УРСА Банк: минимизация риска финансовых потерь

Роман Слесарев,
директор управления информационной безопасности (ИБ) УРСА Банка, рассказал редакции о проведенной оценке рисков в банке в соответствии с требованиями стандарта Basel II, а также о том, как данная оценка повлияла на бизнес организации в целом.

- В прошлом году в вашем банке была проведена оценка рисков информационной  безопасности.   Расскажите,   что именно было сделано?

- Да, проект был начат в 2007 г. и завершен в начале этого года. Было проведено обследование информационных систем, определены основные   уязвимости, разработаны модели    угроз, дана      оценка уровня обеспечения ИБ банка,      соответствия   процессов     требованиям стандарта ИСО 27001. И, что очень важно, осуществлена оценка рисков информационной   безопасности в соответствии с разработанной методикой.

Этот    проект является инновационным: анализ и оценка рисков ИБ проводились в контексте    общего процесса   управления операционными рисками.  Необходимо отметить, что наш банк уделяет большое внимание построению системы риск-менеджмента  и  без  поддержки высшего руководства данный проект не состоялся бы.

Специалисты компании  "Инфосистемы   Джет",   реализующей данный проект в УРСА Банке, помогли нам разработать       методику оценки   в   соответствии с требованиями стандарта Basel II.  Согласно этому стандарту,  информационные    риски, риски И Б соответствуют категории 1 уровня операционных рисков и должны рассматриваться в рамках единой методологии.

Операционные риски - очень широкое понятие. Они распространяются на все бизнес-процессы. Поэтому нельзя говорить, что была проведена оценка операционных рисков в целом. Мы осуществляли качественную и количественную оценку именно операционных рисков ИБ и их влияние на бизнес-процессы банка.

Оценка рисков - это критически важная задача, позволяющая банку создать условия, выработать необходимые и достаточные меры с целью минимизации риска финансовых потерь. А это способствует финансовой устойчивости банка, безусловному исполнению обязательств перед клиентами, выполнению требований и рекомендаций российских регуляторов, а также зарубежных стандартов, применимых для российских банков.

- Как проведенная оценка рисков ИБ повлияла на бизнес вашей организации в целом?

- Мы получили количественное (денежное) выражение существующих рисков в привязке к бизнес-процессам банка и в контексте информационных систем, обеспечивающих реализацию и исполнимость этих процессов. А это позволяет связать воедино задачи бизнеса и ИБ. Таким образом, достигается конвергенция между IT-направлением, являющимся затратной составляющей, и бизнес-направлением, для которого главной и естественной задачей является получение прибыли. А согласованное и оптимальное взаимодействие этих двух направлений очень важно для бизнеса любой организации.

- Существует множество методик по анализу рисков. Какие использовались вами?

- Как я уже говорил, мы учитывали рекомендации базельского комитета. Однако Basel II определяет не конкретную методику, а общие подходы.

В одних случаях возможно и допустимо использование статистических подходов, в других -сценарных. Однако для рисков И Б ввиду их специфики область применения статистических методов очень ограничена.

Инциденты, приводящие к тем или иным потерям, можно укрупненно разбить на три класса. К первому классу относятся события, которые случаются редко и приводят к низким потерям. Второй класс характеризуется большим количеством событий и невысокими потерями. Для этого класса могут использоваться статистические методы. Однако для начала должна быть сформирована соответствующая база инцидентов, а она в настоящее время еще недостаточно полна и репрезентативна.

К третьему классу относятся инциденты ИБ, возникающие нечасто, но ведущие к значительным потерям. В этом случае использование статистических методов невозможно из-за малого количества событий. Поэтому здесь применяются нестатистические методы (на основе анализа сценариев) и экспертные оценки. Методика, разработанная специалистами компании "Инфосистемы Джет" в рамках проекта, как раз учитывает эти особенности.

Конечно, нельзя утверждать, что было осуществлено построение целостной и законченной системы по оценке рисков ИБ. Была разработана методика и проведена ее апробация с точки зрения определения ALE - величины риска (показатель ожидаемых потерь) в привязке к информационным сервисам.

В дальнейшем перед нами стоит задача построения целостной системы управления рисками ИБ в контексте общего процесса управления операционными рисками банка.