Журнал "Information Security/ Информационная безопасность" #2, 2024

ливается ежедневный мониторинг и при- менение управленческих мер по его сни- жению при необходимости. Сигнальное значение будет на 15% больше и составит 210. Как только оно будет достигнуто, произойдет информирование совета директоров и реагирование на риск. Исходя из весомости факторов для расчета данного КПУР, организации сле- дует обратить внимание на уровень пря- мых потерь от этого бизнес-процесса и в его рамках особое внимание обратить на пункт "Хищение информации внеш- ним нарушителем за счет физического доступа к техническим средствам или линиям связи", так как он имеет суще- ственное значение. Определив данные КИР для фактора КПУР, который основывается на размере прямых потерь от рисков ИБ, связанных с хищением информации, можно выяснить, как управлять данным опера- ционным риском и что на него влияет. Иными словами, реально выделить при- чины возникновения самих рисков (штра- фов, например) и устранить или снизить влияние этого фактора. Если выяснится, что хищение инфор- мации происходит внешним нарушите- лем, следовательно, кредитной органи- зации надо выявить, какие угрозы и век- торы атак использовались, исходя из этого определить, какие изменения (организационные и технические) надо произвести в процессе, чтобы пред- отвратить последующее увеличение фактического значения КИР и соответ- ствующих КПУР. Следует отметить, что один и тот же КИР может влиять на уровень не только одного КПУР, но и нескольких сразу. Применение универсальных КИР, влияющих на несколько КПУР, позволит снизить организационную нагрузку на центры компетенций и службы управления операционными рисками. Можно заметить, что разные вариации КИР позволяют понять логику их уста- новления и ответить на вопрос, зачем они нужны. С помощью них сотрудники, ответственные за процесс, нагляднее могут определять, на что и как они могут повлиять для предотвращения риска. Рекомендации Исходя из положительного опыта опре- деления КИР, предлагаю небольшой пул советов и рекомендаций. 1. КИР желательно (но необязательно) должны влиять на КПУР. 2. КИР должен быть понятен для рас- чета. Откуда взять исходную информа- цию? Из базы событий операционного риска. 3. КИР может измеряться как в коли- чественном выражении, так и в каче- ственном. 4. Необходимо регулярно и своевре- менно производить расчет фактических и плановых значений. 5. При определении пороговых значе- ний КИР не следует указывать слишком низкие значения ("околонулевые") и слишком высокие. 6. Установить КИР при отсутствии статистических данных возможно с использованием экспертного мнения как самих сотрудников, так и внешних кон- сультантов. 7. Конкретный КИР влияет на значение одного или нескольких КПУР. 8. КИР необходимо постоянно актуа- лизировать в зависимости от условий реализации процессов и стратегии. 9. Важно определить подразделения, ответственные за КИР. 10. Необходимо установить порядок реагирования в случае превышения пороговых значений. l • 63 УПРАВЛЕНИЕ www.itsec.ru Таблица. Установление и расчет КИР Рисунок: ГРОТЕК Наименование КИР Источник ОР Ед. измерения Порядок расчета Контрольное значение КИР Сигнальное значение КИР Хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи (ХИ) Внешние причины; преднамеренные действия третьих лиц; прочие инциденты, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной структуры Ед. Количество выявленных случаев 8 случаев в течение года 6 случаев в течение года Тыс. руб. Сумма прямых потерь от хищения информации 200 150 Уничтожение/потеря доступа к информации/ нарушение работоспособности информационной системы вследствие физического доступа внешнего нарушителя к техническим средствам обработки (ФД) Внешние причины; преднамеренные действия третьих лиц; прочие инциденты, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной структуры Ед. Количество выявленных случаев 8 случаев в течение года 6 случаев в течение года Тыс. руб. Сумма прямых потерь от хищения информации 200 150 Нарушение целостности информации в результате действий персонала сторонних организаций (НЦ) Действия персонала и других связанных с банком лиц; умышленные действия или бездействие персонала и других связанных с банком лиц, включая собственников, а также тех, кто связан с банком агентскими отношениями; прочие умышленные действия или бездействие персонала и других связанных с банком лиц в целях извлечения материальной и нематериальной выгоды Ед. Количество выявленных случаев 8 случаев в течение года 4 случая в течение года Тыс. руб. Сумма прямых потерь от хищения информации 200 150 Ваше мнение и вопросы присылайте по адресу is@groteck.ru