими Банка и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия)…. Примеры из методики проверки стандарта Банка России по информационной безопасности: М17.5 Поддерживается ли в организации централизованная база инцидентов ИБ? М13.5 Существуют ли документы, утвержденные руководством организации, определяющие перечень целей и задач службы ИБ, включающий: контроль пользователей, в первую очередь пользователей, имеющих максимальные полномочия; M1.10 Проводятся ли проверки профессиональных навыков и оценка профессиональной пригодности кандидатов при приеме на работу, связанную с защищаемыми активами и операциями? М17.3 Осведомлены ли сотрудники о порядке действий при обнаружении нетипичных событий ИБ и порядке информирования о данных событиях? !!! Вывод - должно !!!

12 Предложеение к внесению изменений в СТО БР Определение риска нарушения информационной безопасности (СТО БР ИББС ) п Риск нарушения информационной безопасности (риск нарушения ИБ): Риск, связанный с угрозой ИБ. Как данное определение понимает Русь-Банк: п Риск нарушения информационной безопасности (риск нарушения ИБ): Риск возникновения убытков Банка, связанный с возможностью реализации угрозы ИБ. При таком изменении формулировки возникает четкое понимание что собственно защищаем.

13 Выводы Функционал операционных и информационных рисков практически не отличается друг от друга; Дефакто – данные подразделения дополняют друг друга, со значительным перекрытием задач; Формальные определения в различных нормативных актах препятствуют Банкам произвести оптимизацию данных процессов в один.

Мартюшов Семен Юрьевич Начальник отдела информационных рисков Департамента риск-менеджмента телефон: +7 (495) доб 4548 Операционные и информационные риски: есть ли разница? Спасибо за внимание!

Использованные материалы BIS / Basel Committee on Banking Supervision / Sound Practices for the Management and Supervision of Operational Risk BIS/ Basel Committee on Banking Supervision / The Joint Forum Operational Risk Transfer across Financial Sector Risk Management and Control Guidance for Securities Firms and their supervisors (A Report by the Technical Committee of the International Organization of Securities Commissions) – May 1998 Письмо ЦБР от г. 76-Т «Об организации управления операционным риском в кредитных организациях» Указание оперативного характера ЦБР от г. 70-Т "О типичных банковских рисках" Письмо ЦБР от г. 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» Стандарт Банка России по информационной безопасности СТО БР ИББС Методика оценки рисков нарушения информационной безопасности РС БР ИББС Методика оценки соответствия информационной безопасности СТО БР ИББС Энциклопедия финансового риск-менеджмента. Под редакцией А.А. Лобанова и А.В. Чугунова. Глава IV Управление операционными рисками (П.В. Бурков)