Безопасность информационных технологий

Основная задача банковского риск-менеджмента состоит в оптимизации банковских бизнес-процессов. Актуальность выбранной темы обусловлена необходимостью проработки оценки риска воздействия кибератак (РВКа) на системы электронного банкинга (СЭБ). Цель статьи – формализация алгоритма оценки РВКа в организациях кредитно-финансовой сферы. Решаемые в работе задачи направлены на развитие оценки риска для решения существующих и потенциальных проблем и с учётом новых систем и инноваций, которые уже проникли в нашу жизнь и которые ожидают нас в будущем. Сформулировано определение РВКа на СЭБ. Внимание уделяется необходимости использования математических моделей оценки показателей эффективности системы менеджмента информационной безопасности (СМИБ). Обсуждены некоторые методы оценки риска, в том числе с учётом постоянно растущих вычислительных возможностей и доступности кибератак. Анализируется расчёт требований к капиталу, резервируемому для покрытия потерь в ходе операционной деятельности банка, предлагаемый соглашением Базельского комитета по банковскому надзору (Basel II). Рассмотрены варианты количественной оценки риска разными экспертами. Подробно описывается количественная оценка эффективности кибероружия, которая зависит от обстоятельств, отягчающих ответственность взломщика. Цель оценки риска заключается в представлении объективной информации, необходимой для принятия решения об обработке риска. Делаются выводы об избыточных функциях безопасности, которые снижают качество безопасности. Приведены примеры рудиментарных компонентов СМИБ. Подчёркнуты различия между неэмбоссированной пластиковой картой «Золотая корона» и картами других платёжных систем. В заключении говорится о построении структуры управления РВКа. Результаты работы могут быть использованы для более детальных исследований РВКа на СЭБ.

киберпространство, кибербезопасность, кибератаки, электронный банкинг, оценка риска, Базельский комитет по банковскому надзору

1. 1. E. Zio. The future of risk assessment. Reliability Engineering & System Safety, vol. 177, September 2018, P. 176–190. URL: https://doi.org/10.1016/j.ress.2018.04.020.

2. ISO/IEC 27032:2012. Information technology. Security techniques. Guidelines for cybersecurity // International Organization for Standardization. URL: http://www.iso.org/standard/44375.html (дата обращения: 05.03.2019).

3. Костогрызов А.И., Лазарев В.М., Любимов А.Е. Прогнозирование рисков для обеспечения эффективности систем информационной безопасности в их жизненном цикле // Правовая информатика. 2013. № 4. С. 4–16.

4. Разработка методики проверки сведений, предоставляемых при заключении договора о банковском обслуживании, на основе риск-ориентированного подхода: отчёт о НИР (заключительный) / Финансовый университет при Правительстве Российской Федерации, Руководитель Шеремет И.А.; исполнители: Дворянкин С.В., Евсеев В.Л., Скородумов Б.И., Велигура А.Н., Крылов Г.О., Овчинникова Ю.Е., Устинов Р.А., Бердюгин А.А., Воеводин А.Ю. М.: 2017. 191 с. № ГР АААА-А17-117060110141-9.

5. Алескеров Ф.Т., Андриевская И.К., Пеникас Г.И., Солодков В.М. Анализ математических моделей Базель II. – М.: ФИЗМАТЛИТ, 2013. – 296 с.

6. Волков А.А. Управление рисками в коммерческом банке: практическое руководство. – М.: Издательство «Омега-Л», 2015. – 156 с.

7. Ревенков П.В. Внутренний контроль в банках: оценка риска воздействия компьютерных атак // Финансы и кредит. 2019. Т. 25, № 3. С. 500–513. URL: https://doi.org/10.24891/fc.25.3.500.

8. Кузнецов А.В., Ненашев С.М. Способ определения регистрируемых событий // Вопросы кибербезопасности. 2015. № 5 (13). С. 23–25.

9. Славин Б.Б. В «обществе 5.0» главную движущую силу развития составляют наукоемкие знания // БИТ. Бизнес & Информационные технологии. 2019. № 1 (84). С. 56–59.

10. Ревенков П.В., Бердюгин А.А. Компьютерные атаки как источник операционного риска в условиях электронного банкинга // Финансы и кредит. 2018. Т. 24, № 3. С. 629–640. DOI: 10.24891/fc.24.3.629.

11. Расторгуев С.П. О проявлении скрытых в структуре системы предрасположенностей // Информационные войны. 2017. № 1 (41). С. 92–97.

12. Астье, Жан Ив; Жуков, Игорь Юрьевич; Мурашов, Олег Николаевич. Системы управления «умный дом» и Интернет вещей. Безопасность информационных технологий, [S.l.], v. 24, n. 3, p. 18-29, july 2017. ISSN 2074-7136. Доступно на: (дата обращения: 01. 03. 2019). doi:http://dx.doi.org/10.26583/bit.2017.3.02.

13. Barabanov A.V., Markov A.S., Tsirlov V.L. Statistics of software vulnerability detection in certification testing, Journal of Physics: Conference Series (см. в книгах), 2018, vol. 1015, P. 042033. DOI: 10.1088/1742-6596/1015/4/042033.

14. Синки Дж. Финансовый менеджмент в коммерческом банке и в индустрии финансовых услуг. – М.: Альпина Бизнес Букс, 2017. – 1018 с.

15. Козлов Ю.Е., Евсеев В.Л. Мультимодальная трехмерная динамическая подпись // Безопасность информационных технологий. 2017. Т. 24. № 4. С. 44–51.