Анализ и оценка рисков информационной безопасности в АО "ЮниКредит Банк" с использованием разработанной методики - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"
Комплексный анализ и оценка рисков даже небольшой части информационной системы банка по разработанной методике - это крайне сложная и ответственная задача. В данной работе мы ограничимся проверкой логичности полученного алгоритма на примере АО "ЮниКредит Банк", а также качественной и количественной оценкой риска от реализации двух угроз, связанных с получением доступа к ресурсу. При расчете будем использовать метод анализа угроз и уязвимостей.
Первый этап - подготовительный.
1. Определяем критерии принятия риска.
Риск является допустимым, если на этапе качественной оценки риска ему будет присвоена оценка 1 или 2 по шкале от 1 до 7.
2. Определяем границы исследуемой системы.
В связи с тем, что мы ограничены в информации обо всей ИС банка, рассмотрим в качестве исследуемой системы рабочее место сотрудника отдела целевого маркетинга и клиентской аналитики.
- 3. Назначаем роли:
- - ответственный за коррекцию методики оценки рисков в случае обнаружения ее недостаточной эффективности; - ответственный за нарушение подхода к оценке рисков; - ответственный за оценку рисков нарушения ИБ; - ответственный за разработку планов обработки рисков нарушения ИБ.
Второй этап - более подробное описание исследуемой системы. В силу того, что мы ограничиваем исследуемую ИС до рабочего места сотрудника, выделим самые значительные ресурсы и наиболее ценную информацию в них (Таб.3).
Таблица 3
Самые ценные ресурсы исследуемой системы
Класс ресурса |
Ресурс |
Информация |
Критичность ресурса, D |
Аппаратный |
Рабочая станция |
Финансовая отчетность |
= 10 |
Конфиденциальная информация о работе отдела | |||
= 2 | |||
Персональные данные клиентов | |||
= 5 | |||
Инф. о счетах | |||
Инф. о транзакциях | |||
Корпоративная электронная почта | |||
Программный |
SAS Enterprise Guide |
Персональные данные клиентов |
= 10 |
= 3 | |||
= 4 | |||
Инф. о счетах | |||
Инф. о транзакциях | |||
Lotus Notes |
Корпоративная электронная почта |
= 10 | |
= 7 | |||
= 4 | |||
MyClient |
Персональные данные клиентов |
= 10 | |
= 9 | |||
Финансовая отчетность |
= 7 |
Далее составим перечень угроз и уязвимостей, через которые могут быть реализованы данные угрозы (Таб.4). Экспертами в области информационной безопасности должен быть составлен список вопросов, в результате ответов на которые будут получены оценки критичности ресурсов, критичности реализации угроз и вероятности реализации угроз. Мы назначим данные величины сами.
Выделим две угрозы по ресурсу "Рабочая станция", одна из которых реализуется с помощью двух уязвимостей Это необходимо для более полной апробации алгоритма расчета оценки риска.. Для каждой угрозы рассчитаем показатели конфиденциальности, целостности и доступности ресурса.
Таблица 4
Угрозы безопасности и уязвимости исследуемой системы
Угроза |
Уязвимость |
Критичность реализации угрозы, ER |
Вероятность реализации угрозы, P(V) |
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации |
Автоматический выход из системы происходит только через 10 минут бездействия пользователя | ||
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации |
Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой | ||
Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе |
Третий этап - оценка рисков.
Определяем уровень риска качественным методом:
1. Переводим показатели ER и P(V) из процентов в качественные показатели следующим образом (Таб.5):
Таблица 5
Перевод показателей из количественных в качественные величины
ER |
P(V) | ||
0 - 20% |
"очень низкий" |
0 - 33% |
"низкий" |
21 - 40% |
"низкий" | ||
34 - 66% |
"средний" | ||
41 - 60% |
"средний" | ||
61 - 80% |
"высокий" |
67 - 100% |
"высокий" |
81 - 100% |
"очень высокий" |
2. По матрице оценки рисков методики CRAMM (Рис.3) смотрим, какому уровню соответствует риск реализации угрозы через определенную уязвимость. Результат качественной оценки показан в таблице 6.
Таблица 6
Результат количественной оценки рисков
Угроза |
Уязвимость |
Критичность реализации угрозы, ER |
Вероятность реализации угрозы, P(V) |
Качественная оценка |
Халатность сотрудника: покинул рабочее место без выхода из системы. Результат: открыт доступ к информации |
Автоматический выход из системы происходит только через 10 минут бездействия пользователя |
- "высокий" |
- "низкий" |
6 |
- "очень низкий" |
- "низкий" |
5 | ||
- "средний" |
- "низкий" |
6 | ||
Получение обслуживающим персоналом логина и пароля сотрудника Результат: открыт доступ к информации |
Недостатки организационных мер защиты: сотрудник хранит логин и пароль под клавиатурой |
- "высокий" |
- "низкий" |
6 |
- "очень низкий" |
- "низкий" |
5 | ||
- "средний" |
- "низкий" |
6 | ||
Недостатки организационных мер защиты: обслуживающий персонал работает в то же время, когда и основные сотрудники - есть возможность подсмотреть логин и пароль при вводе |
- "высокий" |
- "низкий" |
6 | |
- "очень низкий" |
- "низкий" |
5 | ||
- "средний" |
- "низкий" |
6 |
В результате качественной оценки получаем, что ни один риск не является приемлемым, а значит необходимо проведение количественной оценки. Для удобства обозначим первую угрозу, а вторую, при этом будет означать реализацию второй угрозы через первую уязвимость, а - реализацию второй угрозы через первую уязвимость с нарушением свойства конфиденциальности ресурса.
Определяем уровень риска количественным методом:
1. Рассчитываем уровень угрозы по конкретной уязвимости:
- 2. Рассчитываем уровень угрозы по всем уязвимостям (для первой угрозы данный показатель уже рассчитан, так как она может быть реализована только через одну уязвимость): 01 3. Рассчитываем общий уровень угроз по ресурсу: 4. Рассчитывается риск по ресурсу:
5. Расчет риска по информационной системе для нас невозможен, так как в данной работе мы ограничиваемся оценкой риска по одному ресурсу.
Четвертый этап - составление краткосрочных, среднесрочных и долгосрочных планов обработки рисков и усовершенствования СЗИ.
Пятый этап - генерация отчетов. На этом шаге также рассчитываются финансовые показатели: ROI, ALE, затраты на реализацию планов обработки рисков.
Похожие статьи
-
Какими особенностями должен обладать процесс анализа и оценки рисков информационной безопасности банка, чтобы обеспечить ему наиболее эффективную систему...
-
Где - риск по системе по угрозам конфиденциальность; - риск по системе суммарно по трем видам угроз. Для режима работы в уровнях: Где - риск по системе...
-
Процесс анализа и оценки рисков является одним из ключевых этапов наиболее известных методик построения систем защиты информации, таких как Symantec...
-
"Риск информационной безопасности - это потенциальная возможность понести убытки из-за нарушения безопасности информационной системы."[3] Риск может быть...
-
Введение - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"
Сегодня анализу рисков информационной безопасности уделяется все больше внимания. Этому есть несколько основных причин: безостановочный рост...
-
В связи с тем, что анализ и оценка рисков информационной безопасности должна проводиться экспертами в данной области при участии менеджеров всех уровней,...
-
Очевидно, что среди описанных в данной работе методик нет идеального варианта для кредитных организаций, так как ни одна компания-разработчик не ставила...
-
В процессе выбора, какому банку доверить свои финансы и операции над ними, человек оценивает различные варианты кредитных организаций по нескольким...
-
Как уже было сказано ранее, анализ рисков информационной безопасности сам по себе, в отрыве от процесса построения и поддержания в актуальном состоянии...
-
В настоящее время информация очень часто рассматривается как наиболее ценный ресурс. Это неудивительно, так как в современном компьютеризированном мире...
-
На данный момент БЦК использует для оценки группы риска отдельной ссуды и кредитного портфеля в целом Инструкцию НБ РК от 30.06.97 г. N062а. Согласно...
-
В последние годы экономические риски для банков Казахстана сократились, что стало одним из основных факторов укрепления банковского сектора. У Казахстана...
-
Из-за неоднозначности трактовки эффективности деятельности коммерческого банка и многоаспектности этого понятия в настоящее время не существует также и...
-
Экономико-правовая характеристика банка Банк ЦентрКредит образован 19 сентября 1988 года. Первое название одного из первых кооперативных банков СССР -...
-
Заключение - Банковские риски и методы их оценки (на примере БТА)
В ходе исследования в рамках данной дипломной работы было выяснено, что риски играют значительную роль в финансовой сфере, не говоря уже о нашей...
-
Введение - Банковские риски и методы их оценки (на примере БТА)
Банк риск управление Быстрые темпы развития финансового рынка в последние годы, появление новых продуктов, развитие финансовых групп, как показатель...
-
Внедрение методики оценки эффективности коммерческих банков В условиях бурного развития рынка финансовых услуг, наблюдающегося в мировой экономике на...
-
Управление и методы регулирования рисками в банке Управление риском - важная составляющая банковской деятельности АО "Банк ЦентрКредит", направленная на...
-
Помимо методики, разработанной ЦБ РФ в целях осуществления надзора над деятельностью кредитных организаций, существует большое количество других подходов...
-
Методы оценки банковских рисков - Банковские риски и методы их оценки (на примере БТА)
Многообразие возможных рисков и рисковых ситуаций обусловлено Фактором неопределенности. Проявление рисковой ситуации состоит в отклонении фактических...
-
Одним из важнейших элементов методики анализа кредитоспособности заемщика является его информационная база. Особенность формирования и использования базы...
-
Сущность финансовых рисков и их место в общей системе банковских рисков В экономической теории под риском понимается довольно большой спектр как...
-
Кредитный риск (риск контрагента) представляет собой риск нарушения должником условий договора или иного способа невыполнения обязательств. Такой риск...
-
Для построения модели оценки кредитного риска с использованием модели VaR обработке подверглись данные по кредитам, выданным коммерческим банком...
-
В результате проделанной работы Список использованной литературы 1. Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности". 2....
-
Теперь, когда на основе наиболее активно использующихся методик анализа и оценки рисков информационной безопасности, а также стандартов и рекомендаций...
-
Проблемы оценки кредитоспособности заемщика в банке "Авангард" Как показывает мировая практика, значительная часть дохода банков формируется в результате...
-
Управление кредитными рисками осуществляется в соответствии с нормативными документами Банка России, принципами и методиками, выработанными Базельским...
-
Управление рисками является одной из составляющих системы корпоративного управления банка. Система управления кредитными рисками включает в себя...
-
Экономико-правовая характеристика банка Закрытое акционерное общество "Банк ТуранАлем" было основано 15 января 1997 года в результате слияния двух...
-
Подходы к управлению банковскими рисками - Банковские риски и методы их оценки (на примере БТА)
Залогом выживаемости и основой стабильного положения предприятия служит его устойчивость. Различают общую, ценовую, финансовую устойчивость т. п....
-
Система управления рисками - это целый комплекс действий по снижению издержек банка и возможных потерь, связанных с рисками. Его цель - сведение до...
-
Сущность, цель и задачи оценки финансового состояния кредитной организации, основные типы методик Согласно законодательству Российской Федерации,...
-
Методика оценки финансового состояния кредитной организации, предложенная ЦБ РФ, регулируется Указанием Банка России от 31.03.2000 №766-У (ред. от...
-
Кризисные явления в денежно-кредитной системе ставят коммерческие банки перед необходимостью искать эффективные методы и инструменты управления рисками....
-
Наряду с функциональным, структурным и факторным видами анализа, раскрывающими процессы формирования денежных потоков и финансового состояния банка,...
-
Именно с кредитованием связана значительная часть прибыли банка. Одновременно невозврат кредитов, особенно крупных, может привести банк к банкротству, а...
-
Анализ кредитных рисков в банковской системе России В качестве основного вида деятельности коммерческого банка выступает кредитование клиентов. В...
-
Риск ликвидности проявляется в двух формах: риск рыночной ликвидности, свя занный с невозможностью проведения операций по уровням около текущей цены;...
-
В настоящее время банковские информационные системы позволяют автоматизировать практически все стороны банковской деятельности. Автоматизация банковских...
Анализ и оценка рисков информационной безопасности в АО "ЮниКредит Банк" с использованием разработанной методики - Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"