18 октября, четверг 15:08
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Операционные Риски vs. ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Операционные Риски vs. ИБ

    Выход соглашения Basel II и планы РФ присоединиться к нему в 2009/2010 году обозначили новую тему – операционные риски (ОР).
    Интересно мнение ИБ-общественности по теме, что есть ОР и что с ним делать. У кого scope больше и кто кого может поглотить .

    А конкретно вопросы такие:
    Риск ИБ = ОР?
    ОР = риску ИБ?
    Система Управления ОР = Системе Управления ИБ?
    Как и насколько отличаются области действия СУОР и СУИБ?
    Будут ли одинаковы процессы отдела ОР (построенного по Basel II) и отдела ИБ (построенный по СТО БР ИББС)?


    Развернутые мнения приветствуются.


    Источники информации об ОР:
    ----------------------------------------
    Собственно сам Basel II: перевод на сайте ЦБ: http://www.cbr.ru/search/print.asp?F...y/pk/basel.htm . Операционные риски описываются начиная с 644 и далее + приложение №7 “Подробная классификация типа событий, вызвавших убыток”.

    644. Операционный риск определяется как риск убытка в результате неадекватных или
    ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.
    Это определение включает юридический риск, но исключает стратегический и
    репутационный риски.


    ----------------------------------------
    Книга “Руководство по защите от внутренних угроз информационной безопасности” (http://www.ozon.ru/context/detail/id/3517158/ ). В авторах книги значатся Скиба и Курбатов. Рецензент – Лукацкий. В этой книге отдельная глава посвящена Basel II и операционным рискам. Скан книги есть в Интернет.
    Если лениво читать/искать приведу итоговую цитату:
    “Требования по управлению рисками и резервированию капитала соглашения
    Basel II довольно объемны и сложны в реализации. Особенные проблемы могут
    возникнуть у кредитно-финансовых организаций при попытке взять под контроль
    операционные риски, в которые входят угрозы ИБ. Более того, в рамках
    операционного риска особенно выделяются внутренние угрозы ИБ, так как они способны
    нанести максимальный вред организации.
    Чтобы управлять внутренними рисками ИБ, банку следует внедрить стандарт ЦБ
    по ИБ. По сути, Банк России специально предложил свой стандарт в качестве
    дорожной карты, с помощью которой банки могут наиболее эффективно войти
    в Basel II и взять под контроль операционный риск.”

    ----------------------------------------

    Статья: "Стандарт Банка России по ИТ-безопасности: внедрять или не внедрять?"…….
    По ряду моментов Стандарт является развитием как ISO 27001, так и требований по управлению операционными рисками в Соглашении Basel II. Эксперты часто задавали вопрос о целесообразности наличия стандарта ЦБ. Долгое время ответ заключался в том, что его существование — это компромисс между российской реальностью и необходимостью более тесной интеграции в международное банковское сообщество.……
    В-третьих, для части крупных кредитных организаций этот Стандарт научит финансистов приемам управления операционными рисками и станет переходным этапом к присоединению к Соглашению Basel II. А ведь даже солидные международные банки видят в нем не столько средство повышения экономической эффективности, сколько механизм управления рисками и соответствия жестким международным стандартам в этой сфере.
    ……..
    Источник: http://bankir.ru/analytics/it/3/92655
    ----------------------------------------

    Статья "Соглашение Basel II в России 2006: операционные риски — основная проблема банков"
    ………
    Наибольшую опасность для банков представляют такие операционные риски, как неадекватные или ошибочные действия персонала (91%) и внутренние процессы (62%). Для того чтобы помочь банкам эффективно управлять этими рисками, Центробанк выпустил специальный стандарт ИТ-безопасности (СТО БР ИББС-1.0–2006), который во главу угла ставит именно корпоративных инсайдеров. Последовательная реализация положений этого стандарта поможет российским банкам создать эффективную систему управления операционными рисками. Дополнительную проблему для национального кредитно-финансового сектора представляет неуправляемость рисков, связанных с репутацией. Подавляющее большинство банков (86%) не учитывают угрозы собственной репутации. Между тем, эти угрозы могут явиться прямым следствием успешной реализации операционных рисков, а особенно инсайдерских угроз.
    ……..

    Источник: http://www.nvisionsecurity.ru/analytics/13/
    ----------------------------------------


    P.S. Форумчан считающих, что ОР это только расчет резервного капитала на покрытие операционного риска, прошу флудить в свое ветке)).

  • #2
    )Конечно понятие ОР несколько шире чем риски ИБ)))- но "удельный" вес рисков ИБ в ОР, ИМХО, весьма значителен. Затрудняюсь сказать сколько это будет "в граммах")). Но я недавно провел эксперимент-
    1.Составил модель угроз и нарушителей ИБ для своего банка
    2.А потом взял таблицу ОР своих "рисковиков" и показал вклад событий ИБ в т.к. называемые "обычные-стандартные" операционные риски))))- и т.е каждое событие ОР я показал как следствие событий ИБ)))- эффект был потрясающий))). Наши риск-менеждеры вдруг прозрели т.к. они наглядно увидели что практически ни одного события из их операционных рисков не происходит без вклада событий ИБ))
    я б в риск-менАгеры пошел- пусть меня научат!)
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Информационный риск в составе операционного.
      Системы управления (как и области действия) похожие, но разные.
      Про процессы - не скажу.
      Я бы не парился и отдал это рисковикам.

      Комментарий


      • #4
        Информационный риск в составе операционного.
        Системы управления (как и области действия) похожие, но разные.
        Про процессы - не скажу.
        - согласен- но верно так же и то что практически любое событие ОР( из тех что классифицировано у меня в банке) может быть следствием события ИБ( при наличии соответствующей модели угроз)
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          2George-on-Don Уважаемый приведите пример

          Комментарий


          • #6
            Сообщение от surfer Посмотреть сообщение
            Информационный риск в составе операционного.
            Не факт. Из scope ОР (по Basel II) выведены стратегический и
            репутационный риски
            , которые может рассматривать ИБ. Тогда следует полагать, что scope ОР и ИБ имеют свое общее и свое частное. И риск ИБ не будет ОР в априори.

            Сообщение от surfer Посмотреть сообщение
            Системы управления (как и области действия) похожие, но разные.
            В чем основное отличие систем управления ОР и ИБ?

            Комментарий


            • #7
              В чем основное отличие систем управления ОР и ИБ?
              Мне кажеться в том что разные отделы будут управлять этими системами. ОР будут включаться в модель угроз и нарушителей отдела ИБ и учитываться при оценки рисков.

              Комментарий


              • #8
                Сообщение от barmalei Посмотреть сообщение
                2George-on-Don Уважаемый приведите пример
                ) у меня целая таблица примеров (8-9 печатных листов)- влияния событий(рисков) ИБ на риски ОР -только там все расписано по кодификаторам)) - проще будет ежели Вы предложите мне какое-нидь событие ОР - а я исходя из своей модели угроз ИБ- постараюсь найти события ИБ которые могут послужить причиной этого ОР)
                Мы продолжаем делать то, что мы уже много наделали

                Комментарий


                • #9
                  Сообщение от barmalei Посмотреть сообщение
                  Мне кажеться в том что разные отделы будут управлять этими системами. ОР будут включаться в модель угроз и нарушителей отдела ИБ и учитываться при оценки рисков.
                  Это не отличие. Кто задействовал в процессах СУ - частности. Да и разница в scope не важна. О различии данных систем управления можно ИМХО говорить если у них будут разные подходы к идентификации и оценки рисков и управлению инцидентами.

                  Читая Basel II я эту принципиальную разницу пока не нашел.

                  Комментарий


                  • #10
                    Предлагаю разобраться что такое ОР
                    644. Операционный риск определяется как риск убытка в результате неадекватных или
                    ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.
                    Это определение включает юридический риск, но исключает стратегический и
                    репутационный риски.
                    Ошибочные действия сотрудников - это неверный ввод получателя платежа, ошибка в одной цифре счета, для примера.
                    2George-on-Don возьмите для примера такой ОР.
                    Как ИБ может проконтроллировать подобный ОР? И задачи ли ИБ контроллировать ОР.

                    Комментарий


                    • #11
                      Сообщение от barmalei Посмотреть сообщение
                      Предлагаю разобраться что такое ОР

                      Ошибочные действия сотрудников - это неверный ввод получателя платежа, ошибка в одной цифре счета, для примера.

                      Как ИБ может проконтроллировать подобный ОР? И задачи ли ИБ контроллировать ОР.
                      Типичный риск ИБ - по iso 17799 п. 12.2.1 "Проверка достоверности входных данных".

                      Комментарий


                      • #12
                        Ошибочные действия сотрудников - это неверный ввод получателя платежа, ошибка в одной цифре счета, для примера - нет проблем - следующие события ИБ могут повлиять на возниковение этого события ОР
                        1.Характер угрозы ИБ - "технологическая" - вид воздействия "программные(логические)" - "локальный"... причина ошибки в воздейстии локального нарушителя на работу ПО - в следствии которого была искажен реквизит документа или отключена проверка на (количество знаков в счете, на ключевание и тд.)
                        2.Характер угрозы ИБ - "технологическая" - вид воздействия "программные(логические)" - "удаленный"... причина ошибки в воздейстии удаленного нарушителя на работу ПО - в следствии которого была искажен реквизит документа
                        3.Характер угрозы ИБ - "технологическая" - вид воздействия "физическое" - ... причина ошибки в сбое работы 1.Оборудования в результате которого -> сбой в данных (1), или сбой в работе ПО(2)...
                        4.Характер угрозы ИБ - "организационные" - вид воздействия "действия персонала" - "умышленные"... - в следствии которого сознательно была отключена проверка в АБС на (количество знаков в счете, на ключевание и тд.) или умышленное нарушение регламентов и инструкий по настройке АБС, вводу документов + отсутствие двойного контроля и тд.
                        5.Характер угрозы ИБ - "организационные" - вид воздействия "действия персонала" - "неумышленные действия"... - в следствии которого неумышлено была отключена проверка в АБС на (количество знаков в счете, на ключевание и тд.), или несоблюдение инструкций по настройке АБС, вводу документов в АБС+ отсутствие должного контроля документов и т.д.
                        __________________________________________________
                        На самом деле - вариантов может быть еще больше))
                        Мы продолжаем делать то, что мы уже много наделали

                        Комментарий


                        • #13
                          Т.к. в самом Basel не приводяться примеры ОР, я поискал в интернете и нашел
                          Операционный риск - риск, связанный с деятельностью персонала финансового института. Составными частями операционного риска являются:

                          транзакционный риск - связан с ошибками персонала компании при выполнении транзакционных операций, ошибках в бухгалтерском учете компании, ошибках расчетов;

                          риск операционного контроля - вид операционного риска, при котором персонал компании или банка превышает выделенные лимиты, исполняет недобросовестные сделки, совершает умышленное мошенничество;

                          риск систем - операционный риск сбоя программного обеспечения при проведении текущих операций, ошибки в методологии работы, отказе телекоммуникационных систем.

                          В своей деятельности операционному риску могут быть подвержены страховые компании при недобросовестном исполнении своих служебных обязанностей персоналом компании (умышленный сговор с лицом, страхующем имущество), банки, при проведении межбанковских транзакционных переводов, инвестиционные компании, при превышении портфельными менеджерами выделенных рыночных лимитов.
                          Здесь видно что пример риска описываемый мною является Транзакционным риском, входящим в группу ОР.
                          2box_roller что вы относите к ОР?

                          Комментарий


                          • #14
                            Сообщение от barmalei Посмотреть сообщение
                            Т.к. в самом Basel не приводяться примеры ОР, я поискал в интернете и нашел
                            Здесь видно что пример риска описываемый мною является Транзакционным риском, входящим в группу ОР.
                            2box_roller что вы относите к ОР?
                            Для меня ОР, то что Basel считает за ОР
                            Basel II, Приложение №7 “Подробная классификация типа событий, вызвавших убыток”.

                            По примеру:
                            Тип: "Исполнение,доставка и управление процессами"
                            Категория: "Исполнение и поддержание операций"
                            Вид деятельности: "Ошибки при вводе, загрузке или поддержании данных"

                            Комментарий


                            • #15
                              2box_roller Все таки ошибка ввода - это операционный риск

                              Комментарий


                              • #16
                                Сообщение от barmalei Посмотреть сообщение
                                2box_roller Все таки ошибка ввода - это операционный риск
                                Одно другому не мешает.

                                Разве "ошибка ввода" не может быть ОР и риском ИБ одновременно?

                                Комментарий


                                • #17
                                  По своему опыту могу сказать чио риски ИБ и операционные риски банка не совпадают, хотя очень сильно пересекаются. Но управление рисками ИБ и управление операционными рисками - это принципиально разные вещи.

                                  Операционные риски - это риски, связанные с осознанной санкционированной деятельностью персонала банка. Менеджер, действуя в пределах своих полномочий, может валидировать потребительский кредит заведомому неплательщику. Это операционный риск, но не риск ИБ.

                                  Риски ИБ делятся на две категории - риски ИТ и, скажем так, нетехнические риски, связанные в основном с организацией процессов. Нетехнические риски - это сфера совместной деятельности ИБ и операционных рисков, просто они испоьзуют разные механизмы управоления рисками. Риски ИТ опять таки можно поделить на две части: риски, связанные с возможностью выполнить несанкционированное действие и риски, с НСД не связанные. Первые, опять-таки, предмет совместной деятельности, ОР их учитывать, но механизмы управления этими рискамиесть только у ИБ. Вторая категория - это в чистом виде риски ИБ.

                                  Я, конечно, слегка упростил, потому что на практике все сложнее. Например, не всякий риск ИБ, связанный с НСД, создает операционный риск.

                                  Комментарий


                                  • #18
                                    не всякий риск ИБ, связанный с НСД, создает операционный риск.- на практике согласен- однако потенциально любой НСД - может повлечь за собой событие операционного риска -т.е. "создать убыток в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий"
                                    Мы продолжаем делать то, что мы уже много наделали

                                    Комментарий


                                    • #19
                                      Сообщение от malotavr Посмотреть сообщение
                                      Риски ИБ делятся на две категории - риски ИТ и, скажем так, нетехнические риски, связанные в основном с организацией процессов. Нетехнические риски - это сфера совместной деятельности ИБ и операционных рисков, просто они испоьзуют разные механизмы управоления рисками. Риски ИТ опять таки можно поделить на две части: риски, связанные с возможностью выполнить несанкционированное действие и риски, с НСД не связанные. Первые, опять-таки, предмет совместной деятельности, ОР их учитывать, но механизмы управления этими рискамиесть только у ИБ. Вторая категория - это в чистом виде риски ИБ.
                                      Всё это было верно, если б не одно но...
                                      Ваше определение ОР - не соответствует определению ОР от Basel II.

                                      malotavr: "Операционные риски - это риски, связанные с осознанной санкционированной деятельностью персонала банка" и тем самым вы отсекаете технические риски.
                                      Basel : "Операционный риск определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.".
                                      Таким образом, действия могут быть неосознанными, не только от персонала, но и от систем, а так же и от внешних воздействий. Что подтверждается в Basel в Приложении №7, где в качестве событий недвусмысленно указываются стихийные бедствия, ПО, аппаратное обеспечение и т.д.

                                      имхо Ваше понимание ОР - не по Basel

                                      Комментарий


                                      • #20
                                        Сообщение от barmalei Посмотреть сообщение
                                        Мне кажеться в том что разные отделы будут управлять этими системами. ОР будут включаться в модель угроз и нарушителей отдела ИБ и учитываться при оценки рисков.
                                        Если взять положение 242-П Центробанка, то там мы увидим, что система внутреннего контроля включают в себя и систему управления ОР и систему управления ИБ.

                                        Комментарий


                                        • #21
                                          Сообщение от box_roller Посмотреть сообщение
                                          Всё это было верно, если б не одно но...
                                          Ваше определение ОР - не соответствует определению ОР от Basel II.
                                          ...
                                          имхо Ваше понимание ОР - не по Basel
                                          Это моя интерпретация того, как это организовано в банковской группе, работающей в странах OECD, для которых требования базельского соглашения обязательны.

                                          Сообщение от box_roller Посмотреть сообщение
                                          "риски, связанные с осознанной санкционированной деятельностью персонала банка" и "риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий.".
                                          А разве здесь есть противоречие? Пользователь делает проводку - это осознанное действие. При этом он может ошибиться или сделать сознательное нарушение, введя в рамках имеющихся у него полномочий неправильную сумму или номер счета. Для нас это операционный риск, но не риск ИБ.

                                          Другой пример - дефейс внешнего информационного портала. Он приводит только к репутационным убыткам и не относится к операционным рискам, но относится к рискам ИБ.

                                          Большинство же рисков входят в компетенцию как ИБ, так и ОР, но механизмы управления рисками у них разные. Операционные риски можно снижать выставлением лимитов сумм по операциям или страхованием - в компетенцию ИБ такие механизмы не входят. ОР, в свою очередь, не интересует техническая сторона вопроса: они сказали, что операции вот таких типов должны валидироваться вот таким менеджером, и дальше уже проблема ИБ сделать так, чтобы эту валидацию нельзя было обойти.

                                          Сообщение от box_roller Посмотреть сообщение
                                          Таким образом, действия могут быть неосознанными, не только от персонала, но и от систем, а так же и от внешних воздействий. Что подтверждается в Basel в Приложении №7, где в качестве событий недвусмысленно указываются стихийные бедствия, ПО, аппаратное обеспечение и т.д.
                                          Я бы сказал так: операционные риски включают в себя риски ИБ, которые связаны с прямым фактическим финансовым ущербом. Но есть риски ИБ, которые приводят к непрямому ущербу - потеря репутации, упущенная выгода, и т.п.

                                          В общем, ОР и ИБ - это две относительно независимые структуры, взаимно поддерживающие друг друга, оценивающие по-разному возможный ущерб и использующие разные механизмы минимизации риска. Обе эти структуры традицционно входят в систему внутреннего контроля.

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            А разве здесь есть противоречие?
                                            Хуже чем противоречие.. Определение не полное и отсекает часть scope, ту часть, на основе которой делаются дальнейшие выводы.

                                            Сообщение от malotavr Посмотреть сообщение
                                            Пользователь делает проводку - это осознанное действие. При этом он может ошибиться или сделать сознательное нарушение, введя в рамках имеющихся у него полномочий неправильную сумму или номер счета. Для нас это операционный риск, но не риск ИБ.
                                            Как осознанное действие, как и не осознанное, формально попадает не только под определение ОР, но и риска ИБ.

                                            Сообщение от malotavr Посмотреть сообщение
                                            Операционные риски можно снижать выставлением лимитов сумм по операциям или страхованием - в компетенцию ИБ такие механизмы не входят.
                                            Определение и обоснование размера лимита – это к ОР. А страхование, такой же инструмент снижения рисков ИБ, как и другие инструменты.

                                            Комментарий


                                            • #23
                                              Сообщение от box_roller Посмотреть сообщение
                                              Хуже чем противоречие.. Определение не полное и отсекает часть scope, ту часть, на основе которой делаются дальнейшие выводы.
                                              Вполне возможно В моем случае операционные риски находятся вне компетенции отдела ИБ, мы просто работаем сообща.

                                              Комментарий


                                              • #24
                                                2 Алексей Лукацкий:
                                                Если взять положение 242-П Центробанка, то там мы увидим, что система внутреннего контроля включают в себя и систему управления ОР и систему управления ИБ.
                                                Контроль за функционированием системы управления банковскими рисками вижу, контроль за обеспечением информационной безопасности вижу, а вот того, что система внутреннего контроля должна включать в себя "систему управления ОР и систему управления ИБ", не вижу.
                                                Причем если вдумчиво прочитать:
                                                3.1. Система внутреннего контроля кредитной организации должна включать следующие направления:
                                                ...
                                                - контроль за функционированием системы управления банковскими рисками и оценка банковских рисков;
                                                ...
                                                - контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности;

                                                то получается, что система внутреннего контроля кредитной организации должна включать в себя оценку банковских рисков. ;-)
                                                Если бы было написано "контроль за функционированием системы управления банковскими рисками и оценки банковских рисков" или "контроль за функционированием системы управления банковскими рисками и оценкой банковских рисков", то тогда я бы понял о чём сие предложение, а так понял как указал выше.[/b]

                                                B вообще, притягивание 242-П во все дыры уже достаточно утомило, особенно требование разработать единым документом "Порядок управления информационными потоками (получением и передачей информации) и обеспечения информационной безопасности", хотя такого дтребования в 242-П нет, есть требования определить порядок контроля, а так же принять списко документов, где всё касающееся информационной безопасности названо достаточно лаконично "Политикой информационной безопасности".

                                                Комментарий

                                                Пользователи, просматривающие эту тему

                                                Свернуть

                                                Присутствует 1. Участников: 0, гостей: 1.

                                                Обработка...
                                                X