Разработка процедуры оценки рисков

На основе разработанного ОАО ««Центр банковских технологий» кодекса установившейся практики "Банковские технологии. Управление рисками в сфере информационных технологий" и лучших международных практик наши специалисты могут обеспечить целостную и продуктивную работу по процедуре оценки рисков, связанных с применением информационных технологий в деятельности вашего банка.

Вся работа разбита на определённые этапы и занимает 95 дней. Всё начинается  с создания в банке рабочей группы по координации работ по разработке и внедрению процедуры оценки рисков, связанных с применением информационных технологий в деятельности определённого банка. В состав рабочей группы в обязательном порядке включаются специалисты и руководители следующих подразделений:

  • управления информационных технологий;
  • службы внутреннего аудита ИТ;
  • службы информационной безопасности;
  • службы управления банковскими рисками;


а также других заинтересованные структурные подразделений банка, которые в будущем будут реализовывать на постоянной основе процедуру управления ИТ-рисками.

Далее разрабатывается и проводится информационное обследование (анкетирование) банка, с целью определения общего списка информационных активов и их владельцев, для последующего анализа. На основе анализа полученных данных и установленных зависимостей схематически представляется модель информационной инфраструктуры банка для установления границ рассмотрения информационных активов (Выполнение процедур данного этапа позволяет определить, какие объекты информационной инфраструктуры банка выбраны для анализа ИТ-рисков, а какие остались за его рамками на основании анкетирования).

Затем выбирается и согласовывается метод оценки информационных активов с учётом важности их для деятельности банка.На последующем этапе работ проводится повторное анкетирование для выявления стоимости активов в рамках установленных границ на основании выбранного метода оценки информационных активов. Активы, включенные в установленные границы рассмотрения, должны быть обнаружены, и наоборот, - любые активы, выведенные за границы рассмотрения (независимо от того, по каким соображениям это было сделано), должны быть рассмотрены еще раз с тем, чтобы убедиться, что они не были забыты или упущены.

На основании анкет проводится группирование информационных активов по степени важности для банка и согласовывается ранжированных список информационных активов.Далее проводится работа по идентификации ИТ-рисков банка и выбирается метод оценки этих рисков. Затем проводится экспертная оценка и ранжирование ИТ-рисков, которые потенциально могут воздействовать на наибольшее количество критично важных информационных активов банка.
На следующем  этапе проводится выбор целей и средств контроля и контрмер для обработки ИТ-рисков. При данном выборе принимают во внимание критерии необходимости обработки ИТ-риска, а также требования нормативных правовых актов, организационной структуры банка, договорных отношений со сторонними организациями, целей и бизнес-процессов банка, влияющих на возникновение, повышение уровня или реализацию ИТ-рисков.

На заключительном этапе работ разрабатывается документ «Процедура оценки ИТ-рисков банка», включающего описание необходимых этапов по оценке ИТ-рисков, рекомендации по организации дальнейшей поддержки процедуры оценки ИТ-рисков.

Данная услуга уже успешно реализована в ОАО «Белагропромбанк».

 
© ОАО “Центр банковских технологий”, 2015