Главная стр 1
скачать
В. В. Знаменский,

к. э. н., профессор, зав. кафедрой «Финансы и кредит» Московского института банковского дела,



Н. А. Торцов,

студент Московского института банковского дела,



Е. В. Покидько,

студентка Хабаровской государственной академии экономики и права

Проблемы обеспечения информационной безопасности российских кредитных организаций и методы снижения банковских рисков

В статье анализируются актуальные для российских кредитных организаций проблемы совершенствования программно-аппаратного комплекса, повышения информационной безопасности и управления рисками. На основе примеров современной практики предлагаются конкретные варианты управленческих решений, позволяющих снизить уровень операционного, правового и других видов рисков.

Внутрибанковский программно-аппаратный комплекс может включать в себя несколько автоматизированных систем, обслуживающих различные сегменты деятельности коммерческого банка (операции с физическими и юридическими лицами, по кредитам и депозитам, пластиковым картам, приёму платежей и другие). Кроме того, в его состав входят системы связи, обеспечивающие обмен данными внутри каждого из отделений банка и между филиалами, системы защиты информации, а также специализированное аппаратное обеспечение.

Бесперебойная и безошибочная работа данного комплекса является неотъемлемым условием успешного функционирования и развития любого коммерческого банка. Напротив, даже кратковременные операционные сбои или незначительные ошибки при хранении, передаче и обработке данных могут привести к возникновению у банка финансовых потерь, причём не только в виде прямых убытков от неправильного списания или зачисления средств и расходов по списанию недостач и хищений, но и в форме упущенной прибыли и отрицательной деловой репутации. Деловая репутация является одним
из наиболее ценных активов банка; вместе с тем, этот показатель очень чувствителен к влиянию банковских рисков индивидуального уровня (уровня сотрудника) и рисков микроуровня. По мнению И. В. Пещанской, «угроза потери репутации особенно разрушительна для банков, поскольку природа их бизнеса требует поддержания доверия кредиторов, вкладчиков и рынка в целом» [3, с. 35]. Следовательно, снижение репутационного риска становится всё более актуальной задачей для руководства банков.

Не менее важным является регулирование операционного риска, наличие которого обусловлено вероятностью нарушений в управлении банком, а также возможными сбоями в автоматизированных системах, в первую очередь


в системах осуществления платежей и электронной обработки данных. Согласно документам Базельского комитета по банковскому надзору, операционный риск определяется как «риск возникновения убытков в результате недостатков
в организации деятельности, используемых технологиях, функционировании информационных систем, в результате неадекватных действий или ошибок сотрудников, а также вследствие внешних событий» [10].

Масштаб ущерба от различных проявлений операционного риска можно оценить на основе результатов исследования 120 кредитно-финансовых организаций из 17 стран, которые опубликовал Банк международных расчётов. Отмечается, что к 2008 году общий объём зарегистрированных операционных убытков достиг 59,6 млрд евро. Ежегодный объём потерь оценивается в 7–9 млрд евро (в среднем, около 80 млн евро на каждый банк). Наиболее распространёнными причинами убытков являются ошибки управления и ненадлежащая организация деятельности (30% случаев), а также внешнее мошенничество (26% случаев). Основные потери банков возникают в результате нарушений законодательства и порядка работы с клиентами (52% убытков).


В целом, существенная часть убытков связана с несанкционированным использованием информационных систем и ресурсов, злоупотреблением конфиденциальной информацией или неправильной организацией потоков данных внутри кредитных организаций и между ними, а также с отсутствием или несовершенством системы защиты информации [11]. Подробные данные
о распределении количества случаев и суммы потерь кредитных организаций
по проявлениям операционного риска приведены в таблице.

Распределение количества случаев и суммы убытков кредитно-финансовых организаций по проявлениям операционного риска (причинам возникновения убытков)

Проявления операционного риска

Распределение случаев, %

Распределение потерь, %

Злоупотребления или противоправные действия служащих кредитной организации (внутреннее мошенничество)

4,2

6,1

Противоправные действия третьих лиц (подделка документов, несанкционированное проникновение в информационные системы)

26,3

8,0

Нарушение трудового законодательства

17,5

6,0

Нарушение банковского, антимонопольного и иного законодательства, неисполнение обязательств по договорам, нарушение порядка работы с клиентами (ненадлежащее использование конфиденциальной информации, навязывание услуг, сговор по ценам)

18,2

52,4

Повреждение или утрата основных средств и других материальных активов

1,2

1,4

Выход из строя оборудования и систем (сбои в работе аппаратного и программного обеспечения)

2,0

1,2

Ненадлежащая организация деятельности, ошибки управления бизнес-процессами (несовершенство систем информационной защиты, неправильные юридические решения, неверное составление юридической документации)

30,6

24,9

Источник: Results from the 2008 Loss Data Collection Exercise for Operational Risk.
Basel Committee on Banking Supervision // Bank for International Settlements, July 2009.

Центральный банк Российской Федерации (Банк России) уделяет особое внимание контролю за величиной операционного риска российских банков. Центральный банк проводит анкетирование кредитных организаций по вопросам управления операционным риском, в том числе связанным с применяемыми методиками (моделями) оценки данного риска, подходами к определению объёма резервов на покрытие данного риска, страхованием рисков. В дальнейшем информацию, обобщённую по итогам анкетирования, предполагается использовать при подготовке нормативно-правовых актов Банка России [9].

Текущие исследования показывают, что российские кредитные организации не в полной мере осознают значимость операционного риска и необходимость управления им. К сожалению, банки пока не имеют практического опыта
по мониторингу, оценке и минимизации операционного риска. В частности,
не всеми банками осуществляется отдельный учёт операционных убытков.
Тем не менее, отдельные кредитные организации уже создали специальные структурные подразделения по управлению операционным риском, так как
по степени влияния на деятельность банков данный риск находится, как правило, на втором месте после кредитного.

Следует отметить, что международные стандарты достаточности капитала «Базель II» предъявляют к банкам определённые требования по минимальной величине капитала, необходимого для покрытия кредитного, рыночного и операционного рисков. Однако стандарты Центрального банка Российской Федерации в настоящее время не предусматривают расчёт операционного риска. Обязательный норматив Н1 (достаточности собственных средств), ограничивающий вероятность несостоятельности банка, определяется


как отношение капитала банка к сумме активов с учётом только кредитного и рыночного рисков.

Между тем, с середины 2010 года Банк России ужесточит требования


к капиталу банков в соответствии с упрощённым стандартизированным подходом «Базеля II»: в расчёт норматива Н1 будет введён операционный риск. Управление данным риском станет для российских банков одной из первоочередных задач, ведь чем ниже величина операционного риска, тем проще будет коммерческому банку выполнять обязательные нормативы и другие требования Центрального банка. В конечном счёте это повысит финансовую устойчивость всего банковского сектора и приведёт к повышению качества управления рисками
в большинстве банков.

Разумные методы и стратегии управления операционным риском помогут избежать крупных убытков, поскольку будут способствовать предотвращению случаев мошенничества и обеспечению непрерывной деятельности банков. Усовершенствованный порядок операционной работы также будет означать более быстрый отклик кредитной организации на меняющиеся потребности рынка [2].

Руководству коммерческого банка следует разработать несколько внутренних документов по управлению различными видами рисков, а также единую политику по созданию целостной системы экономической и информационной безопасности банка. При внедрении новых автоматизированных систем или совершенствовании имеющихся руководство должно принять все необходимые меры по защите данных, циркулирующих в корпоративной информационной системе банка, в том числе сведений, составляющих коммерческую тайну.

При выборе элементов программно-аппаратного комплекса банкам следует применять несколько основных рекомендаций, предполагающих ряд альтернативных управленческих решений.



Поставщики IT-услуг. Банки могут использовать продукты и услуги как зарубежных, так и российских поставщиков. Зарубежные поставщики предлагают достаточно надёжные, многофункциональные и производительные программные решения, обеспечивающие возможность повышения эффективности деятельности банка за счёт быстрого внедрения новых продуктов. Однако такие системы относительно дороги и не всегда позволяют быстро адаптировать бизнес-процессы к меняющимся требованиям российского законодательства. Кроме того, отмечается общее негативное стремление кредитных организаций сокращать IT-бюджеты в условиях мирового финансового кризиса. Поэтому банки отдают предпочтение отечественным программным продуктам, которые являются
не менее функциональными и гибкими. Кредитные организации также имеют право применять собственные программные разработки, что можно считать дополнительным конкурентным преимуществом. По оценке CNews Analytics,
в 2008 году доля автоматизированных банковских систем российских поставщиков составляла около 80%, доля собственных разработок банков — около 10% [1].

На рынке аппаратного обеспечения наблюдается обратная ситуация: подавляющее большинство банков применяет зарубежное оборудование.


В первую очередь это касается телекоммуникационных систем: до 90% цифровых станций являются импортными. По нашему мнению, зависимость от иностранных поставщиков в данной сфере может оказать негативное влияние
на информационную безопасность кредитно-финансовых организаций. Банкам следует рассмотреть практику более широкого использования российских продуктов, так как по своим функциональным возможностям некоторые из них
не уступают зарубежным аналогам от ведущих мировых производителей.

Предварительное тестирование. В процессе совершенствования программно-аппаратного комплекса банка необходимо проводить предварительное нагрузочное тестирование всех новых компонентов, а также системы в целом. Следует выбирать более устойчивые компоненты с высокой пропускной способностью и возможностью одновременной обработки нескольких потоков данных. Это позволит значительно снизить риск нарушений непрерывной работы банка и предотвратит возникновение дополнительных операционных издержек
в будущем. В противном случае банк может столкнуться с рядом неблагоприятных последствий. Примером является масштабный сбой программного обеспечения, затронувший треть московских офисов Сбербанка России 20 июля 2009 года. При обновлении некоторых компонентов автоматизированной системы банка тестирование не было осуществлено заранее. Возросшая нагрузка привела к невозможности выполнения операций по вкладам
в течение нескольких часов. Экономические потери Сбербанка оказались небольшими, так как был приостановлен только один сегмент его деятельности. Тем не менее, если бы похожие сбои наблюдались регулярно или в менее крупном банке, операционные и репутационные убытки были бы значительно выше.

Информационная безопасность. Банки должны предусмотреть наличие современных систем информационной безопасности, в том числе компонентов,
не допускающих несанкционированное использование ресурсов и обеспечивающих защиту от всех известных видов внешних угроз.

Наличие проблем в данной сфере подтверждает тот факт, что в последнее время всё чаще фиксируются попытки проникновения извне в компьютерные сети кредитных организаций, их перегрузки и выведения из строя. Например, в августе 2009 года компания Orange Business Services зарегистрировала и отразила несколько атак типа «отказ в обслуживании» на системы интернет-банкинга четырёх крупнейших российских банков. По словам экспертов, организация атаки на корпоративные сервисные ресурсы «обходится всего в несколько тысяч долларов, в то время как репутационный ущерб может достигать сотен тысяч долларов» [5]. Банкам следует использовать средства обнаружения уязвимостей сетей, анализаторы сетевых атак, средства шифрования данных и другие инструменты поддержания безопасности.

Центральный банк осуществляет контроль за использованием кредитными организациями IT-услуг: банки должны в двухнедельный срок уведомлять Банк России об изменениях в применяемых технологиях. Среди индикаторов, представляющих интерес для Центрального банка: внедрение регламентов и методических документов по системному мониторингу и аудиту, управлению рисками, связанными с интернет-банкингом, наличие многоуровневой системы межсетевой защиты, использование сертифицированных средств цифровой подписи и одноразовых идентификаторов в качестве паролей для клиентов, степень надёжности фирм-разработчиков программных продуктов [7, 8].

Добросовестность поставщиков IT-услуг является немаловажным аспектом информационной безопасности. В соответствии с рекомендациями Центрального банка, кредитным организациям, привлекающим сторонние специализированные организации для выполнения отдельных работ, необходимо следить за тем, чтобы их действия соответствовали законодательству и другим актам [4].

В качестве примера можно привести ситуацию, сложившуюся вокруг нижегородской компании Invision Board Resource, предоставляющей услуги
по созданию интернет-форумов и модулей обмена публичными и персональными сообщениями. В числе клиентов IBR — Альфа-Банк и финансовая компания UMIS. Мы обнаружили, что IBR предлагает модификации программного обеспечения, не удовлетворяющие нормам действующего законодательства,
в частности, статье 63 Федерального закона «О связи» от 7 июля 2003 года
№ 126-ФЗ. Нами было установлено, что тексты личных сообщений
от пользователя к пользователю (в данном случае — между сотрудниками и клиентами организаций) может прочесть любой человек, имеющий доступ к базе данных форума, которая не является зашифрованной [6]. Отсутствие такого простого элемента защиты, как шифрование, обусловливает вероятность совершения третьими лицами противоправных действий, что нельзя признать соответствующим требованиям пунктов 1–3 вышеупомянутой статьи Федерального закона, касающихся тайны связи. Возможность создания
на территории Российской Федерации столь нестандартных модификаций подтвердили эксперты Этического комитета Лаборатории Касперского, а также основатель корпорации Invision Power Services Мэтт Микам. Оценив потенциальные риски, Альфа-Банк принял решение отказаться от услуг IBR
в ближайшее время. Мы считаем, что использование таких или аналогичных программных продуктов, особенно в качестве элементов внутренних систем связи или электронного документооборота, небезопасно для кредитно-финансовых организаций и может способствовать хищению и разглашению конфиденциальных сведений.

Таким образом, кредитные организации должны стремиться к регулированию и ограничению различных видов рисков (операционного, правового и репутационного) на каждом этапе развития собственных информационных систем. Грамотное управление рисками и инвестирование достаточных средств


в совершенствование IT-инфраструктуры позволит банкам оставаться конкурентоспособными и заслуживающими доверия в условиях нестабильности российской экономики.



ЛИТЕРАТУРА


  1. ИТ в банках и страховых компаниях 2009: Обзор // CNews Analytics, 2009. www.cnews.ru/reviews/free/banks2009.

  2. От операционного риска к операционному совершенству // Расчёты и операционная работа в коммерческом банке. – 2005. – № 5.

  3. Пещанская И. В. Организация деятельности коммерческого банка: Учеб. пособие. – М.: ИНФРА-М, 2001. – 320 с.

  4. Письмо Банка России от 24.05.2005 № 76-Т «Об организации управления операционным риском в кредитных организациях».

  5. Серьгина Е. Виртуальная угроза // РБК daily, 2009. www.rbcdaily.ru/ 2009/09/04/media/429489.

  6. Торцов Н. А., Покидько Е. В., Тищенко Е. В. Безопасность пользователей форумов Invision: личные данные, сообщения и заметки // ФФК Лаборатории Касперского, 2009. www.forum.kasperskyclub.ru/index.php? showtopic=11312.

  7. Указание ЦБ РФ от 16.01.2004 № 1376-У «О перечне, формах и порядке составления и представления форм отчётности кредитных организаций в Центральный банк Российской Федерации» (ред. от 15.09.2009).

  8. Указание ЦБ РФ от 01.03.2004 № 1390-У «О порядке информирования кредитными организациями Центрального банка Российской Федерации
    об использовании в своей деятельности интернет-технологий» (ред. от 30.11.2004).

  9. Управление операционным риском в кредитной организации: Анкета. – М.: ЦБ РФ, 2006. – 9 с.

  10. Basel II: International Convergence of Capital Measurement and Capital Standards // Bank for International Settlements. Basel. 2006. www.bis.org/publ/bcbs128.pdf.

  11. Results from the 2008 Loss Data Collection Exercise for Operational Risk // Bank for International Settlements. Basel. 2009. www.bis.org/publ/ bcbs160a.pdf.




скачать


Смотрите также:
К э. н., профессор, зав кафедрой «Финансы и кредит» Московского института банковского дела
111.45kb.
Методические указания по выполнению контрольной работы Для самостоятельной работы студентов IV курса специальности 060400 «Финансы и кредит»
267.53kb.
Открытые образовательные технологии: исследовательская деятельность школьников Л. Б. Прокофьева
192.35kb.
Серия «студенческая библиотека»
5727.93kb.
Программа 82-ой конференции студенческого научного общества «мечниковские чтения 2009»
560.02kb.
Вопросы государственного экзамена по специальности финансы и кредит
70.34kb.
Н. Машков, доктор психологических наук, профессор, заведующий кафедрой социальной антропологии и психологии Республиканского гуманитарного института (Санкт-Петербург); А. А
11578.17kb.
П\п Наименование дисциплины Форма аттестации
56.28kb.
Стадия возбуждения уголовного дела: «за» и
56.29kb.
Понятие и сущность комплексных правовых режимов
121.7kb.
Примерные вопросы для проведения государственного экзамена по специальности «Финансы и кредит», специализация «Банковское дело»
112.42kb.
Программа международной научной конференции
256.06kb.