1. Снижение издержек АБС посредством управления операционными рисками СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, исполнительный директор института банковского дела АРБ …1101011110010100110101010111101… www.infoforum.ru www.ibdarb.ru/3/ www.mephi.edu/

2. … « менеджмент должен осуществляться, прежде всего, на основании постоянного, систематического и целенаправленного снижения издержек производства»…

3. Рекомендации Базельского комитета http:/www.bis.org/publ/ Эффективность банковской системы по Базель-1: Эффективное корпоративное управление Эффективная система внутреннего контроля Культура контроля Контроль рисков Кредитный риск Страновой (региональный) риск Рыночный риск Процентный риск Риск ликвидности Операционный риск источник: Сазыкин Б.В., д.т.н., профессор

4. Определение операционного риска Базельский комитет (2003 г). Операционный риск – риск возникновения убытков в результате недостатков или ошибок в ходе осуществления внутренних процессов, связанных с людьми и системами, а также вследствие внешних воздействий. Указание ЦБР №70Т от 23.06.04 г. «О типичных банковских рисках». Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие некомпетентности, непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

5. Положение ЦБР от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" 1.2. Внутренний контроль осуществляется в целях обеспечения: 1.2.1. …Постоянное наблюдение за банковскими рисками; 1.2.2. Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений).

6. Усилиями специалистов ВТБ 24 в начале декабря были выявлены и пресечены действия группы мошенников, работающей в международных масштабах. В субботу, 2 декабря, сотрудниками банка было зафиксировано несколько подозрительных транзакций в ряде европейских стран по платежным картам Банка. С целью обеспечения безопасности клиентов банком оперативно были заблокированы карты, входящие в зону риска. В соответствии с действующими правилами, незамедлительно были проинформированы платежные системы. Держателям заблокированных карт в кратчайшие сроки бесплатно выпущены новые карты соответствующих категорий. По словам Члена Правления, директора Операционного департамента ВТБ 24 Ольги Канович, «c ростом числа пластиковых карт по всему миру и увеличением оборота по ним растет и число попыток проведения мошеннических операций. Это, к сожалению, общемировая тенденция, от которой не застрахован ни один банк. Накопленные статистические данные и применяемые банком новейшие методы мониторинга транзакций по платежным картам позволяют оперативно отслеживать попытки мошеннических операций и быстро реагировать на них, обеспечивая охрану интересов наших клиентов». Слаженная и оперативная работа служб банка позволила минимизировать ущерб — мошенникам удалось осуществить снятие средств с ограниченного количества карт. Клиентам будут возмещены все средства в полном объеме.Ольги Канович Новости банка 08.12.2006 В ВТБ 24 пресечена попытка мошенничества с пластиковыми картами http://www.vtb24.ru/news/pressrelease/3020.htm

7. Отказ в обслуживании Denial of Service - DoS DoS

8. 6 компаний - суммарный убыток $ 0,624 млн. за раз (источник АМТ) Убытки от хакерской атаки Убытки от хакерской атаки

9. Потери в долларах по типу атаки CSI представляет отчет о результатах исследования в свободный доступ на сайте GoCSI.com

10. Международная практическая конференция по вопросам борьбы с киберпреступностью и кибертерроризмом 19 апреля 2006 года в Москве В мероприятии приняли участие: Министр внутренних дел РФ Рашид Нургалиев, представители Государственной Думы РФ, Совета Безопасности, международные эксперты. « в 1998 году в системе Министерства внутренних дел были созданы специализированные подразделения по борьбе с киберпреступлениями». Глава МВД РФ генерал армии Рашид Нургалиев «с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно». Начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников http://sartraccc.sgap.ru/Press/cyber_crim.htm

11. Технический комитет №362 «Защита информации» Подкомитет №3 « Защита информации в кредитно- финансовой сфере » (Сберегательный банк РФ, “Альфа-банк”, Россельхозбанк, банки «Петрокоммерц» и «Российский кредит», ММВБ, Институт банковского дела АРБ, международная аудиторская фирма KPMG и другие) http://www.techcom3623.ru

12. ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) СТАНДАРТ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ Москва 2004 СТО БР ИББС-1.0-2004 Вестник №68, 2004 http://www.cbr.ru/vestnik/main.asp?file=vestnik_n_doc_04.htm

13. СТАНДАРТЫ 2007

14. РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ 2007

15. Позиция Банка России Создание серии стандартов по информационной безопасности в кредитно- финансовой сфере с опорой на стандарты управления безопасностью и аудита ISO 17799, BS 7799, ISO 13335, ISO 9000, COBIT, OCTAVE, ГОСТ Р ИСО/МЭК 15408 – 2002 использование лучших мировых практик управления рисками и управления персоналом

16. В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал что, в Европе давно перешли от качественной оценки угроз информационной безопасности к определению количественных величин информационных рисков, которые входят в состав операционных рисков и актуализируются с дальнейшим развитием ИТ.

18. «Report on Widening Gap» "Отчет о расширяющейся пропасти" Риски, вызванные постоянным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по информационной безопасности не успевает адекватно отреагировать на них. Компания Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005".

19. "Международный Обзор по Информационной Безопасности за 2005 год" Компания Делойт в СНГ опубликовала новое глобальное исследование. Человеческий фактор – главная угроза информационной безопасности в крупнейших мировых финансовых организациях. Bankir.Ru www.deloitte.com

20. Среди новых угроз информационной безопасности, с которыми финансовые организации столкнулись в прошлом году, можно назвать «фишинг», spyware и «фарминг»: Фишинг — вид онлайнового мошенничества, цель которого — получить идентификационные данные пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователь рискует сообщить преступникам ценную информацию, например, номер своей кредитной карты. spyware — хищение идентификационных данных пользователей с помощью так называемого шпионского программного обеспечения

21. Количество подставных сайтов 2004 - 2005 г. Бум фишинга Источник: mi2g,

22. МОДЕЛЬ НАРУШИТЕЛЯ Статистика преступлений против банков 1990-2000гг (без учета российских банков) 24% 76%

23. CNews.ru Больше 100 тыс. новых фишинговых сайтов было создано только за последнюю неделю, согласно отчету исследовательской компании X-Force. Она идентифицировала, изучила и классифицировала 114 тыс. новых фишинговых сайтов с 11го по 18ое июня текущего 2007 года, сообщает mocoNews. Согласно этой информации, 99,8% этих сайтов было создано с помощью средств автоматического фишинга. Гюнтер Ольманн (Gunter Ollmann), глава отдела безопасности IBM ISS, считает, что за последнее время наблюдается колоссальный скачок количества фишинговых сайтов, за созданием которых стоит организованная преступность. Патриция Мартин (Patricia Martin), вице-президент сети банков Regions в США, сказала, что огромное количество банков стали жертвами фишинговых атак за последние несколько месяцев. http://www.cert.uz/

24. Insider Threat Study: Illicit Cyber Activityin the Banking and Finance Sector Marisa Reddy Randazzo, Ph.D. Dawn Cappelli Michelle Keeney, Ph.D. Andrew Moore,Eileen Kowalski CERT® Coordination Center National Threat Assessment Center Software Engineering Institute United States Secret Service Carnegie Mellon University Washington, DC Pittsburgh, PA August 2004 http://www.cert.org/archive/pdf/bankfin040820.pdf (Служба реагирования на компьютерные инциденты)

25. Секция «Кибернетический терроризм» российско- американского семинара (Президиум РАН, 2003 год) «Истина состоит в том, что мы не знаем, как создавать надежные информационные системы». …Главный вывод – необходима «разработка совершенно новых методов обеспечения безопасности информационных систем». Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский университет США). ppt

26. Из выступления руководителей американской делегации Уильяма А. Вульфа (Президент Национальной инженерной академии США) и Аниты К. Джонс (Виргинский ун-т США). Что необходимо сделать? Чтобы повысить уровень кибернетической безопасности необходимо решить следующие 4 первоочередные задачи: 1. Создать новую модель компьютерной защиты вместо прежней модели «круговой обороны». 2. Ввести новое определение «компьютерной безопасности». 3. Перейти к активной обороне. 4. Скоординировать действия «кибернетических сообществ», законодательной системы и систем надзора… Практическое определение понятия безопасности должно быть более сложным, чем конфиденциальность, целостность и отказ в предоставлении услуги. Свое понятие безопасности должно быть выработано для каждой существующей реалии….

27. Положение ЦБР от 16 декабря 2003 г. N 242-П"Об организации внутреннего контроля в кредитных организациях и банковских группах" 1.2. Внутренний контроль осуществляется в целях обеспечения: 1.2.1. …Постоянное наблюдение за банковскими рисками; 1.2.2. Достоверности, полноты, объективности… а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений).

28. Заинтересованность коммерческих банков в решении проблем информационной безопасности Результаты опроса 200 респондентов

29. Предложение по определению термина «информационная безопасность» (на «законных» основаниях ФЗ «О техническом регулировании») «информационная безопасность – состояние информации при допустимом риске ее уничтожения, изменения или раскрытия, связанном с причинением вреда владельцу или пользователю информации» Достоинства нового определения: Гармонизация положений новых стандартов (ГОСТ Р ИСО/МЭК 15408-1- 2002, 27001, 17799) и прежнего научно-технического задела. Получение метрик информационной безопасности.

30. Статья 3. Целями деятельности Банка России являются: …………………………………………………………… ………………………………. обеспечение эффективного и бесперебойного функционирования платежной системы. Получение прибыли не является целью деятельности Банка России. Федеральный закон от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"

31. Федеральный закон «О банках и банковской деятельности» (с изменениями от 31 июля 1998 г., 5, 8 июля 1999 г., 19 июня, 7 августа 2001 г.,21 марта 2002 г.) Глава I. Общие положения Статья 1. Основные понятия настоящего Федерального закона Кредитная организация - юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности.........

32. Две цели – две архитектуры

33. R-суммарные издержки n-количество рисков А-вероятный риск В-стоимостная оценка риска С-стоимость реализации мер защиты Rmax-оценка допустимого риска Обобщенный критерий защищенности информации в АБС (из методики французской банковской комиссии) С защита < С выгода < У ущерб системы нарушителя владельца

34. Спасибо за Ваше внимание! bisko2003@list.ru СКОРОДУМОВ БОРИС ИВАНОВИЧ