Издания и мероприятия для банковских специалистов:
 
Методический журнал
Bнутренний контроль в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2009 г.
 
 

Как обеспечить эффективное управление рисками ИБ в новых условиях

Размещено на сайте 15.03.2019
Практика показывает, что на фоне относительно благоприятной статистики инцидентов у банков периодически возникают проблемы в сфере информационной безопасности (ИБ). Собственно, улучшение показателей в этой сфере и снижение рисков возникновения «успешных» (с точки зрения атакующего) инцидентов являются целью всех заинтересованных специалистов. В чем особенности управления риском ИБ в рамках общей задачи управления операционным риском? Что необходимо сделать уже сейчас, чтобы вписаться в установленные Банком России сроки построения «экосистемы ИБ»?
 
Андрей КУРИЛО, АО «РНТ», исполнительный директор, к.т.н.
 
 
Приводятся извлечения из статьи. Полную версию материала читайте в журнале. Подписаться
 
 
Вся практическая деятельность в области ИБ проходит под воздействием известных внешних факторов, как субъективно, так и объективно задающих векторы усиления требований по защите, усложнения этих требований, усложнения проверок и усиления документирования их результатов.
Банк России в полном соответствии с документами «Базеля II» отнес риски информационной безопасности к группе операционных рисков, требующих управления ими по рекомендованным регулятором методикам и наличия механизма расчета необходимого капитала на покрытие этих рисков.
Деятельность в области обеспечения ИБ относится к категории обес­печивающей, и относить ее к основным видам деятельности подразделений банка неправильно. Однако этот факт порождает не самое внимательное отношение к проблеме у персонала, а главное — у руководства банка.
Службы управления рисками и внутреннего аудита должны уделять самое пристальное внимание анализу деятельности коллегиального органа управления и давать объективную оценку его работе.
Методика, которая содержит большое количество оценочных операций, совершаемых вручную приглашенным или назначенным аудитором, допускает искажение результатов в любую сторону, если аудитор начнет заносить в систему неточные данные.
В связи с тем что Банк России не устанавливает жестких требований по ответственности за управление рисками ИБ в рамках общей задачи управления операционным риском, целесообразно сосредоточить эту работу в службе ИБ.
Банком России разработана новая модель регулирования ИБ, при которой оценка уровня ИБ и качество работы банка за несколько лет существенным образом влияют на величину минимального регуляторного капитала на покрытие операционного риска.
В сложных проектах применение Agile-методики катастрофически ухудшает качество конечного продукта вследствие отсутствия тщательно продуманной архитектуры или отступления от нее в процессе разработки. В результате программа содержит большое количество ошибок и уязвимостей.
Риски среднего уровня, связанные с реализацией крупных проектов, требующих скоординированных усилий нескольких команд, снимаются отказом от Scrum-методики взаимодействия между командами и переходом к методике OKR.
 
 
 
 
Другие проекты группы «Регламент-Медиа»