Журнал "Information Security/ Информационная безопасность" #2, 2024

КИР для финсектора. Что в них особенного? Впервуюочередьстоитобратитьвни- маниенасхожестьКИРсключевыми показателямиэффективности(извест- нымитакжекакKPI),которыеустанав- ливаютсядлякаждогопроцесса.Оба показателянаправленынагенерацию прибыликомпанийотбизнес-процессов. Учитываябазовыезакономерностиведе- ниябизнеса,напрашиваетсявывод,что прибыльбезрисканевозможна,следо- вательно,группыпоказателейKPIнедо- статочно.Необходимоопределитьне толькодоходнуючасть,ноирисковую. Итуткакразнапомощьприходятпока- зателириска. Ихможноразделитьнаформализован- ныеКПУР(контрольныепоказателиуров- няриска)инеформализованныеКИР. ПричемпоказателиКИРдолжныспо- собствоватьтому,чтобыфактические КПУРсоответствовалицелевымине превышалиэтизначения. Дляфинансовогосектораданноетре- бованиеотраженокаквположении БанкаРоссии716-П,такивстандартах ГОСТР57580.3–2022иГОСТР57580.4– 2022.Кредитныеорганизацииежеквар- тальноотчитываютсяпоКПУР,установ- леннымдляоперационныхрисков,в том числедлярисковинформационнойбез- опасности,всоответствиисформой отчетности0409106вразрезебизнес- процессов,указываяфактическиеиуста- новленныеконтрольныеисигнальные значения. ПереченьКПУРитребованияпоих расчету,установлению,мониторингу и реагированиюнапревышенияопре- делен.ВотношениижеКИРнетчетких инструкций,несчитаярекомендаций Р 50.1.090–2014.Регуляторфинсектора говорит,чтоонидолжныбытьвналичии ислужитьтому,чтобыфактические КПУРсоответствовалицелевымзначе- ниям.Такимобразом,КИРпомогают управлятьрисками,ноонинеидентичны КПУР. Посути,КИРдлялюбогобизнеса– достаточноузкийпоказательуровня рискакаждогопроцесса,который можноизмеритьвлюбыхудобныхеди- ницах(деньги,часы,штуки,тонны), причемнетолькоколичественно,но и качественно.Важно,чтобывыбран- ныепоказателибылилогичны,изме- римыиприменимы. БлагодарясхожестиКИРсKPIони должныбытьабсолютнопонятныруко- водствубизнесаипроцессов.Причем реальныйопытпоказывает,чточаще всегообегруппыпоказателейустанав- ливаютсяодновременно,чтопозволяет оцениватьэффективностьпроцессасо сторонкакдохода,такириска.Однако нередконекоторыеструктурыустанав- ливаютКИРнекорректно,темсамымне облегчая,азатрудняяработудляруко- водстваибизнес-юнитов. Как правильно определять КИР Начнемстого,что,определяяКИР, точнонестоитбратьзаосновуКПУР и простопереписыватьихдругимисло- вами.КИРкакраздолжныбытьтакими, чтобыихсоблюдениеилинесоблюдение влиялонауровеньКПУР.Нестоитеще забывать,чтоКПУРустанавливаются и попадаютподобязательныймонито- рингкаксоветадиректоров,такиБанка Россиичерез106-юформу. Такимобразом,возможноустановить КИРдлярасчета,следуяпоследова- тельнойрегламентациирасчетовивали- дациисКПУР. Вданнойпоследовательностиуста- новлениеКИРпозволитопределить КПУРлогичнопостроенным.Источником информацииздесьслужитбазасобытий операционногориска,позволяющая полноидостаточнорассчитатькакпла- новые,такифактическиезначения. Примеры определения КИР: от врага к союзнику ДлянаглядностивозьмемКПУРИБ №1:"Общаясуммачистыхпрямых потерьотреализациисобытийриска информационнойбезопасностизаотчет- ныйпериод(первыйквартал,полугодие, девятьмесяцев,год)нарастающимито- гомсначалакалендарногогода". НеобходимодлянегоустановитьКИР. ЧтобырассчитатьКПУРИБ№1,нам нужноопределитьсоставляющиеэле- ментыпоказателячистыхпрямыхпотерь. Вихчислеорганизацияустановила, например,чистыепотериотследующих рисковИБ: l хищениеинформациивнешнимнару- шителемзасчетфизическогодоступа к техническимсредствамилилиниям связи; l уничтожение/потерядоступакинфор- мации/нарушениеработоспособности информационнойсистемывследствие физическогодоступавнешнегонару- шителяктехническимсредствамобра- ботки; l нарушениецелостностиинформации врезультатедействийперсоналасто- роннихорганизаций. Установлениеирасчетсоответствую- щихКИРможетопределитькакколиче- ственные,такикачественныепараметры, однакопредпочтительнееустановитьколи- чественныеизмеримыезначения.Ниже приведемвариантКИРпорискамИБ. Например,возьмемусловныезначе- ниявтысячахрублейиполучимсле- дующиезначенияпоодномубизнес- процессу: КПУРИБ 1 =ПП хи +ППф д +ПП нц =­ 125+35+22=182. Следовательно,используяданныепо суммепрямыхпотерьотнаправлений угрозИБпоКИР,получилосьопределить конкретныйКПУРпоконкретномубиз- нес-процессу. Такимобразом,быловыведеноконт- рольноезначение,прикоторомустанав- 62 • УПРАВЛЕНИЕ Ключевые индикаторы риска: как ими правильно пользоваться лючевые индикаторы риска (КИР), безусловно, важны для процесса управления, поскольку многие риски можно нивелировать. Для начала необходимо их корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы. Разберемся, в чем польза КИР и как не допускать ошибок при их определении. К Фото:Innostage Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group