Изменения в структуре банковского риска, связанные с внедрением информационных технологий. Международная практика обеспечения информационной безопасности. Процедуры проверки системы управления рисками кредитной организации, показатели ее эффективности.
Аннотация к работе
Вместе с тем, использование информационных технологий связано с изменениями в структуре основных банковских рисков и выделением специфических рисков, что ставит перед кредитными организациями задачу построения системы управления рисками в области информационных технологий. Очевидно, что вопросы внедрения, использования и развития информационных технологий, а также подходы к управлению рисками в этой области должны определяться самими кредитными организациями с учетом требований действующего законодательства Российской Федерации и нормативных актов Банка России. Эффективная система управления рисками в области информационных технологий призвана обеспечить информационную безопасность - состояние защищенности интересов и целей кредитной организации в информационной сфере. В этой связи, важным и необходимым шагом в направлении обеспечения информационной безопасности отечественной банковской системы явилось введение в действие в 2004 году Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. На сегодняшний день задачу оценки эффективности системы управления рисками кредитной организации в области информационных технологий можно решить, наряду с использованием положений Стандарта Банка России, с помощью сложившейся практики обеспечения информационной безопасности, которая обсуждается в отечественных средствах массовой информации.Бурное развитие электронных технологий, происходящее с середины прошлого века, их интенсивное внедрение в финансовый сектор экономики приводит к расширению состава банковских услуг и видов банковского обслуживания клиентов кредитных организаций, возможностей сбора, накопления, обработки и хранения различной внутренней и внешней информации, используемой банками в своей деятельности. Наиболее яркими примерами внедрения информационных технологий в банковской сфере, в частности, являются появление и непрерывное совершенствование систем электронных расчетов, внедрение технологий дистанционного обслуживания клиентов, развитие внутрибанковских информационных коммуникаций, позволяющие существенно увеличивать объемы и скорость проводимых банками платежей, расширять временные и географические границы обслуживания клиентов, наращивать объемы получаемой из различных источников информации, создавать системы качественного управленческого учета, обеспечивать оперативный расчет различных финансово-экономических показателей в целях проведения анализа, оценки и прогнозирования рисков банковской деятельности и принятии на этой основе эффективных управленческих решений. Поскольку новых видов риска не возникает, нет необходимости и во введении в управление рисками каких-либо дополнительных элементов помимо тех трех, что уже имеются в распоряжении банков (управление рисками включает в себя оценку, контроль и мониторинг рисков). Банк, взявший на вооружение формирующую стратегию и играющий роль ИТ-лидера, получает наибольшие прибыли в случае верного выбора (поскольку снимает сливки в быстрорастущем сегменте финансового рынка), но терпит и максимальные убытки, если его крупные стратегические инвестиции в ту или иную технологию не оправдают себя. Избрав адаптивную стратегию, то есть взяв на себя роль ведомого, банк уменьшает свой стратегический риск с точки зрения капитальных расходов, но увеличивает его с точки зрения доходов: в результате наступления агрессивного лидера доля ведомого на рынке может сильно снизиться, а отсрочка в применении передовых технологий не позволит получить сколько-нибудь значительную выгоду от роста рынка, который уже будет близок к насыщению.Информация, а также информационные технологии, которые поддерживают деятельность кредитной организации, обеспечивая сбор, хранение, обработку, передачу и использование данных с применением средств вычислительной техники, являются специфической средой, генерирующей изменения в структуре основных банковских рисков. К средствам нейтрализации данных видов угроз относятся наличие в банке планов по развитию информационных технологий, соответствующий статус руководителей службы автоматизации (Chief Information Officer, CIO) и службы информационной безопасности (Chief Information Security Officer, CISO) с делегированием достаточных прав и наделением необходимых обязанностей в рамках организационно-штатной структуры банка, регулярные совещания по вопросам обеспечения информационной безопасности с участием руководства, наличие разработанных правил и процедур, периодическое обучение пользователей/сотрудников банка, надлежащее ведение документации и др. К механизмам противодействия этим угрозам можно отнести периодическое проведение анализа текущей архитектуры АБС (программно-аппаратного комплекса, его физических и логических компонентов) на предмет соответствия стратегии банка и перспективным тенденциям развития ИТ, стратегические и тактические планы модернизации АБС, технико-экономическое обоснование политики закупок аппаратных и программных средств, включая средства защиты информации (СЗИ), налич
План
Оглавление
Обозначения и сокращения
Введение
Глава 1. Система управления банковскими рисками, связанными с информационными технологиями, и современные требования к ее эффективности
1.1 Изменения в структуре банковского риска, связанные с внедрением и развитием информационных технологий
1.2 Система управления рисками банка в области информационных технологий
1.3 Современные международные требования к управлению информационными рисками
Глава 2. Международные технологии анализа и стандарты управления информационными рисками
2.1 Международная практика обеспечения информационной безопасности
2.2 Управление рисками и международные стандарты
2.3 Технологии анализа информационных рисков
Глава 3. Управление информационными рисками в кредитных организациях: нормативные требования и опыт проверок на современном этапе
3.1 Особенности отечественного законодательства и нормативной базы
3.2 Деятельность Банка России в области управления информационными рисками кредитных организаций
3.3 Практика анализа информационных технологий в ходе проверок кредитных организаций
Глава 4. Оценка эффективности системы управления рисками в области информационных технологий в ходе проверки кредитной организации
Заключение
Список использованной литературы
Приложение
Введение
В настоящее время широкое использование передовых информационных технологий является отличительной чертой финансово-кредитной системы всего мира, в том числе и нашей страны. Применение информационных технологий, с одной стороны, расширяет возможности информационного обслуживания деятельности банков, а с другой стороны, приводит к появлению новых банковских услуг и видов банковского обслуживания клиентов кредитных организаций.
Вместе с тем, использование информационных технологий связано с изменениями в структуре основных банковских рисков и выделением специфических рисков, что ставит перед кредитными организациями задачу построения системы управления рисками в области информационных технологий. Очевидно, что вопросы внедрения, использования и развития информационных технологий, а также подходы к управлению рисками в этой области должны определяться самими кредитными организациями с учетом требований действующего законодательства Российской Федерации и нормативных актов Банка России. Эффективная система управления рисками в области информационных технологий призвана обеспечить информационную безопасность - состояние защищенности интересов и целей кредитной организации в информационной сфере.
При этом, задачей органов банковского надзора является, на взгляд автора, оценка эффективности системы управления рисками кредитных организаций в области информационных технологий. Представляется, что такая оценка может быть осуществлена в ходе проверки, а ее результат следует учитывать при формировании оценки всей системы управления рисками кредитной организации.
Поставленная задача осложняется тем, что существующая на сегодняшний день в нашей стране нормативно-правовая база в области обеспечения информационной безопасности в основном охватывает только технические стороны вопроса защиты информации. В значительно меньшей степени затрагиваются меры организационного обеспечения информационной безопасности - стратегия и тактика применения защитных мер, концепция и политика безопасности, планы защиты информационных ресурсов организаций в штатных и нештатных условиях функционирования. В этой связи, важным и необходимым шагом в направлении обеспечения информационной безопасности отечественной банковской системы явилось введение в действие в 2004 году Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Однако, в настоящее время в ряде кредитных организаций осуществляется лишь опытное внедрение данного стандарта, в рамках которого определяются пути практического применения его положений.
На сегодняшний день задачу оценки эффективности системы управления рисками кредитной организации в области информационных технологий можно решить, наряду с использованием положений Стандарта Банка России, с помощью сложившейся практики обеспечения информационной безопасности, которая обсуждается в отечественных средствах массовой информации. Подобная практика использует, главным образом, международный опыт - разработанные в экономически развитых странах стандарты обеспечения информационной безопасности, представляющие признанные подходы к вопросам управления рисками в области информационных технологий, которые позволяют осуществить надлежащее построение и функционирование в организации системы менеджмента информационной безопасности.
В настоящее время, как показывает практика инспекционной деятельности, в ряде территориальных учреждений Банка России в ходе проведения проверок кредитных организаций предпринимаются попытки анализа банковских информационных технологий и управления возникающими в связи с их использованием рисками. При этом, отсутствие единых подходов к оценке управления рисками кредитных организаций в области информационных технологий негативно сказывается на качестве надзорной информации, отражаемой в актах проверок, поскольку круг проверяемых вопросов и содержательная сторона их описания значительно различаются в том или ином территориальном учреждении Банка России, что в конечном итоге не позволяет составить целостную картину состояния обеспечения информационной безопасности отечественных кредитных организаций.
Указанные обстоятельства определяют актуальность настоящего исследования, целью которого является разработка подхода к оценке системы управления рисками кредитной организации в области информационных технологий в виде практических рекомендаций для использования в ходе проведения проверки.
Поставленной автором цели предполагается достигнуть в представленной работе с помощью решения ряда задач, к которым относятся, во-первых, анализ отечественной нормативной базы, а также использование международного опыта, систематизированного в зарубежных стандартах, определяющих принципы организации обеспечения информационной безопасности, и во-вторых, обобщение результатов инспекционной деятельности ряда территориальных учреждений Банка России, посвященной вопросам оценки управления рисками кредитных организаций в области информационных технологий.