• вироблення пропозицій з управління ризиками за допомогою організаційних, адміністративних і технічних заходів і засобів захисту інформації.
Результат виконання:
• звіт з описом реальних загроз безпеки інформації та вразливостей системи, а також розрахунком всіх можливих інформаційних ризиків банку і прогнозом їх реалізації.
• результати аналізу та оцінки використовуються при виборі адекватних оптимальних методів парирування загроз, а також для складання бюджету подальших робіт із захисту інформації та побудови системи парирування загроз, адекватної самим загрозам.
Оцінка інформаційних ризиків.
Розвиток ІТ-інфраструктури банку незмінно тягне за собою неконтрольоване зростання кількості інформаційних загроз і вразливостей інформаційних ресурсів. У цих умовах оцінка інформаційних ризиків дозволяє визначити необхідний рівень захисту інформації та здійснювати його підтримку, а також виробити стратегію розвитку інформаційної структури банку.
Точно визначити можливий збиток від більшості інформаційних і телекомунікаційних ризиків (IT-ризиків) досить складно, але приблизно оцінити їх цілком можливо.
Позначимо основні статті витрат, які несе банк у процесі створення і експлуатації системи ризик-менеджменту.
1. Побудова технології управління ризиками: визначення стратегії банку, створення карти ризиків, визначення вартості ризиків, визначення методів контролю ризику та управління ризиком.
2. Підбір, придбання і впровадження програмного забезпечення (ПЗ).
3. Регламентування бізнес-процесів.
4. Підтримка технології в актуальному стані.
5. Ведення даних.
6. Супровід ПЗ.
Усі ці витрати можуть бути оцінені кількісно - у грошовому вираженні або у трудовитратах.
Для прийняття рішення про доцільність впровадження тієї чи іншої технології управління ризиками та купівлі ПЗ, що підтримує обрану технологію, банк, як правило, порівнює плановані витрати на впровадження і прогнозований ефект від впровадження. При розрахунку слід врахувати не тільки разові витрати в ході впровадження, а також вартість підтримання технології в актуальному стані і супроводу ПЗ. Ефект від впровадження системи - довготривалий. На нашу думку, при визначенні вартості впровадження технології управління ризиками слід розраховувати не менш ніж на п'ять років функціонування системи та екстраполювати прогнозований ефект відповідно.
Розробка і реалізація політики з мінімізації інформаційних та телекомунікаційних ризиків (IT-ризиків) не принесе користі, якщо рекомендовані стандарти і правила невірно використовуються, наприклад, якщо співробітники не навчені їх застосування і не розуміють їх важливості. Тому робота по забезпеченню IT-безпеки повинна бути комплексною та продуманою [16].
Страхування ризиків як елемент управління.
У якості одного з основних економічних методів управління інформаційними ризиками, пропонується "створення системи страхування інформаційних ризиків фізичних та юридичних осіб" [2]. Страхування як таке не знижує ризики, проте зменшує фінансові втрати страхувальника при настанні страхового випадку. Незважаючи на те що ця ефективна система управління інформаційними ризиками юридично декларована в Росії досить давно, ринок послуг страхування на сьогоднішній день ще не сформувався - в основному через відсутність добре зарекомендували себе методів оцінки їх вартості.
Як у світовій, так і в російській практиці безпосередньо інформація страхується в розмірі витрат, необхідних для її відновлення. При такому підході страхова компанія відшкодовує витрати на оплату понаднормової роботи співробітників банку, залучення фахівців сторонніх організацій, а також інші доцільні витрати, спрямовані на відновлення втраченої інформації. Але страхування інформаційних ризиків не може зводитися тільки до страхування інформації. Повинні страхуватися взагалі ризики, пов'язані з інформаційними технологіями, а до них належать ризики втрати фінансових активів, ризики зупинки комерційної діяльності, ризики, пов'язані з виникненням громадянської відповідальності. Перш за все це страхування від злочинів у сфері інформаційних технологій: дій комп'ютерних вірусів, несанкціонованого доступу до інформації, крадіжки або ненавмисної втрати носіїв інформації, фінансового шахрайства з використанням інформаційних технологій. Об'єктами страхування в цьому випадку можуть бути:
фінансові активи в електронній формі, в тому числі в системах клієнт-банк;
- Білінгові системи;
- Центри сертифікації (засвідчувальні центри);
- Web-сервери, в тому числі віртуальні;
- ERP-системи та засоби захисту;
- Бази даних на будь-яких носіях інформації;
- Цінна інформація, для якої існує ймовірність втрати без можливості відновлення.
Виходячи з наведеної класифікації ризиків та враховуючи, що інформація належить до одного з видів об'єктів цивільних прав, а отже, до системи товарних і майнових відносин (ст. 128; ст. 129; ст. 139 Цивільного кодексу РФ № 51-ФЗ від 30 листопада 1994 р. з ізм. і доп.), можна зробити висновок, що інформаційні ризики відносяться до чистих, майновим, виробничим ризикам.
Інформаційні ризики виступають об'єктом страхування майнових інтересів юридичних і фізичних осіб, пов'язаних з володінням, розповсюдженням, користуванням та розпорядженням інформацією. Це може бути як майнове страхування (пов'язане з володінням, користуванням, розпорядженням інформацією як об'єктом цивільних прав), так і страхування відповідальності (пов'язаної з відшкодуванням страхувальником заподіяної ним шкоди особі або майну фізичної особи, а також шкоди, заподіяної юридичній особі). Наприклад, можливе страхування відповідальності, яка виникає у зв'язку з перервами в діяльності банку; поганий технічною підтримкою клієнтів (збитки клієнтів у вигляді неодержаного прибутку за Через порушення в каналах зв'язку); недостатніми заходами щодо захисту даних, що належать третім особам; ненавмисним розголошенням конфіденційної інформації; помилками у програмних продуктах, внаслідок яких завдається шкода користувачам [13].
Страхування передбачає послідовне виконання кількох обов'язкових кроків:
· Пошук страхової компанії;
· Узгодження умов і пропозицій по страхуванню;
· Проведення експертизи страхувальника;
· Виконання рекомендацій, отриманих в результаті експертизи;
· Підписання договору про страхування.

3.2 Рекомендації щодо організації управління операційним ризиком у ВАТ "АКІБАНК"
Одна з найяскравіших сучасних тенденцій у банківській справі перехід до електронного способу ведення бізнесу, кардинальним чином зраджує співвідношення між різними видами ризику, з якими стикаються банки [24].
Підводячи підсумки вищевикладеного, можна відзначити наступні основні риси, притаманні сфері електронних банківських послуг і надають важливий вплив на співвідношення окремих категорій банківського ризику:
- Вихід за межі окремих країн і за межі фінансового сектора в цілому, вимагає співпраці установ банківського нагляду з наглядовими органами інших країн і галузей;
- Сильна залежність від прогресу інформаційних та комунікаційних технологій, що призводить до різкого збільшення стратегічних та операційних ризиків;
- Динамічність розвитку, що відбивається в скороченні інноваційних циклів (з точки зору як фінансових інструментів, так і банківських технологій) і, отже, в підвищенні значення стратегічного ризику;
- Зростання орієнтованості на клієнтів у зв'язку зі зменшенням інформаційних асиметрій (нерівномірності розподілу інформації між банками та клієнтами), що веде до збільшення правового та репутаційного ризиків;
- Загострення конкуренції в банківському бізнесі, що несе за собою підвищення загального рівня системного ризику.
Рекомендації з управління інформаційними ризиками. Коректуючи корпоративну політику інформаційної безпеки і оптимізуючи архітектуру інформаційної системи банку з точки зору підвищення захищеності інформаційної системи, впровадження рекомендацій дозволяє підвищити ефективність системи управління ІБ і оптимізувати витрати на неї по співвідношенню ціна / допустимий рівень інформаційних ризиків.
Рекомендації з контролю за поточним рівнем ризику. Здійснюючи контроль за виконанням заходів і вимог щодо забезпечення інформаційної безпеки, а також рівнем інформаційного ризику критично важливих компонентів системи, впровадження рекомендацій забезпечує не тільки дотримання мінімального рівня інформаційних ризиків, але і допомагає оцінити ефективність заходів щодо захисту інформації.
Кредитним організаціям рекомендується на регулярній основі переглядати існуючі внутрішні процеси і процедури, які використовуються інформаційно-технологічні системи з метою виявлення не облікованих раніше джерел операційного ризику.
Кредитним організаціям рекомендується приділяти особливу увагу забезпеченню збереження і можливості відновлення інформаційних систем і ресурсів. Приміщення для установки резервного обладнання чи устаткування, на яке має здійснюватися резервне копіювання інформації, рекомендується вибирати так, щоб мінімізувати ризик одночасної втрати первинної і резервної копії даних або одночасного виходу з ладу основного та резервного обладнання.
Кредитним організаціям рекомендується поряд з веденням аналітичної бази даних про понесені операційних збитках на постійній основі з використанням різних джерел збирати та аналізувати інформацію про випадки операційних збитків в інших кредитних і фінансових організаціях.
Кредитним організаціям рекомендується регулярно проводити оцінку операційного ризику в цілому по кредитній організації і його розподілу в розрізі напрямків діяльності кредитної організації, внутрішніх процесів, інформаційно-технологічних систем і банківських продуктів, що становлять ці напрямки діяльності.
Кредитної організації рекомендується визначати періодичність здійснення моніторингу операційного ризику на основі його суттєвості для відповідного напрямку діяльності, внутрішнього процесу або інформаційно-технологічної системи.
В якості індикаторів рівня операційного ризику можуть бути використані відомості про кількість зірваних або незавершених банківських операцій та інших угод, збільшення їх частоти і (або) обсягів, плинності кадрів, частоті допускаються помилок і порушень, часу (тривалості) простою інформаційно-технологічних систем та інших показниках.
Контроль над рівнем ризиків у Відділі повинен бути спрямований на обмеження ризиків, прийнятих банком, і на забезпечення порядку проведення операцій і операцій, який сприяє досягненню встановлених банком цілей і завдань, при дотриманні вимог законодавства, нормативних актів Банку Росії, стандартів професійної діяльності та правил ділових звичаїв.
Як показує досвід багатьох російських банків, найбільш успішні стратегії попередження інформаційних та телекомунікаційних ризиків (IT-ризиків) базуються на трьох основних правилах.
Правило № 1. Доступ співробітників до інформаційних систем і документів компанії повинен бути різний залежно від важливості і конфіденційності змісту документа.
Правило № 2. Банк повинен контролювати доступ до інформації та забезпечувати захист уразливих місць інформаційних систем.
Правило № 3. Інформаційні системи, від яких безпосередньо залежить діяльність банку (стратегічно важливі канали зв'язку, архіви документів, комп'ютерна мережа), повинні працювати безперебійно навіть у разі кризової ситуації [12].
Для забезпечення необхідного захисту від інформаційних і телекомунікаційних ризиків та контролю безпеки можна провести наступні заходи.
1. Визначити коло осіб, відповідальних за інформаційну безпеку, створити нормативні документи, в яких будуть описані дії персоналу банку, спрямовані на запобігання інформаційних та телекомунікаційних ризиків (IT-ризиків), а також забезпечити резервні потужності для роботи в критичній ситуації.
2. Розробити єдині стандарти інформаційних систем в рамках організації, тобто перейти до єдиних звітних формах, а також єдиними правилами розрахунку показників, які будуть застосовуватися у всіх програмних продуктах банку, використовуваних для цієї мети.
3. Класифікувати дані за ступенем конфіденційності і розмежувати права доступу до них.
4. Стежити за тим, щоб будь-які документи, які звертаються усередині організації, створювалися за допомогою систем, централізовано встановлених на комп'ютерах. Установка будь-яких інших програм повинна бути санкціонована, інакше ризик збоїв і вірусних атак різко зросте.
5. Впровадити засоби контролю, що дозволяють відстежувати стан всіх корпоративних систем: у разі несанкціонованого доступу система повинна або автоматично забороняти вхід, або сигналізувати про небезпеку, щоб персонал міг вжити заходів.
Крім перерахованих заходів необхідно підготуватися до наслідків можливих кризових ситуацій та описати дії банку по виходу з кризи. Для цього слід:
· Проаналізувати сценарії проникнення сторонніх осіб або не мають відповідних повноважень співробітників банку у внутрішню інформаційну мережу, а також провести навчальні заходи з метою відпрацювання моделі поведінки співробітників, відповідальних за інформаційну безпеку, в кризових ситуаціях;
· Розробити варіанти вирішення проблем, пов'язаних з кадрами, включаючи догляд з банку ключових співробітників, наприклад скласти і ознайомити персонал з планом наступності управління банку;
· Підготувати запасні інформаційні потужності (сервери, комп'ютери), а також резервні лінії зв'язку.
Якщо бізнес банку багато в чому залежить від стану її інформаційних мереж, необхідно призначити відповідального за розробку, впровадження та контроль виконання корпоративних правил, спрямованих на зниження IT-ризиків. Бажано, щоб такий координатор не мав відношення до IT-структурі банку (наприклад, заступник з безпеки).
Вважається, що співробітник, який не пов'язаний безпосередньо з інформаційними технологіями, буде найбільш об'єктивний при організації заходів з ризик-менеджменту. Його робота повинна оцінюватися за допомогою вимірюваних показників, скажімо, час усунення збоїв у роботі сервера не повинно перевищувати 30 хвилин або ж частота таких збоїв повинна бути не вище, ніж два рази на рік.
Обов'язковою умовою успішного ризик-менеджменту в галузі інформаційних технологій є його безперервність. Тому оцінка IT-ризиків, а також розробка і оновлення планів щодо їх мінімізації повинні проводитися з певною періодичністю, наприклад раз на квартал. Періодичний аудит системи роботи з інформацією (інформаційний аудит), проведений незалежними експертами, буде додатково сприяти мінімізації ризиків.
Пріоритети та перспективи розвитку ВАТ "АКІБАНК" на 2007 рік.
У своїй діяльності Банк концентрується на високоприбутковий і динамічно розвиваються сферах бізнесу, постійно модернізує свою операційну платформу, впроваджує новітні банківські технології й постійно розширює спектр надаваних Банком послуг.
У 2007 році планується розробити та впровадити програму кредитування середнього та малого бізнесу, суть якої полягає в наданні клієнтам гнучких схем кредитування з урахуванням специфіки їхнього бізнесу та галузевих особливостей. Фінансово стійкі і надійні клієнти зможуть в більш короткі терміни отримувати беззаставні або частково забезпечені кредити. Діяльність Банку у сфері організаційного розвитку в 2007 році буде спрямована головним чином на досягнення наступних цілей:
- Підвищення ролі автоматизації і високих технологій;
- Розробка, створення додаткових механізмів контролю банківських ризиків;
- Розвиток механізмів ефективного управління бізнес-процесами.
- Збільшення статутного капіталу до 1570000 тис.рублей;
- Темпи зростання за основними показниками в діапазоні 123% - 160%, що відповідає досягнутим темпам зростання за 2006 рік;

Висновок
Забезпечення інформаційної безпеки - одне з головних завдань сучасного банку. Загрозу можуть представляти не тільки технічні збої, але і неузгодженість даних у різних облікових системах, яка зустрічається чи не в кожного банку, а також необмежений доступ співробітників до інформації.
Робота з мінімізації інформаційних та телекомунікаційних ризиків (IT-ризиків) полягає в попередженні несанкціонованого доступу до даних, а також аварій і збоїв устаткування. Процес мінімізації IT-ризиків слід розглядати комплексно: спочатку виявляються можливі проблеми, а потім визначається, якими способами їх можна вирішити.
Під терміном "Регулювання інформаційних та телекомунікаційних ризиків" зазвичай розуміють комплекс заходів з ідентифікації, аналізу й усуненню виявлених в структурі інформаційної безпеки недоліків, які пов'язані з розробкою, експлуатацією та утилізацією інформаційно-обчислювальних комплексів, відповідно до існуючої нормативно-правової бази та корпоративною політикою безпеки.
Цей процес можна розбити на наступні етапи:
· Визначення та оцінка інформаційних ризиків;
· Вибір і застосування контрзаходів, структурованих за рівнями: адміністративному, процедурному, програмно-технічного;
· Фінансування ризиків;
· Контроль ризиків на всіх етапах життєвого циклу.
Основною метою регулювання ризику використання інформаційних і телекомунікаційних систем є мінімізація його негативного впливу на результати діяльності кредитної організації. В даний час розробка систем оцінки та моніторингу операційного ризику знаходиться в початковій стадії, що не дає можливості органам нагляду затвердити положення, що зобов'язують дотримуватися конкретні методики оцінки або кількісні обмеження рівня ризику. Кредитні організації Російської Федерації тільки починають застосовувати інструменти регулювання даного ризику, що дозволяють будувати процес управління операційним ризиком в залежності від прийнятої в кредитній організації стратегії.
Для регулювання і забезпечення необхідного захисту від інформаційних та телекомунікаційних ризиків (IT-ризиків) та контролю безпеки можна провести наступні заходи:
1.Визначити коло осіб, відповідальних за інформаційну безпеку, створити нормативні документи, в яких будуть описані дії персоналу банку, спрямовані на запобігання IT-ризиків, а також забезпечити резервні потужності для роботи в критичній ситуації.
2. Розробити єдині стандарти інформаційних систем в рамках організації, тобто перейти до єдиних звітних формах, а також єдиними правилами розрахунку показників, які будуть застосовуватися у всіх програмних продуктах банку, використовуваних для цієї мети.
3.Классіфіціровать дані за ступенем конфіденційності і розмежувати права доступу до них.
4.Стежте за тим, щоб будь-які документи, які звертаються усередині організації, створювалися за допомогою систем, централізовано встановлених на комп'ютерах. Установка будь-яких інших програм повинна бути санкціонована, інакше ризик збоїв і вірусних атак різко зросте.
5.Внедріть засоби контролю, що дозволяють відстежувати стан всіх корпоративних систем: у разі несанкціонованого доступу система повинна або автоматично забороняти вхід, або сигналізувати про небезпеку, щоб персонал міг вжити заходів.
Крім перерахованих заходів необхідно підготуватися до наслідків можливих кризових ситуацій та описати дії банку по виходу з кризи. Для цього слід:
· Проаналізувати сценарії проникнення сторонніх осіб або не мають відповідних повноважень співробітників банку у внутрішню інформаційну мережу, а також провести навчальні заходи з метою відпрацювання моделі поведінки співробітників, відповідальних за інформаційну безпеку, в кризових ситуаціях;
· Розробити варіанти вирішення проблем, пов'язаних з кадрами, включаючи догляд з банку ключових співробітників, наприклад, скласти і ознайомити персонал з планом наступності управління в кредитній організації;
· Підготувати запасні інформаційні потужності (сервери, комп'ютери), а також резервні лінії зв'язку.
Застосування політики інформаційної безпеки та оптимізація структури інформаційної системи з точки зору підвищення захищеності, впровадження рекомендацій дозволить підвищити ефективність системи управління інформаційною безпекою та оптимізувати витрати на неї по співвідношенню ціна / допустимий рівень інформаційних ризиків.
Здійснюючи контроль за виконанням заходів і вимог щодо забезпечення інформаційної безпеки, а також рівнем інформаційного ризику критично важливих компонентів системи, впровадження рекомендацій забезпечує дотримання мінімального рівня інформаційних ризиків.
Сформована в Україні правова і нормативна база дозволяє проводити аналіз і управління інформаційними ризиками на рівні провідних світових стандартів. Хочеться сподіватися, що з введенням в обіг російських аналогів стандартів ISO 17799:2005, ISO 27000, ISO 9000 та їм подібних будуть нарешті затребувані і такі види управління інформаційними ризиками, як страхування. Передумовами цього можуть стати недавні гучні скандали, пов'язані з розкраданням інформації особистого характеру з різних установ. Набагато дешевше вчитися на чужих помилках, ніж на своїх. Отже, кращий світовий досвід (у вигляді практичних рекомендацій та стандартів) необхідно адаптувати і застосовувати в Росії, тим більше що всі правові умови для цього створені.

Список використаних джерел
I. Нормативно-правові джерела
1. Федеральний Закон "Про банки і банківську діяльність" від 2 грудня 1990 р. № 395-1 (ред. 08.07.1999 № 136 - ФЗ).
2. Федеральний закон "Про технічне регулювання" (№ 184-ФЗ від 27 грудня 2002 р.).
II. Наукова та спеціальна література
4. Банки та банківські операції: Підручник для вузів / Є. Ф. Жуков, Л. М. Максимова, О. М. Маркова та ін; Під ред. Е.Ф.Жукова.-М.: Банки і біржі: ЮНИТИ, 2005.
5. Банківська справа: Підручник для вузів / Під ред. Є. Ф. Жукова, Н.Д.Еріашвілію.-2-е изд.-М.: ЮНИТИ-ДАНА: Єдність, 2006.
6. Батракова Л.Г. Економічний аналіз діяльності комерційних банків. - М.: Логос, 2004. - 344с.
7. Бланк І.А. Управління прибутком. -2-е вид., Розшити. і доп. - Київ: Ніка - Центр: Ельга, 2002.
8. ГалатенкоВ.А. "Стандарти інформаційної безпеки". Курс лекцій / під. ред. академіка РАН В. Б. Бетеліна. М. Університет інформаційних технологій, 2004.
9. Глушкова Н.Б. Банківська справа: Учеб. Посібник / Н.Б.Глушкова.-М.: Економічний проект: Альма Матер, 2005.
10. Річний звіт ВАТ "АКІБАНК" за 2006 рік.
11. Гроші, кредит, банки: Підручник / За ред. Жукова Є.Ф. М.: ЮНИТИ, 2003.
12. Дробозіна Л.А. Фінанси. Грошовий обіг. Кредит. -М.: ЮНИТИ-ДАНА, 2006.
13. Ільясов С.М. Стійкість банківської системи: механізми управління, регіональні особливості. - М.: ЮНИТИ-ДАНА, 2001. - 255с.
14. Інформаційні технології управління / За ред. Г. А. Титоренко. М.: ЮНИТИ-ДАНА, 2003.
15. Кисельов В.В. Управління комерційним банком в перехідний період. - М.: Логос, 2001. - 144с.
16. Левашов М.А. Про інформаційну безпеку операторського класу / / Connect. Світ связі.-2007. № 2. -С.132-134.
17. Нікуліна І.Ю. Формулювання загальних цілей управління банківською діяльністю / / Консультант директора. - 2003. № 5 (185). - С.29-34.
18. Покровський П.С. Оцінка інформаційних ризиків: Захист інформації / / Журнал мережевих решеній.-2004 .- № 10.-С.90-95.
29. Поморіна М.В. Деякі підходи до управління банківськими ризиками / / Банківська справа. - 2004. - № 10. - С.11-16.
20. Петренко С.А. "Управління інформаційними ризиками. Економічно виправдана безпека". ДМК Пресс, 2005, 384 с.
21. Рогачов А.М. Людський фактор в операційних ризики: Банківські ризики / / Управління фінансовими ріскамі.-2007 .- № 1, апрель.-С.78-83.
22. Симонов С.А. стаття "Аналіз ризиків, управління ризиками" (Jet Info, 1999, 1).
23. Управління діяльністю комерційного банку (банківський менеджмент) / Под ред. Лаврушина О.І. - М.: МАУП, 2003. - 688с.
24. Уткін З.А. стратегічний менеджмент: способи виживання російських банків. - М.: Фонд економічної просвіти, 2003. - 180с.
25. Щегорцов В.А. Гроші, кредит, банки: Підручник для вузів / В. А. Щегорцов, В. А. Таран; Під ред. В.А.Щегорцова.-М.: ЮНИТИ-ДАНА, 2005.
26. Економічна теорія: Підручник для економічних вузів / За ред. О. С. Белокриловой. -Ростов н / Д: Фенікс, 2006.
27. Економічна теорія: Підручник для вузів / Під ред. В. І. Відяпіна, Г.П.Журавлевой.-4-е вид .- М.: ИНФРА-М, 2005.
28. www.akibank.ru
29. www.bankir.ru
30. www.garant.ru
31. www.koncultantpluc.ru
32. www.bankdelo.ru
33. http://www.riskworld.net
34. http://www.riskwatch.com
35. http://www.dsec.ru