"Управление в кредитной организации", 2006, N 4

ТРИ СОСТАВНЫЕ ЧАСТИ И ТРИ ИСТОЧНИКА

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ. ЧАСТЬ 3 <1>

(Окончание. Начало см. "Управление в кредитной организации", 2006, N N 1, 3)

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

Рассмотрев в первых частях статьи <2> первый корпоративный стандарт Банка России (во второй редакции) "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2006 <3> (далее - Стандарт), автор переходит к анализу содержания типичных банковских рисков, которые могут иметь в своей основе источники технологического характера.

     
   ————————————————————————————————
   

<2> См.: 2006, N 1, с. 107 - 116; 2006, N 3, с. 113 - 126.

<3> Вестник Банка России, 2006, N 6(876).

Информационная безопасность и банковские риски

Прежде всего необходимо привести и рассмотреть конкретные определения, связанные с понятием банковского риска, - как они были заложены в двух редакциях Стандарта и как они трактуются Банком России.

Но к этому вопросу лучше подойти немного издалека, начав с понятия информационной безопасности (ИБ) и попытавшись установить, какие связи предполагаются между указанными понятиями. Такой подход позволит сразу выявить некоторые проблемы с терминологией и предложить некоторые варианты их решения.

В п. 3.6 разд. 3 действующей редакции данного документа об ИБ сказано следующее: "информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации <...> в условиях угроз в информационной сфере". То есть ИБ определяется через понятие "защищенность". В примечании же к этому пункту сказано, что "защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации". К сожалению, определения понятия "защищенность" в разд. 3 Стандарта нет, как и пояснения, о какой инфраструктуре идет речь.

Кроме того, в этом же разделе приведено следующее определение: "риск: неопределенность, предполагающая возможность потерь (ущерба)" (п. 3.12). Поскольку документ посвящен ИБ в банковском секторе, вероятно, в определении риска было бы уместно установить связь этого понятия именно с банковской деятельностью, но на данном этапе рассмотрения это еще не столь важно. Несколько ранее, в п. 3.8, при определении системы менеджмента информационной безопасности использовался семантически близкий термин, а именно: данная система определена как "часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы". Это единственный пункт Стандарта, в котором использован термин "бизнес-риск".

Ранее, в предшествующей редакции <1>, когда в состав Стандарта входило Приложение А "Терминосистемы, используемые в стандарте (справочное)", в нем были приведены два других определения рисков (это замечание мы делаем не для того, чтобы "помянуть старое", а в плане анализа эволюции содержательной стороны документа), а именно:

1) в пп. 1.9 риск определялся как сочетание вероятности нанесения ущерба и тяжести этого ущерба (при этом была дана ссылка на источник - "ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты", п. 3.2);

2) в пп. 1.10 давалось определение допустимого риска как риска, который в данной ситуации <2> считается приемлемым для руководства (по-видимому, кредитной организации).

     
   ————————————————————————————————
   

<1> Текст первой версии Стандарта Банка России - СТО БР ИББС-1.0-2004 см.: Вестник Банка России, 2004, N 68(792).

<2> Без уточнения того, о какой ситуации идет речь и где она складывается.

С таким документом, как ГОСТ, спорить, конечно, невозможно - что принято, то принято. Однако, по мнению автора, ограничиваться таким, весьма общим, подходом в Стандарте, непосредственно относящимся к кредитным организациям, вряд ли целесообразно. Более того, в данном случае этот подход нежелательно считать и оптимальным, поскольку появляется возможность такой трактовки понятия информационной безопасности, при которой она становится самоцелью. В то же время нельзя не сделать акцент на том, что речь идет об организациях банковской системы Российской Федерации, то есть об учреждениях, осуществляющих именно банковскую деятельность, а поэтому уместно было бы приведенные общие определения акцентировать с учетом специфики этой деятельности, то есть использовать в первую очередь определения банковских рисков. Проще всего это можно было бы сделать, обратившись, например, к Указанию оперативного характера Банка России от 23.06.2004 N 70-Т "О типичных банковских рисках" (далее - Указание N 70-Т) и затем более детально рассмотреть формулировки перечисленных в первой части настоящей статьи пяти банковских рисков, реально имеющих компоненты, связанные с недостатками в обеспечении информационной безопасности кредитных организаций, в приложении к тем или иным положениям Стандарта.

Специально подчеркнем, что речь не идет о необходимости прямой ссылки на этот или какой-либо другой документ Банка России, - известно, что по мере совершенствования банковского надзора и изменения ситуации в банковском секторе страны документы такого рода могут изменяться, выходить в новых редакциях с другими реквизитами и т.п. Однако смысловое содержание базовых понятий, таких, как "риск", целесообразно увязывать с пониманием этой проблематики органами банковского регулирования и надзора, в том числе зарубежными, материалы которых широко используются в интересах упомянутого совершенствования (кстати, на них также можно было бы сослаться в разд. 2 Стандарта наравне с международными и зарубежными национальными стандартами). В противном случае страдает смысловая сторона большинства определений, приводимых в Стандарте, прежде всего упомянутых выше понятий "бизнес-риск", "данная ситуация" и того, что именно и когда считать "приемлемым". Кстати, поскольку Банк России учитывает в своей работе, включая процесс риск-фокусированного надзора, рекомендации Базельского комитета по банковскому надзору (БКБН), то тем самым может быть обозначена и связь с определениями, предлагаемыми этой организацией. Наконец, учитывая особенности развития области технологий электронного банкинга, в "предельной" своей форме достигших виртуальности интернет-банкинга, автор счел уместным для полноты картины привести далее некоторые выдержки также из материалов органов банковского регулирования и надзора США.

Безусловно, при использовании технологий электронного банкинга (о начале внедрения которых, строго говоря, свидетельствовали первые же компьютеры, появившиеся в кредитных организациях) отношения между владельцами финансовых средств и теми, кто этими средствами управляет (банками), принципиально не меняются. Меняются характер и условия взаимодействия, посредством которого реализуются эти отношения, поскольку банковское дело превратилось в настоящее время во многом в информационную дисциплину. Вследствие этого ответ на вопрос "кому и насколько доступны те или иные финансово-информационные ресурсы?" стал далеко не очевиден.

В 30-е гг. XX века в США был пойман один особенно удачливый грабитель банков, и на суде ему был задан вопрос: почему он решил грабить именно банки? Ответ был прост: "Потому что это - то самое место, где хранят деньги!". Данная несложная мысль лежит в основе почти всех проблем, с которыми сталкиваются практически полностью компьютеризованные банки и в наше время <1>. Деньги по-прежнему хранятся в банках, правда, теперь далеко не все они находятся в сейфах - огромное количество денег хранится в виде двоичных кодов на магнитных носителях информации в компьютерных системах. Более того, эти деньги пересылаются в составе сообщений в электронной форме, которыми обмениваются между собой банки или банки и их клиенты, или клиенты разных банков, но посредством компьютерных систем как минимум самих банков, и такие деньги используются точно так же, как деньги наличные, то есть деньги в форме казначейских билетов. Поэтому ИБ кредитным организациям необходима не просто для того, чтобы препятствовать реализации угроз "информационным активам", которые в Стандарте почему-то приравнены к "угрозам информационной безопасности".

     
   ————————————————————————————————
   

<1> "Почти что", потому что теми, кто занимается компьютерными взломами, не всегда руководят именно "материальные" интересы.

Важно еще подчеркнуть и то, что в электронной форме в оперативных запоминающих устройствах компьютеров или в магнитной форме на их жестких дисках хранятся не только собственно "электронные деньги", но и записи об операциях, которые проводились с ними их хозяевами. Или не только хозяевами. Или не только с ними. Там же хранятся и сведения о том, кому именно и какие конкретно деньги принадлежат (принадлежали), кто и куда их отправлял и на каком основании и т.д. А эта информация в современном мире бывает подчас поважнее данных о самих суммах на счетах. Понятно, о чем идет речь - о том, чьи именно интересы сталкиваются в банковском киберпространстве в каждом отдельном случае, и о том, кто должен (или, иначе, кому следовало бы) задуматься о, так сказать, "связанной информационной безопасности".

Предложенный выше комплексный анализ на основе риск-ориентированного подхода представляется не только уместным, но и перспективным, поскольку он позволяет, во-первых, конкретизировать те или иные меры и мероприятия, описанные в рассматривавшемся Стандарте, и, во-вторых, предложить конкретные дополнения к его содержанию (возможно, впрочем, реализуемые в форме других руководящих документов), желательные для акцентирования общего подхода на специфике современной банковской деятельности кредитных организаций. Необходимо вместе с тем отметить, что в данном случае предлагается по существу дискуссионный материал, впрочем, полностью основанный на опыте работы автора в подразделениях "надзорного блока" Банка России.

Банковские риски, имеющие компоненты

информационно-технологического характера

Кредитный риск

Итак, начать этот анализ целесообразно с сопоставления приведенных выше определений риска с теми, которые содержатся в упомянутом выше Указании оперативного характера. Прежде всего нужно отметить, что в наиболее общем смысле (в смысле базового определения) под банковским риском (а не неким бизнес-риском) "понимается присущая банковской деятельности возможность (вероятность) понесения кредитной организацией потерь и(или) ухудшения ликвидности вследствие наступления неблагоприятных событий, связанных с внутренними факторами (сложность организационной структуры, уровень квалификации служащих, организационные изменения, текучесть кадров и т.д.), и(или) внешними факторами (изменение экономических условий деятельности кредитной организации, применяемые технологии и т.д.)". В упомянутом выше документе к типичным банковским рискам отнесены следующие риски (в порядке перечисления): кредитный, страновой, фондовый, валютный, процентный, ликвидности, операционный, правовой, потери деловой репутации (далее - репутационный) и стратегический.

Безусловно, не все эти банковские риски могут характеризоваться наличием компонентов, связанных с особенностями используемых банковских информационных технологий и сопутствующими им проблемами, которые могут быть вызваны какими-либо недостатками в обеспечении ИБ. Тем не менее изобретение, внедрение и все более расширяющееся применение новых технологий такого рода, к которым относятся все виды электронного банкинга, к сожалению, не всегда полностью проверенных с точки зрения гарантий обеспечения ИБ, приводят к тому, что состав рисков, имеющих компоненты информационно-технологического характера, расширяется, а следовательно, уместно провести детальный анализ каждого из определений рисков с учетом положений Стандарта (об этом пойдет речь ниже).

Начав с процесса кредитования, можно отметить, что ранее, как правило, кредитный риск никогда не связывался с понятием информационной безопасности. И это было естественно: предполагалось, что клиент должен лично появиться в банке, предоставить все необходимые для заключения кредитного договора документы, при необходимости предъявить залог и т.п., а в конце концов получить деньги и вернуть их с процентами, - от ИБ здесь речи не шло.

В Указании N 70-Т о кредитном риске сказано: "Кредитный риск - риск возникновения у кредитной организации убытков вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед кредитной организацией в соответствии с условиями договора".

В тексте же Стандарта понятие кредитного риска тоже встречается (один раз - во введении): "Для противостояния <...> угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов информационной безопасности (их влияния на операционные, кредитные и иные риски) в организациях БС <1> РФ следует обеспечить достаточный уровень информационной безопасности". Причинно-следственная связь между кредитным риском (рисками?) и ИБ не поясняется ни в этом, ни в других разделах Стандарта, поэтому остается не совсем ясно, что имелось в виду, когда такая связь объявлялась. Тем не менее если интерпретировать понятие ИБ более широко, то связи такого рода можно было бы установить, но в данном случае - с содержанием самого процесса кредитования <2>.

     
   ————————————————————————————————
   

<1> БС - банковская система.

<2> Напомним, что в первой части настоящей статьи рассматривались два семантических значения понятия безопасности: (1) "нахождение вне опасности, отсутствие подверженности опасности" (традиционно используемое) и (2) "отсутствие угрозы опасностью, безопасность для зависимой стороны". Там же приводилась трактовка информационных аспектов безопасности.

В рассматриваемом случае (на примере кредитного риска) речь могла бы идти о значимости различных видов банковской или клиентской информации, то есть о ее ранжировании с целью уточнения требуемых методов и средств ее защиты. Но это, строго говоря, меняет интерпретацию ИБ. С позиций обеспечения ИБ к кредитованию как таковому имеет отношение то, что в Стандарте названо "инцидентами информационной безопасности", то есть несанкционированное воздействие на банковские автоматизированные системы, в которых хранится информация по кредитованию. Можно предположить, что во многих случаях утечка такой информации (ее несанкционированное копирование) может весьма серьезно затронуть интересы клиентов кредитной организации, особенно в условиях криминализованной экономики. То есть это как раз случай "угрозы опасностью", когда из-за недостатков в обеспечении ИБ в кредитной организации могут пострадать ее клиенты.

Однако следствием тогда будет реализация, конечно, не кредитного, а правового и(или) репутационного риска. Более того, в ситуации, когда, например, имеет место передача резервных массивов банковских данных на хранение сторонней организации (провайдеру), то есть использования одной из разновидностей аутсорсинга, с последующим наступлением "инцидента информационной безопасности", анализ возможных последствий значительно усложняется. С другой стороны, уничтожение или искажение информации о кредитовании (в результате проникновения в локальную вычислительную сеть кредитной организации или сговора инициатора мошенничества с кем-то из ее сотрудников, имеющих необходимые права доступа) также может в принципе привести к потерям, о чем подвергшаяся атаке кредитная организация может довольно долго не догадываться.

Мы не будем рассматривать другие примеры, так как ограничены рамками журнальной публикации.

Безусловно то, что кредитной организации целесообразно было бы организовать специализированный внутрибанковский процесс (инициируемый, естественно, ее органами управления) по анализу хранимой в компьютерных системах банковской и клиентской информации, оценке и ранжированию ее значимости, равно как и чувствительности к несанкционированным воздействиям, а также моделированию возможных последствий реализации угроз информационного характера. В качестве результата этого процесса следовало бы рассматривать выработку и документирование в политике информационной безопасности соответствующих мер по предотвращению таких инцидентов ИБ, которые наносят ущерб связанным с кредитной организацией клиентам и контрагентам. Сказанное равным образом справедливо для выполнения расчетных, платежных, валютных, факторинговых и ряда других банковских операций и сделок. В общем случае для реализации указанного процесса целесообразно было бы принять внутрибанковские распорядительные документы, в которых были бы определены как минимум:

- содержание процесса анализа чувствительной к несанкционированному доступу и воздействию банковской и клиентской информации в соответствии с политикой ИБ кредитной организации;

- подразделения кредитной организации, ответственные за выполнение условий банковского обслуживания клиентов (контрагентов) с точки зрения обеспечения ИБ и выполнения сопутствующих ей обязательств;

- при необходимости дальнейшей детализации - конкретные должностные лица в указанных подразделениях с распределением обязанностей, прав, полномочий, подотчетности и подконтрольности;

- методы и средства обеспечения ИБ в соответствии с политикой ИБ кредитной организации вместе с порядком их внедрения, применения, сопровождения, модернизации и указанием необходимых сопутствующих документов;

- порядок доведения решений в части ИБ (в широком смысле, включая все ее трактовки) до персонала кредитной организации и последующего подтверждения выполнения этих решений.

Все это вполне укладывается в содержание любого стандарта, посвященного ИБ в организациях БС, причем в полном соответствии с декларированным в разд. 5 рассматривавшегося выше Стандарта процессным подходом. Сказанное здесь можно с равным правом отнести и к последующему изложению.

Строго говоря, следовало бы использовать ранжирование информации и массивов банковских данных по значимости не только для самой кредитной организации, но и для тех, кто имеет с данной кредитной организацией те или иные финансовые отношения. Кроме того, поскольку обычно считается, что меры защиты и затраты на их реализацию не должны превышать ценности защищаемых информационных активов, то предстоит еще определить, что именно защищать и насколько серьезно. К сожалению, практика свидетельствует о том, что такой подход используется крайне редко, несмотря на то что, к примеру, история компьютерных хищений и мошенничеств в банковской сфере насчитывает уже более 30 лет, а ущерб от компьютерных мошенничеств в мире по разным данным исчисляется почти миллиардом долларов в год. Не исключено, что частично все это происходит и от того, что до настоящего времени не существует четкой теории, "увязывающей" реализацию типичных банковских рисков с конкретными инцидентами ИБ, сценариями последствий этих инцидентов и т.п. Выходит, прав был Экклезиаст, писавший две с лишним тысячи лет: "Нет памяти о прежнем, да и о том, что будет, не останется памяти у тех, которые будут после" <1>. В первую очередь это относится к органам управления кредитной организации.

     
   ————————————————————————————————
   

<1> Книга Экклезиаста, 1:11.

Именно на эти органы изначально ложится основная нагрузка при проведении анализа подлежащих защите информационно-процессинговых ресурсов кредитной организации, в материалах Базельского комитета по банковскому надзору <2> сказано: "Совету директоров и высшему руководству следует проверять и утверждать ключевые составляющие процессов контроля безопасности банка" <3>. То есть совет директоров несет ответственность за обеспечение наличия при осуществлении операций электронного банкинга необходимых внутрибанковских процессов контроля безопасности. Причем содержание этих процессов требует особого внимания со стороны руководства, учитывая дополнительные угрозы безопасности, обусловленные самими технологиями такого рода.

     
   ————————————————————————————————
   

<2> Risk Management Principles for Electronic Banking // BCBS, Basel, May 2003.

<3> Также положение, вполне подходящее по сути для рассматриваемого Стандарта.

Поэтому и в политике ИБ логично было бы постулировать наличие соответствующих положений или описаний причинно-следственного характера. Тем более что в соответствии с Положением Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (с изм. от 30.11.2004) сказано: "Порядок контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации <...> и должен распространяться на все направления ее деятельности". Подчеркнем, что сказанное приобретает дополнительную значимость, если учитывать зависимость продолжения эффективной хозяйственно-экономической деятельности клиентуры кредитной организации от степени защищенности ее информационных ресурсов.

Страновой риск

Что касается проблематики странового риска, то до настоящего времени она изучена недостаточно, хотя ряд российских кредитных организаций и дочерних кредитных организаций зарубежных банков использует один из вариантов технологий электронного банкинга в форме интернет-банкинга для дистанционного банковского обслуживания (ДБО) клиентов, как резидентов, так и нерезидентов. В Указании N 70-Т сказано о страновом риске, что это "риск возникновения у кредитной организации убытков в результате неисполнения иностранными контрагентами <...> обязательств из-за экономических, политических, социальных изменений, а также вследствие того, что валюта денежного обязательства может быть недоступна контрагенту из-за особенностей национального законодательства". Тематика настоящей статьи учитывает этот риск в плане выполнения кредитными организациями принципа "знай своего клиента" и полноты имеющейся у них информации, используемой для принятия "безопасных" решений <1>.

     
   ————————————————————————————————
   

<1> Соответствующие положения автор планирует изложить в четвертой (заключительной) части статьи.

Что касается определений рыночного, фондового, валютного и процентного рисков, которые приведены в Указании N 70-Т, то, по мнению автора, связей с понятием ИБ в них пока не прослеживается. Во всяком случае, по состоянию на текущий момент специфических компонентов этих рисков, обусловленных технологическими и техническими причинами, не выявлено. Поэтому в настоящей статье они не анализируются.

Риск ликвидности и операционный риск

Следует сделать ряд замечаний в отношении риска ликвидности. То второе семантическое содержание понятия безопасности в его информационной части, о котором говорилось выше, за последние годы приобрело новый и совершенно конкретный физический смысл. Вопрос здесь ставится так: насколько доступны электронные ("магнитные") деньги их владельцам или тем "посторонним", которым "вход воспрещен"? О компьютерных преступлениях, начиная с простого хищения (несанкционированного перевода) средств со счетов клиентов, продолжая действиями разного рода программных закладок, "отщипывающих" незначительные доли процентов со счетов клиентов кредитной организации (так называемый метод салями), и завершая все более распространяющимся фишингом <2>, написано уже достаточно, и повторяться нет смысла.

     
   ————————————————————————————————
   

<2> От англ. fishing - использование специально организованных ложных сообщений электронной почты, имитирующих направленные клиентам сообщения от кредитных организаций, предназначенные для выманивания личных идентификационных данных, с последующим доступом к счетам и финансовым средствам невнимательных или излишне доверчивых клиентов, хищением средств или различными мошенническими действиями.

Однако на чем необходимо сделать акцент, так это на ИБ в связи с теми способами, с помощью которых электронные деньги превращаются в наличные. Хотя, подчеркнем, что в данном случае негативную роль играет явление "взаимной зависимости рисков", или, иначе, "преобразования рисков". Первичным риском в рассматриваемых сценариях развития событий является, как правило, операционный риск. В Указании N 70-Т он определяется как "риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и(или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и(или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и(или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий". Наибольший интерес в данном случае представляют несколько последних по счету причин возникновения риска.

Вероятно, читателям приходилось сталкиваться с ситуациями, когда обращение в кредитную организацию в качестве клиента с естественным желанием получить свои деньги наталкивается на хмурое сообщение операционистки: "система зависла" или "нет связи" и т.п. Карточное обслуживание добавляет проблем и в анализ банковских рисков и в анализ внешних финансовых связей. Например, означает ли выход из строя сети банкоматов кредитной организации то, что эта организация оказалась неплатежеспособна? И если нет, то что тогда понимать под платежеспособностью? "Кредитно-финансовый словарь" <1> разъясняет это понятие следующим образом: "Неплатежеспособность - при капитализме - финансовое или валютно-финансовое положение фирмы или государства, при котором они не могут своевременно погашать свои финансовые обязательства". Такое же определение дает "Словарь современных экономических и правовых терминов" <2> (без указания социального строя). К этому можно добавить определение, которое предлагает "Словарь банковских терминов" <3>: "Ликвидность - платежеспособность предприятия, зависящая от того, как быстро его активы могут быть превращены в денежные средства без потерь". Ну, а если они в принципе есть, но вообще не могут превратиться в денежные средства "по техническим причинам, не зависящим ни от кого"?

     
   ————————————————————————————————
   

<1> Изд. "Финансы и кредит", М., 1986.

<2> Изд. "Амалфея", Минск, 2002.

<3> Изд. "Инфра-М", М., 1997 (Dictionary of Banking. - John Wiley and Sons Inc., 1993 / Пер. J.M. Rosenberg).

Между тем клиент кредитной организации приходит к банкомату в большинстве случаев тогда, когда денежные знаки, имеющие хождение, необходимы ему немедленно, чем и подчеркивается понятие зависимости. Кроме того, известно немало случаев, когда клиент, затребовав у банкомата некую сумму, получал вместо нее сообщение о невозможности выполнения операции, а сама эта сумма тем не менее с его счета списывалась, пропадая в "виртуальном небытии". Таким образом, из-за того, что какая-то, явно информационная, система в кредитной организации не функционировала, ее клиенты оказывались в ситуации не только информационной, но и финансовой опасности. В данном случае причиной являлась реализация какого-либо фактора операционного риска (связанного, например, с архитектурой или недостаточной защищенностью локальной или зональной вычислительной сети и т.п.), а следствием для кредитной организации становилась реализация компонентов правового и репутационного рисков.

Следует отметить, что операционный, правовой и репутационный риск часто оказываются связаны между собой. В большинстве случаев это имеет место как раз тогда, когда реализация одного риска явно наносит ущерб интересам клиентов кредитной организации через реализацию компонентов других банковских рисков. Поэтому при организации управления рисками в кредитной организации уместно проводить анализ таких возможных явлений, как "распространение риска" и "взаимовлияние рисков" (на это нередко указывает в своих материалах и БКБН). Вероятно, желательно, чтобы такой подход нашел свое отражение и в соответствующих внутренних документах кредитной организации.

Свою лепту в такое понимание мог бы, кстати, внести и Стандарт. Но в разд. 7, посвященном моделям "угроз и нарушителей информационной безопасности организаций БС РФ", сказано лишь то, что при анализе "угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на операционные риски деятельности организации.

Операционные риски сказываются на бизнес-процессах организации" (п. 7.12), и операционные риски (?) "порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов" (п. 7.13), причем говорится об их непосредственном (?) доступе к банковским автоматизированным системам кредитной организации. Таким образом, технологии ДБО в роли фактора операционного и других банковских рисков как будто исключаются (?). Как видно, здесь также имеет место расхождение в семантике понятий с определениями банковских рисков.

С остальными банковскими рисками ситуация, по мнению автора, пока что остается неясной, хотя основания для анализа достаточно очевидны.

Правовой риск в Указании N 70-Т определяется как "риск возникновения у кредитной организации убытков вследствие:

- несоблюдения кредитной организацией требований нормативно-правовых актов и заключенных договоров;

- допускаемых правовых ошибок при осуществлении деятельности (неправильные юридические консультации или неверное составление документов, в том числе при рассмотрении спорных вопросов в судебных органах);

- несовершенства правовой системы (противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов <...>);

- нарушения контрагентами нормативных правовых актов, а также условий заключенных договоров".

К проблематике ИБ прямое отношение здесь имеют договорные условия во всех своих вариантах. Прежде всего внимание целесообразно уделять организации отношений с клиентами кредитной организации, которые, как известно, часто недостаточно внимательно, а то и пренебрежительно относятся к соблюдению правил обеспечения ИБ, неся из-за этого убытки, а вину за это перекладывая на кредитную организацию. Известно огромное множество случаев утери клиентами данных, обеспечивающих их идентификацию и аутентификацию их действий (в особенности при различных видах ДБО), равно как и хищения этих данных мошенниками (включая часть сообщества хакеров) из-за небрежности клиентов или применения специальных методов типа фишинга. Клиенты же обычно склонны винить в своих ошибках недостаточно надежную, защищенную или просто понятную технологию предоставления банковских услуг. Поэтому кредитная организация вынуждена обеспечивать своего рода "защиту от клиента", а для этого необходимо не только гарантировать защищенность своих внутрибанковских автоматизированных систем, но также предоставить клиентам надежные и интуитивно понятные средства доступа к требуемым видам банковского обслуживания и фиксировать в договорах описания возможных угроз информационного характера и их последствий. Практика показывает, что в реальной жизни это имеет место только как исключение, а ситуации, угрожающие ИБ кредитной организации, практически никогда не включаются в состав перечисляемых в договорах форс-мажорных обстоятельств, хотя последствия реализации некоторых инцидентов ИБ могут оказаться для кредитной организации и ее клиентов не менее, а то и более разрушительными, чем пожары или наводнения. Между прочим, сказанное здесь имеет непосредственное отношение к содержанию политики ИБ кредитной организации, но положения по клиентской части там - редкость.

То же самое справедливо и в отношении контрагентов, в частности в случаях применения технологий ДБО, - тех или иных провайдеров кредитных организаций. Известно, что компьютерные системы провайдеров часто являются объектами сетевых атак разного рода, причем атаки эти могут иметь как прямой, так и косвенный характер. Поэтому банковские автоматизированные системы кредитных организаций - от используемых ими web-серверов, брандмауэров, прокси-серверов и т.п. до внутрибанковских автоматизированных систем и так называемых бэкофисов - также оказываются объектами таких атак. В одних случаях речь идет о непосредственном проникновении с целью хищения финансовых средств или специфической банковской или клиентской информации. В других случаях компьютерные взломы осуществляются в разрушительных целях: уничтожение массивов данных, операционного программного обеспечения, вывод из строя средств защиты и т.д. Также компьютерные системы могут подвергаться воздействию как промежуточные объекты атак, например с целью осуществления распределенного отказа в обслуживании, когда в атакуемой локальной вычислительной сети каждый из сетевых компьютеров после внедрения в них хакерами специальных программ оказывается источником атакующих воздействий на сетевые системы кредитной организации, вследствие чего ее операционные серверы "захлебываются" в потоках запросов и обслуживание клиентов прерывается. И это не все варианты.

Если проводить аналогии с содержанием Стандарта, то можно отметить, что в его разд. 9 сказано, что "для успешного функционирования" системы менеджмента ИБ (СМИБ) "организации БС РФ следует реализовать" как один из процессов "определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ. Определение/уточнение области действия СМИБ должно осуществляться на основе результатов оценки операционных рисков, а также оценки репутационных и правовых рисков деятельности организации БС РФ". В реальной ситуации органам управления кредитной организации, скорее всего, потребовались бы рекомендации относительно содержания процессов декомпозиции правового и репутационного рисков на такие компоненты, которые через пути распространения факторов риска привели бы к конкретным недостаткам в обеспечении ИБ в кредитной организации, как объектам последующих управляющих воздействий в целях снижения уровня риска. Следует отметить, что для кредитных организаций, использующих множественные банковские автоматизированные системы, тем более несколько систем ДБО (например, систем "банк-клиент", интернет-банкинг, мобильный банкинг), такой анализ может оказаться далеко не простым. Тем не менее он представляется крайне желательным, учитывая тесную взаимосвязь двух отмеченных банковских рисков и серьезность потенциального влияния на кредитную организацию их реализации, причем, как было показано, возможно и не по ее вине.

Репутационный риск

Риск потери деловой репутации (репутационный риск), пожалуй, наиболее сложен для анализа. В Указании N 70-Т он определяется как "риск возникновения у кредитной организации убытков в результате уменьшения числа клиентов (контрагентов) вследствие формирования в обществе негативного представления о финансовой устойчивости кредитной организации, качестве оказываемых ею услуг или характере деятельности в целом". Безусловно, качество услуг и характер деятельности прямо зависят от тех информационных систем кредитной организации, которые относятся к операционным. В большинстве случаев, как можно предположить, компоненты репутационного риска представляют собой последствия реализации риска операционного, а иногда и правового риска в качестве промежуточного звена. Чаще это относится к вновь внедряемым технологиям банковского обслуживания, в последнее время - технологиям ДБО. Соответственно органам управления кредитной организации требуется понимание как содержания самих этих технологий, так и зависимости от качества банковского обслуживания, осуществляемого с их помощью, конкретных клиентов. С одной стороны, внедрение технологий типа мобильного банкинга или интернет-банкинга ведет обычно к быстрому росту клиентуры и/или объемам банковских операций. С другой стороны, такие варианты обслуживания все чаще предоставляются VIP-клиентуре, причем иногда бесплатно, в качестве дополнительного удобного и потому привлекательного сервиса. Поэтому, конечно, желателен "персональный" анализ последствий инцидентов ИБ.

Однако репутационный риск может оказаться и следствием реализации стратегического риска. Под этим риском в Указании N 70-Т понимается "риск возникновения у кредитной организации убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития кредитной организации (стратегическое управление), и выражающихся в неучете или недостаточном учете возможных опасностей, которые могут угрожать деятельности кредитной организации, неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых кредитная организация может достичь преимущества перед конкурентами, отсутствии или обеспечении в неполном объеме необходимых ресурсов <...> и организационных мер (управленческих решений), которые должны обеспечить достижение стратегических целей деятельности кредитной организации".

Стратегический риск

Стратегический риск может реализоваться как непосредственно, так и опосредованно. В первом случае, говоря об ИБ, речь по существу идет о потерях из-за приобретения (или собственной разработки) ненадежных с точки зрения обеспечения ИБ внутрибанковских автоматизированных систем. Сюда же можно отнести ошибки в управлении ИБ в тех случаях, когда в хакерском сообществе появляется информация о "пробое" тех или иных средств сетевой защиты (брандмауэров и др.), а поскольку хакерские web-сайты в Сети исчисляются тысячами, такая информация распространяется и используется быстро. Если кредитная организация не заменяет своевременно такие скомпрометированные средства защиты, то неприятности для нее в виде инцидентов ИБ более чем вероятны. Из этого следуют очевидные требования к немаловажным нюансам организации работы подразделений автоматизации (информатизации и т.п.) и обеспечения ИБ кредитной организации, включая обеспечение ее в том числе за счет отслеживания хакерской информации. Однако исполнители на местах должны об этом информироваться, прежде всего через внутренние документы кредитной организации (к чему и можно было бы призывать руководителей кредитных организаций и их менеджеров среднего звена, особенно связанных с банковскими информационными технологиями). Отсюда следуют определенные дополнительные пожелания к составу внутрибанковских управленческих информационных процессов и в целом к информационным системам управления.

Во втором случае реализация риска возможна, например, за счет выбора и применения таких средств электронной цифровой подписи, которые не обеспечивают необходимую в процессе банковской деятельности и обслуживания клиентов степень криптозащиты банковской и клиентской информации. Известны случаи негативных для кредитных организаций последствий недостаточных испытаний средств такого рода, хотя они и единичны. Чаще неприятности у кредитной организации могут случиться из-за просроченных сертификатов (правовой риск) или ненадежности удостоверяющих центров как таковых (например, сертификация "самого себя" <1> и возможная реализация репутационного риска). Впрочем, то же самое может относиться к достаточно дорогостоящим и многофункциональным системам ДБО, которые могут не обеспечивать необходимую кредитной организации и установленный в договорах с клиентами и контрагентами степень ИБ из-за ошибок в тестировании и прежде всего в ходе приемо-сдаточных испытаний в самой кредитной организации.

     
   ————————————————————————————————
   

<1> Эта тема заслуживает отдельного рассмотрения, что выходит за рамки данной статьи.

Программа информационной безопасности банка

В подтверждение "серьезности" соображений, приведенных нами в отношении того, насколько важны для кредитной организации и ее (во многом бестолковых) клиентов вопросы изучения, осознания и описания рисков, связанных с обеспечением ИБ и защитой информации в финансовых учреждениях, а также управления ими, можно привести некоторые выдержки из банковского законодательства США <2>. Один из многочисленных компонентов этого законодательства, разработанный Казначейством США (Treasury), содержит помимо ряда прочих требований к обеспечению "надежной и безопасной деятельности" раздел "Программа информационной безопасности", в котором специально для финансовых учреждений (включая, естественно, коммерческие банки) сказано следующее:

"Учреждению следует иметь изложенную в письменной форме полноценную программу информационной безопасности, включающую административные, технические и физические средства защиты, соответствующие размеру и сложности <3> конкретного банка, а также характеру и масштабу его деятельности. Несмотря на то что внедрения однородной политики от всех подразделений банка не требуется, все компоненты программы информационной безопасности должны быть скоординированы.

Программа информационной безопасности банка (bank's information security program) должна быть разработана для того, чтобы:

1) обеспечить безопасность и конфиденциальность клиентской информации;

2) организовать защиту от любых возможных угроз или опасностей для сохранения или целостности такой информации;

3) организовать защиту от несанкционированного доступа к такой информации или ее использования таким образом, который может привести к значительному ущербу или неприятным последствиям для клиента".

     
   ————————————————————————————————
   

<2> 12 CFR, Ch I, Pt. 30 "SAFETY SOUNDNESS STANDARDS", App, В.

<3> В оригинале - complexity.

Опасаясь утомить читателей изложением выдержек из указанного сегмента американского банковского законодательства, приведем только несколько "основополагающих" положений. Значение использованного подхода будет дополнительно пояснено в дальнейшем при обсуждении вопросов практической применимости российских корпоративных стандартов, регламентирующих те или иные аспекты банковской деятельности кредитных организаций, включая, естественно, обеспечение ИБ.

Итак, "каждый банк обязан:

1) разработать индивидуальную программу информационной безопасности в обеспечение управления выявленными рисками, соответствующую значимости защищаемой информации, равно как и сложности и масштабам деятельности банка, при этом необходимо оценить, насколько подходят банку следующие меры, и реализовать те, которые считаются подходящими:

a) средства контроля доступа к клиентским информационным системам, включая средства удостоверения личности и разрешения доступа только авторизованным лицам, а также средства защиты от предоставления персоналом банка клиентской информации неавторизованным лицам, которые могут пытаться получить к ней доступ в мошеннических целях;

b) средства ограничения физического доступа в места хранения клиентской информации (помещения, компьютерная техника и средства хранения записей), обеспечивающие доступ только авторизованных лиц;

c) шифрование клиентской информации, которая в электронной форме передается или хранится в вычислительных сетях, для предотвращения несанкционированного доступа;

d) процедуры, разработанные в обеспечение соответствия процедур модификации клиентских информационных систем программе информационной безопасности банка;

e) процедуры двойного контроля, разделения обязанностей и проверки сотрудников, в обязанности которых входят возможности доступа к клиентской информации;

f) мониторинг систем и процедур обнаружения реальных атак и попыток проникновений в клиентские информационные системы;

g) программы реагирования, в которых описаны действия, которые следует предпринимать при подозрении или в случае обнаружения попыток несанкционированного доступа к клиентским информационным системам, включая составление требуемых отчетов для органов регулирования и правоохранительных органов;

h) меры защиты от уничтожения, потери или нанесения ущерба клиентской информации, обусловленных чрезвычайными событиями типа пожаров, наводнений или технологических катастроф;

2) обучить персонал в интересах реализации программы информационной безопасности банка;

3) регулярно тестировать основные средства контроля, системы и процедуры, заложенные в программе информационной безопасности, при этом частоту и содержание тестов следует определять на основе риска, которому подвергается данный банк.

Адаптация программы информационной безопасности: каждый банк обязан осуществлять мониторинг, оценку и при необходимости корректировку программы информационной безопасности в зависимости от затрагивающих соответствующие вопросы изменений в технологиях, значимости клиентской информации, внутренних или внешних угроз для информации, а также внесения банком изменений в свои деловые соглашения, таких изменений, как слияния и приобретения, совместная и партнерская деятельность, использование аутсорсинга и внесение изменений в клиентские информационные системы.

Отчет для совета директоров: каждый банк обязан как минимум ежегодно составлять для своего совета директоров или соответствующего комитета такого совета отчет с описанием общего состояния программы информационной безопасности и соответствия деятельности банка настоящим рекомендациям; в этом отчете следует рассмотреть значимые для программы вопросы, касающиеся: оценки риска, управления риском и соответствующих решений, отношений с провайдерами, результатов тестирования, нарушений безопасности и реакции на них, а также рекомендаций по внесению изменений в программу".

Вот такая демонстрируется законодательно закрепленная забота о тех, кому коммерческий банк из-за недостатков в обеспечении своей ИБ может нанести ущерб... Ничего личного - всего лишь констатация фактов.

Но хватит американской экзотики! Представим себе, нет, не профессионального хакера "в белой шляпе", а некое "юное дарование", "погулявшее" по хакерским и фишерским web-сайтам, получившее возможность за счет заимствований у "корифеев хэка" просто "не глядя в код" вторгнуться в святая святых кредитной организации. Между прочим, это самое "белошляпное" хакерское сообщество в последнее время оказалось обеспокоено тем, что весьма "серьезные" хакерские проекты, связанные с выявлением недоработок в операционных системах, средствах сетевой защиты различных фирм, "прослушиванием" сетевого трафика, обнаружением вторжения в корпоративные вычислительные сети и т.п., становятся достоянием скрипт-киддеров <1>, которые сами мало на что способны, кроме как доставить весьма заметные неприятности вроде бы "серьезным" финансовым организациям, органы управления которых, однако, не слишком обеспокоены состоянием (целостностью) сетевого периметра своей кредитной организации и ее информационных сечений. Времена небезызвестного хакера Кевина Митника, отсидевшего в тюрьме несколько лет за более чем 300-миллионный (в долларах) ущерб, нанесенный ряду крупных корпораций, и ставшего по освобождении консультантом по обеспечению ИБ и защите корпоративных сетей, похоже, проходят. Не слишком ли быстро для тех, кто управляет чужими финансовыми средствами и рисками, связанными с их использованием?

     
   ————————————————————————————————
   

<1> Script-kidders - школьники старших классов и студенты, овладевшие основами программирования, но неспособные на "серьезные" программно-информационные разработки или даже не стремящиеся к ним.

И вдруг где-то "в отношении" той или иной кредитной организации происходит нечто вроде "Вау! Я сделал это!" - с прыжками вокруг компьютера, послужившего средством совершения преступления, на манер танцев папуасов Миклухо-Маклая вокруг жертвенного или магического костра... А что почувствуют те, чьи записи о "живых" деньгах в банковских базах данных оказались искажены, уничтожены, да даже и "всего лишь" скопированы и впоследствии использованы в неблаговидных (преступных) целях? Что они подумают, скажут и сделают?! И что будет думать сам банк по этому поводу? Или руководство банка - о своих специалистах (легко ли отыскать виновного в виртуальном пространстве и не проще ли, как часто бывает, свалить вину на "стрелочника", тем самым закрыв глаза на сами угрозы и причины их реализации, на самом деле лежащие в поле безразличия к банковским информационным технологиям)? А что будут думать о банке VIP-клиенты (не дай Бог!), чьи электронные деньги или информация о них похищены? И так далее, вплоть до того, что будет думать Банк России о пострадавшей кредитной организации, ущербе, который был нанесен кредиторам и вкладчикам, руководстве этой организации (начиная с осуществляемого им мониторинга и управления рисками), а также о дальнейших видах кредитной организации на продолжение функционирования?

Таким образом, очевидно, что возникновение проблем, имеющих прямое отношение к ИБ, возможно с разных точек зрения. И эти точки зрения целесообразно было бы учитывать кредитной организации в ее внутренних документах при проведении анализа источников и факторов риска, относящихся к недостаткам в обеспечении ИБ.

В целом, по мнению автора, "связанная информационная безопасность" и внутренние документы кредитных организаций, в которых адекватно отражались бы финансовые, информационные и другие угрозы, создаваемые недостатками в ее обеспечении ИБ для тех, кто реально зависим именно от нее, а также от используемых кредитной организацией конкретных (от чего зависит адекватность анализа) аппаратно-программно-информационных комплексов, образуют в совокупности то, что можно определить как вторую составную часть и соответственно второй источник ИБ в кредитных организациях. Поэтому от деятельности органов управления кредитной организации, от полноты и адекватности понимания ими содержания обязательств, которые связывают кредитную организацию с множеством юридических и физических лиц, от внутренней политики кредитной организации, проводимой в отношении таких связей, непосредственно зависит реализация этого компонента ИБ, а вместе с ней и, возможно, как следствие, доверие общества к отдельным кредитным организациям и банковскому сектору в целом.

Л.В.Лямин

Начальник

отдела интернет-банкинга

Управление методологии рисков

внутрибанковских систем

Департамента банковского регулирования

и надзора Банка России

Подписано в печать

10.07.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——