В процессе выбора, какому банку доверить свои финансы и операции над ними, человек оценивает различные варианты финансовых организаций по нескольким основным критериям: надежность, скорость обслуживания, удобство предоставляемых сервисов, выгодность условий предлагаемых продуктов и т.д. При этом считается, что надежность банка, подразумевающая снижение рисков, как финансовых, так и риска утечки персональных данных, является одним из основных критериев при выборе финансового партнера для большинства потенциальных клиентов[1][3].

Как было сказано ранее, банковское законодательство, а именно Федеральный Закон «О банках и банковской деятельности» [49], обязывает все кредитные организации Российской Федерации защищать сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделках в интересах клиента, а также сведения клиентов, разглашение которых может нарушить право последних на неприкосновенность частной жизни[1].

Из вышесказанного следует, что банкам необходимо поддерживать систему информационной безопасности на должном уровне, достаточном для того, чтобы не только гарантировать сохранение банковской тайны, но и оставаться привлекательными для потенциальных клиентов за счет повышенной заботы о предотвращении разглашения персональных данных своих вкладчиков и заемщиков так же, как и о надежности их финансовых вложений.

Крайне важным документом, дающим рекомендации по построению СМИБ на предприятиях банковского сектора Российской Федерации, является стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»[45]. Первая версия стандарта была опубликована на сайте Центрального Банка в 2010 году.

В нем отмечается, что основными целями стандартизации по обеспечению ИБ организаций банковской системы РФ являются развитие и укрепление БС РФ, повышение к ней доверия, поддержание стабильности кредитных организаций, достижение адекватности мер защиты реальным угрозам ИБ, а также предотвращение и (или) снижение ущерба от инцидентов ИБ. Для достижения поставленных целей необходимо установление единых требований и повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций банковской сферы РФ[2].

Данный стандарт определяет требования к выбору/коррекции подхода к оценке рисков нарушения ИБ, проведению оценки рисков нарушения ИБ и к разработке планов обработки рисков нарушения ИБ. В частности, устанавливается необходимость принятия на предприятии методики оценки рисков нарушения ИБ, определения критериев принятия рисков нарушения ИБ и уровня допустимого риска нарушения ИБ, а также перечисляются некоторые общие и при этом обязательные характеристики используемой методики[3].

Из теории о рисках информационной безопасности нам известно, что существует четыре варианта их обработки:

перенос риска на сторонние организации (например, страхование риска);

уход от риска (например, в результате отказа от деятельности, выполнение которой приводит к появлению риска);

осознанное принятие риска;

формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирование планов по их реализации.

Вышеупомянутый стандарт законодательно закрепляет данные меры, а также определяет некоторые дополнительные условия разработки планов обработки рисков ИБ.

В 2009 году Центральным Банком Российской Федерации была разработана методика оценки рисков нарушения информационной безопасности для организаций банковской системы РФ[4]. Данный документ учитывает особенности структуры и деятельности кредитных организаций и является хорошим вариантом методики анализа и оценки рисков ИБ для кредитных организаций, однако носит лишь рекомендательный характер. Он включает в себя не только конкретный алгоритм качественной и количественной оценки, но и описание общего подхода к анализу рисков нарушения информационной безопасности банка. Кроме того, в приложениях можно найти рекомендуемый перечень классов, основных источников угроз ИБ и их описание, а также примерные формы документов, используемых в процессе анализа и оценки рисков ИБ.

Принятие рисков - основа банковского дела. Банки имеют успех тогда, когда принимаемые ими риски разумны, контролируемы и находятся в пределах их финансовых возможностей и компетенции.

Банки стремятся получить наибольшую прибыль. Но это стремление ограничивается возможностью понести убытки. Риск банковской деятельности и означает вероятность того, что фактическая прибыль банка окажется меньше запланированной, ожидаемой. Чем выше ожидаемая прибыль, тем выше риск. Связь между доходностью операций банка и его риском в очень упрощенном варианте может быть выражена прямолинейной зависимостью.

Существуют общие причины возникновения банковских рисков и тенденции изменения их уровня. Вместе с тем, анализируя банковские риски, важно учитывать:

кризисное состояние экономики переходного периода, которое выражается не только падением производства, финансовой неустойчивостью многих организаций, но и уничтожением ряда хозяйственных связей;

неустойчивость политического положения;

отсутствие или несовершенство некоторых основных законодательных актов, несоответствие между правовой базой и реально существующей ситуацией;

инфляцию, и др.

Под классификацией понимают систему соподчиненных понятий какой-либо области знания или деятельности человека, используемую как средство дли установления связей между этими понятиями. Таким образом, классификация рисков означает систематизацию множества рисков на основании каких-либо признаков и критериев, позволяющих объединить подмножества рисков в общие понятия. Научно обоснованная классификация риска содействует четкому определению места каждого риска в общей системе и создаст потенциальные возможности для эффективного применения соответствующих методов, приемов управления рисками.

Для определения банковских рисков представляется целесообразным построить такую логическую цепочку, которая покажет, где находятся финансовые риски, что это такое и как общеэкономические риски в частности могут быть трансформированы в финансовые риски банков. Для этого и для уточнения классификации рисков мы разработали ряд собственных критериев, которым должна удовлетворять система рисков:

Соответствие цели конкретной организации. Как и любая коммерческая структура банки ставят своей целью получение прибыли, в то же время к целям банковских организаций добавляется цель обеспечения сохранности денежных средств и ценностей, размещенных на текущих счетах клиентов, полученных в управление или на хранение.

Отношение к регулированию, т.е. деление на внешние и внутренние. Внешние риски могут быть только учтены в деятельности, а на внутренние может быть оказано воздействие путем их изучения и минимизации, а в некоторых случаях возможна и их ликвидация.

Соответствие условиям банковской операции (срок, обеспечение, валюта платежа, соотношение кредитования крупных и мелких заемщиков, акционеров и инсайдеров).

Приемлемость системы рисков для осуществления последующего управления и контроля.

По принадлежности к активным и пассивным операциям и к определенному структурному подразделению. Так, в банках риски возникают в трех крупных подразделениях: Кредитное, Казначейство и Операционное. В кредитном подразделении в основном сталкиваются с кредитными рисками. Казначейство при проведении активных операций принимает на себя, валютный риск, риск процентной ставки, портфельный, риск ликвидности, кредитный и другие. Операционное управление в основном связано с операционными рисками и рисками трансферта.

Большинство специалистов банковской сферы признают важность наличия в кредитной организации систем информационной безопасности, поскольку риски ИБ могут существенно затруднить деятельность банка. В то же время остается дискуссионным вопрос о конкретном облике систем, его составе и программном обеспечении, поскольку стоимость систем информационной безопасности может достигать до 20% стоимости всей информационной банковской системы (СИБ). Таким образом, создание систем информационной безопасности требует значительных финансовых вложений, необходимость которых должна быть соответствующим образом обоснована.

В настоящее время подобный инструментарий аргументирования у специалистов ИБ российских банков практически отсутствует. Формирование бюджетов подразделений ИБ и построение СИБ осуществляется, в большинстве случаев, без глубокой научной проработки. Как правило, определяющими являются финансовые возможности банка, авторитет руководителей службы безопасности, положительный опыт использования тех или иных СИБ, а также промоутерские усилия компаний, продвигающих СИБ на рынке. Несмотря на широкое освещение проблемы ИБ в научной литературе вопрос количественной оценки влияния мер ИБ на эффективность деятельности банков не нашел освещения.

Перед практическим созданием банковской СИБ необходимо оценить эффективность ее будущей деятельности по критерию «эффективность – стоимость», поскольку архитектура, техническое оснащение, программное обеспечение, а также стоимость систем информационной безопасности регионального банка и банка федерального значение, будут существенным образом отличаться. В этой связи важным является создание методики оценки эффективности СИБ [27]. В совокупности, эти этапы составляют алгоритм, в котором на каждом этапе необходимо производить оценку рисков ИБ. По оценке специалистов, затраты на создание подсистем оценки рисков составляют наиболее значительную часть в структуре расходов на создание всей СИБ [35].

[1] Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности»

[2] Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Общие положения» СТО БР ИББС-1.0-2014, с. 5

[3] Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Общие положения» СТО БР ИББС-1.0-2014, с. 33-34

[4] Рекомендации Банка России в области стандартизации «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»: «Методика оценки рисков нарушения информационной безопасности» РС БР ИББС-2.2-2009 [от 01-01-2010] // Сайт Банка России www.cbr.ru.