Порядок и критерии оценки эффективности управления рисками информационных систем
Изображение: recraft
Миллиарды транзакций, личные данные миллионов клиентов, стратегически важная информация – всё это хранится в цифровом пространстве, привлекая внимание киберпреступников. Согласно статистическим данным, убытки от кибератак на финансовые организации каждый год составляют сотни миллионов долларов, причем ущерб репутации может оказаться невосполнимым. В 2024 году количество транзакций, проведенных без ведома клиентов, выросло на 74,36% по сравнению с 2023 годом.
Особое внимание защите данных финансовых организаций уделяет Банк России. Разрабатываемые регулятором документы (включая Положение 716-П) и правила позволяют банкам выявлять слабые места и оперативно устранять их. Юлия Шорошева, консультант по информационной безопасности RTM Group, в данном материале рассмотрит подход к оценке эффективности управления рисками ИС и поговорит о рекомендациях по выполнению требований регулятора.
Эффективность управления рисками: соответствие, реакция и контроль
Чтобы понять, насколько хорошо работает система управления рисками в ИС, нужно учесть степень соответствия политики информационных систем, определенной во внутренних документах Банка, требованиям регулятора. Оценка включает не только формальное наличие политики, но и ее реальное применение на практике, а также ее актуальность и соответствие текущим условиям деятельности банка.
Другой важный момент — это то, как организация справляется с непредвиденными ситуациями, включая сбои в работе систем. Представьте, что сломался банкомат. Если у банка разработаны меры для быстрого восстановления системы или ее замены, клиенты не будут долго ждать. Как если бы на заводе был запасной генератор, который включается, когда отключают электричество.
Оценка также должна предусматривать анализ эффективности процедур выявления, исследования и мониторинга рисков, связанных с ИС. Необходимо понять, насколько полно учитываются все потенциальные угрозы, включая кибератаки, технические сбои, ошибки персонала и другие факторы, способные негативно повлиять на функционирование информационных систем.
Кроме того, нужно оценить эффективность механизмов контроля и отчетности. Важно убедиться, что информация о возможных проблемах своевременно и в полном объеме доводится до лиц, принимающих решения, и используется для корректировки стратегии управления рисками. К примеру, как команда, которая играет в футбол: игроки должны видеть, что происходит на поле, чтобы вовремя реагировать.
Политика информационных систем: основы безопасности и управления
Политика информационных систем — это своего рода «дорожная карта» для банка, где прописаны цели, задачи и принципы работы с ИС.
В рамках проверки экспертами будет анализироваться информация об установлении требований к структуре информационных систем банка, включая перечень критически важных и вспомогательных ИС, обеспечивающих его процессы. Также специалисты выяснят, отражена ли архитектура взаимодействия обеспечения защиты информации при переводе денежных средств. Т.е. если вернуться к аналогии с футболом, — кто передает мяч, как он перемещается по полю, и кто завершает атаку, чтобы не допускать ошибок, которые могут привести к перехвату мяча (в нашем случае — потере данных или утечке информации). Так, сотрудники Отдела информационной безопасности и Отдела информационных технологий берут на себя ответственность за несколько ключевых задач. Они следят за составом защищаемых данных, проверяют проектную документацию и проводят тестирование инфраструктуры, включая функциональное тестирование и испытания механизмов защиты.
В управлении рисками информационных систем банк должен действовать как футбольный тренер, который разрабатывает стратегию «игры», чтобы избежать ошибок и обеспечить результативность. Прежде всего, необходимо прописать правила «защиты ворот» — то есть установить порядок хранения исходного кода. Также нужно постоянно заботиться о защите флангов — разрабатывать информацию о контроле физического доступа и защите данных в платежной системе Банка России. Организация логического доступа и проверка паролей также не будут лишними. Во внутренних документах следует указывать режимы функционирования ИС, включая доступность и время простоя. Ну и устанавливать и документировать целевые показатели операционной надежности.
Привлекая сторонних подрядчиков для обслуживания ИС, банку необходимо обеспечить сохранность передаваемых данных и минимизировать зависимость от них, чтобы не допустить «провала в обороне» из-за проблем в IT-инфраструктуре. В договорах на аутсорсинг следует прописать ключевые элементы «игры»: контроль доступа к информационным ресурсам, отслеживание финансовых операций и назначение ответственности за возможный ущерб. Кроме того, нужно определить капитана команды — сотрудника, который будет нести персональную ответственность за сохранность данных в ИС, переданных на аутсорсинг. Обычно эта роль возлагается на тимлида отдела информационных систем.
Качество данных и готовность к форс-мажорам
Для поддержания качественных данных в политике ИС или в методике обеспечения качества необходимо указывать требования к характеристикам информации, распределять ответственность за их соблюдение и устанавливать периодичность оценки.
Самооценка качества данных должна позволить банку понять, насколько он соответствует требованиям «регламента игры» — Положению 716-П. Это похоже на регулярный анализ игровых показателей команды, чтобы улучшить стратегию и устранить слабые места. Низкое качество данных может также привести к модельному риску из-за некорректного формирования расчетных значений.
Банк также должен быть готов к «экстренным заменам» в случае форс-мажоров. Необходимо установить и соблюдать требования по обеспечению непрерывности и качества функционирования информационных систем. В случае крупных нестандартных ситуаций важно быстро заменять или ремонтировать оборудование и восстанавливать данные из резервных копий. Минимальный уровень «игры» банка в таких условиях должен включать выполнение основных функций: обработку платежных документов, сохранение базы данных и обеспечение безопасности персонала.
Резервное копирование данных — это как ежедневная тренировка команды перед важным матчем. Регулярно (не реже одного раза в день) данные критически важных процессов должны передаваться в резервные технические средства, которые находятся в «другом городе» (здании), чтобы исключить зависимость от текущего «стадиона», где проходит основная «игра».
Шкала эффективности: как измерить результат?
По итогам проверки каждого блока проводится оценка его соответствия требованиям Положения 716-П. Она выставляется по простой четырехбалльной шкале, где каждый балл отражает уровень соответствия. (Таблица-1)
Таблица-1 Качественная оценка соответствия блока проверки требованиям Положения 716-П
| Качественная оценка | Балльная оценка | Соответствие требованиям | Неформальное соответствие |
| Хорошо | 1 | полностью соответствует | Команда играет слаженно, все игроки выполняют свои задачи на поле, забивают голы и надежно защищаются. |
| удовлетворительно | 2 | в целом соответствует с отдельными несущественными нарушениями | Команда играет неплохо, но допускает небольшие промахи, общий результат приемлем, но есть, над чем работать. |
| Сомнительно | 3 | соответствует не полностью, так как выявлены существенные отклонения и нарушения, требующие серьезной переработки (реинжиниринга) выполнения процедуры, например, вовлечения в нее всех участвующих подразделений | Команда играет с большими проблемами, требуется серьезная работа, включая вовлечение всех игроков и тренера для улучшения результата. |
| неудовлетворительно | 4 | не соответствует | Команда проваливает игру, нужно кардинально менять подход и пересматривать все аспекты подготовки. |
Для удобства и точности используется средневзвешенный подход: определяется итоговый балл для всей системы управления операционным риском. При этом учитываются весовые коэффициенты, показывающие значимость каждого блока проверки.
После расчета проводится общее округление оценки в сторону большего значения, чтобы получить итоговый результат. Например, в одном из проведенных анализов средневзвешенная оценка эффективности управления рисками ИС составила 2,00 (до округления 1,86), что соответствует «удовлетворительно» (Таблица -2).
Таблица 2 -Оценка эффективности функционирования системы УОР ИС
| Показатели | Качественная оценка | Балльная оценка | Весовой коэффициент | Оценка |
| обеспечение функционирования системы управления риском ИС | хорошо | 1 | 0,143 | 0,14 |
| соблюдение требований к ИС, определенных во внутренних документах Банка, в соответствии с подпунктами 8.7.1-8.7.8 пункта 8.7 716-П | удовлетворительно | 2 | 0,143 | 0,29 |
| проведение не реже одного раза в год анализа необходимости пересмотра требований к ИС в соответствии с требованиями подпункта 8.7.8 пункта 8.7 716-П | сомнительно | 3 | 0,143 | 0,43 |
| соблюдение требований по обеспечению непрерывности и качества функционирования ИС, определенных во внутренних документах кредитной организации, в соответствии с подпунктами 8.8.1-8.8.13 пункта 8.8 716-П | удовлетворительно | 2 | 0,143 | 0,29 |
| обеспечение проведения мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском ИС и снижение уровня риска ИС и сопряженных с ним рисков информационной безопасности, в соответствии с пунктом 6.7 716-П | хорошо | 1 | 0,143 | 0,14 |
| соблюдение требований к ИС в соответствии с пунктом 8.7 716-П | удовлетворительно | 2 | 0,143 | 0,29 |
| назначено ли в кредитной организации должностное лицо, ответственное за ИС, должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в ИС, и должностное лицо, ответственное за обеспечение непрерывности функционирования ИС (согласно разъяснениям, размещенным на официальном сайте Банка России, для кредитных организаций в зависимости от характера и масштабов деятельности возможно совмещение этих функций). | удовлетворительно | 2 | 0,143 | 0,29 |
| Средневзвешенная оценка | Удовлетворительно | 1,86 |
На основании этих результатов формулируются выводы и рекомендации для органов управления банка и ответственных сотрудников, чтобы улучшить работу системы управления рисками. Они могут быть представлены в форме чек-листа, вот такого (см.ниже).
Рекомендации
- Первым делом необходимо разработать четкий план, который поможет минимизировать риски, связанные с работой информационных систем. В нём важно указать, как именно будут оцениваться и контролироваться такого рода проблемы.
- Во внутренних документах подробно описать, какие подразделения и сотрудники банка, а также внешние подрядчики или партнеры, участвуют в работе информационных систем или используют их.
- Устанавливать контрольные показатели и допустимые значения для оценки качества данных.
- Выпустить приказ о назначении ответственного лица за обеспечение качества данных в ИС.
- Разработать стратегию, которая обеспечит непрерывность работы и восстановление ИС в случае сбоев
- Разработать процедуры для контроля работы подразделения, включая порядок их обновления, и установить целевые показатели эффективности, которые также утверждаются правлением банка.
