Обзор "ИТ в банках и страховых компаниях 2007" подготовлен При поддержке
CNewsAnalytics Комкор

Российские банки пока не готовы присоединиться к Basel II

Российские банки пока не готовы присоединиться к Basel IIЕще недавно тема регулирования банковской деятельности в области оценки и управления рисками была интересна только узкому кругу профессионалов. Однако интеграция России в мировую экономику и активные действия ЦБ РФ по унификации международного и отечественного банковского законодательства радикально изменили ситуацию. Важным стимулом стали требования к управлению рисками со стороны иностранных акционеров и инвесторов. Но путь, который западный мир проходил более 25 лет, преодолеть в одночасье невозможно. Высокая стоимость и сложность внедрения ИТ-решений, поддерживающих управление рисками по стандарту BaselII, приводит к тому, что в России серьезно тормозится процесс присоединения к этому соглашению.

В России основным технологическим препятствием на пути внедрения систем управления рисками является организация слоя «управления данными». Это результат слабой интеграции источников первичных данных для риск-менеджмента. Преодолеть это препятствие можно путем либо переноса в хранилище портфелей сделок, либо собрав отдельные сделки. В последнем случае будет получена информационная основа для комплексного управления рисками. Портфельный подход потребует дополнительных технологических операций по приведению сделок к единому формату для расчета операционных рисков и риска ликвидности.

В марте 2006 г. Intersoft Lab объявила о поддержке в хранилище данных «Контур Корпорация» механизмов для сбора и обработки сделок. В комплексных системах для управления эффективностью бизнеса (BPM, business performance management) полученное хранилище сделок становится базисом для функционирования риск — модулей от внешних поставщиков. Такое решение, как утверждают специалисты Intersoft Lab, построено в соответствии с рекомендациями Gartner и позволяет гибко подойти к реализации требований Basel II в условиях незрелости рынка инструментов управления рисками, а также минимизировать стоимость проекта за счет использования для управления данными существующих в банках хранилищ сделок. Однако пока это является достаточно дорогим удовольствием. Банки в своем большинстве планируют к реализации отдельные компоненты Basel II. Однако это может привести к бессистемному использованию различных методик и программных продуктов.

Зная обо всех этих сложностях, а так же с целью методологической поддержки Центральный Банк России в конце 2004 г. ввел в действие свой стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Он объединил основные положения стандартов по управлению ИТ–безопасностью (ISO 17799, 13335), регламентировал описание жизненного цикла программных продуктов и критерии оценки ИТ-безопасности (ГОСТ Р ИСО/МЭК 15408-1-2-3). Отдельно описаны технологии оценки угроз и уязвимостей, подход к управлению рисками OCTAVE и некоторые положения методологии оценки информационных рисков CRAMM.

В течение 2005 года он апробировался в ряде территориальных учреждений Банка России.  В январе 2006 года была введена в действие уже вторая версия этого стандарта (СТО БР ИББС -1.0 — 2006). Многие специалисты рассматривают документ как переходный этап в процессе присоединения страны к международным  нормам в этой сфере. Он так же носит рекомендательный характер и нацелен на повышение информационной безопасности — в том числе и за счет минимизации операционных рисков. Тем самым планируется упростить процесс достижения совместимости с соглашением Basel II, нововведением которого также является учет операционных рисков. Реализация положений стандарта ЦБ требует проведения классификации данных, модификации информационных процессов, составления соответствующих внутренних нормативных документов, внедрения адекватных продуктов ИТ и т.д.

«У представителей российских банков часто возникает вопрос, как наиболее эффективно взять под контроль операционные риски и, тем самым, минимизировать резервируемый капитал. Стандарт Банка России по ИТ-безопасности как раз и является ответом на этот вопрос. По сути, Стандарт Центробанка — не что иное, как дорожная карта. Двигаясь по ней и дойдя до пункта назначения, каждый банк построит эффективную систему управления операционным риском», — комментирует Алексей Доля, руководитель аналитического центра InfoWatch.

С целью способствования развитию и широкому практическому применению единых Стандартов, повышения уровня информационной безопасности организаций финансового сектора и содействия стабильности кредитно-финансовой системы Российской Федерации в целом было создано Сообщество организаций, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0 и его последующих версий, а также других стандартов, положений и методических указаний Банка России, регламентирующих вопросы информационной безопасности организаций банковской системы РФ — ABISS. В него кроме отечественных игроков рынка, входят международные аудиторские компании KPMG и Ernst&Young. По оценкам экспертов Банка России, международные стандарты являются одним из источников решений национальных задач. После их адаптации встанет вопрос признания результатов как внутри страны, так и в международном бизнесе, чтобы нашим банкам не пришлось оплачивать двойной аудит. Международные аудиторы понимают выгодность сотрудничества, в свое время специалисты этих компаний лично принимали участие в разработке базовых стандартов, в частности ISO 27001, и их деятельность внутри ассоциации усиливает методическую часть деятельности ABISS.

Первым коммерческим банком, завершившим опытное внедрение стандарта СТО БР ИББС-1.0—2004, стал «Метробанк». В феврале 2005 г. он вошел в состав подкомитета № 3 «Защита информации в кредитно-финансовой сфере» технического комитета по стандартизации № 362 «Защита информации» (ПК 3/ТК 362), от которого и получил соответствующее предложение. С начала внедрения специалистами банка была пересмотрена имеющаяся документация, разработаны нормативные документы, выделены процессы и технологические цепочки, отлажено взаимодействие между структурными подразделениями банка, определен и установлен контроль над информационными рисками, организована система мониторинга и аудита. Кроме того, в банке опробована «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации», прилагаемая к первой редакции проекта разрабатываемого по заказу Банка России стандарта СТО БР ИББС-4.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».

Рассматривая отдельно проблему операционных рисков, необходимо отметить тенденцию их перевода из разряда экзотических проблем в категорию постоянно усиливающихся угроз, способных привести к самым плачевным последствиям. Согласно пункту 644 соглашения Basel II, операционные риски определяются как «риски убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий». Применительно к информационным технологиям и в ее терминах речь идет действиях инсайдеров (противоправные действия служащих банка), а также об обеспечении целостности и доступности информации для авторизованных пользователей (защита, как от умышленной, так и случайной утери данных, их искажения или несанкционированной модификации).

Это подтверждает исследование копании InfoWatch (российского разработчика систем защиты предприятий от внутренних угроз) и Национального Банковского Журнала, проведенное в 2006 году среди 34 российских кредитно-финансовых организаций. Респондентам был предложен многовариантный вопрос (сумма ответов превышает 100%) — каждый банк мог выбрать два наиболее опасных, на его взгляд, вида операционных рисков из пункта 644 соглашения Basel II.

Наиболее опасные операционные риски

Источники: InfoWatch, Национальный Банковский Журнал, 2006

Респонденты более всего опасаются убытков от действий инсайдеров, которые в свою очередь возможны во многом вследствие не достаточной отработки  процессов, связанных с авторизацией и идентификацией пользователей. Из–за неконтролируемого доступа персонала к ресурсам, не требующимся для их работы, создаются условия для утечки конфиденциальной информации.  Часто отсутствует механизм контроля над содержанием почтовых сообщений и иных каналов утечки данных, а так же средства хранения корпоративной электронной почты.  Два других источника убытка (в сумме дающих почти ту же цифру, что и человеческий фактор) — это риски от не надлежащего управления технологическими и бизнес процессами (идентификация, управление доступом, сохранность и доступность данных и так далее). На четвертом месте — риски, возникающие при внешнем воздействии на объекты инфраструктуры банка, в том числе и на объекты ИТ (отключение электроэнергии,  пожары, повреждения кабелей связи и так далее). Неудивительно, что с решения этих вопросов  многие отечественные банки и начитают работу над преодолением проблемы угроз операционных рисков.

Продукты для борьбы с инсайдерами

В сегменте ПО, предназначенного для  борьбы с инсайдерами (Security Content Management), в первую очередь заметна российская компания InfoWatch  с комплексным решением InfoWatch Enterprise Solution (IWES), предназначенным для выявления и предотвращения утечек конфиденциальной информации. Продукты InfoWatch снижают в первую очередь риски внутренней ИТ- безопасности, которые являются важной составной частью операционных рисков. Конечно, нельзя утверждать, что IWES позволяет банку в полной мере управлять операционным риском. Однако продукт позволяет взять под контроль определенную и довольно опасную их часть. В состав IWES входят компоненты Traffic Monitor и Net Monitor, которые доступны также в виде автономных продуктов. Traffic Monitor контролирует сетевые каналы (web, почта, ICQ и т.д.) и умеет архивировать все данные, покидающие корпоративную сеть. Продукт Net Monitor следит за операциями пользователя с конфиденциальной информацией на уровне рабочей станции и блокирует утечку в режиме реального времени. За счет совместного использования этих компонентов IWES позволяет покрыть практически все каналы утечек.

Архитектура решения InfoWatch Enterprise Solution

Источники: InfoWatch, 2007

В результате массовых поглощений компаний, работающих в сегментах  идентификации и управлением доступом (Identity and Access Management), а также управления рисками и аудитом ИБ (Security and Vulnerability Management), на российском рынка ярко проявилась тенденция слияния  этих направлений в едином пакете решений от одного вендора. Здесь пока достаточно трудно выделить лидеров. Это продукты и от IBM, и Computer Associates, и Novell, и Symantec, и Qualis и другие. По словам Сергея Знаменского, технического консультанта отдела продаж программного обеспечения HP Russia, «наиболее интересным вертикальным рынком для Hewlett–Packard в России стал финансовый. Здесь есть уже несколько интересных контрактов и намечается ряд новых. Но наиболее активная работа должна начаться в ближайшее время в связи с окончательным формированием интегрированного комплекса решений по управлению операционными рисками».

Охват бизнес-процессов по управлению операционными рисками с помощью комплекса  решений HP

Источник: HP, 2007

Как видно из схемы, HP может решить значительную часть вопросов по управлению операционными рисками и обеспечению соответствия требованиям регулирующих органов. Верхним уровнем  решения является слой управления (Governance), который служит для преобразования бизнес–целей, описания операционных рисков и законодательства с одной стороны в элементы механизма обеспечения безопасности с другой стороны. Таких элементов три — это пакеты решений управления идентификацией (Identity Management),  проактивного обеспечения соответствия уровня безопасности (Proactive Security Management) и обеспечения доверенной инфраструктуры. (Trusted Infrastructure), предназначенные для обеспечения непрерывности работы наиболее критичных приложений и безопасного доступа к ним. В модуль входит шесть компонентов пять из которых отвечают за управление жизненным циклом пользователей ИТ-инфраструктуры, их аутентификацией и авторизацией и т.д., а также  шестой компонент, предназначенный для аудита и генерации отчетов.

Как банки управляют операционными рисками

Один из крупнейших российских банков — ВТБ — подписал соглашение с InfoWatch, предусматривающее внедрение комплекса защиты конфиденциальной информации InfoWatch Mail Monitor (IWMM) и архивации корпоративной электронной почты InfoWatch Mail Storage (IWMS). «Особенность работы сети «Внешторгбанка» заключается в циркуляции большого количества данных, составляющих коммерческую и банковскую тайну. Без должной защиты такой информации немыслимо оказание качественных услуг клиентам, а репутация организации находится под постоянной угрозой. Именно поэтому внедрение надежной защиты конфиденциальных данных является приоритетом развития информационной системы банка», — комментирует Александр Пантелеев, начальник службы ИТ-безопасности ВТБ. Наиболее опасным источником утечки информации является электронная почта — в 9 из 10 случаев инсайдеры пользуются этим каналом для передачи конфиденциальных данных. Для решения этой проблемы руководство «Внешторгбанка» приняло решение о внедрении IWMM — системы фильтрации почтового трафика, основанной на морфологическом анализе корреспонденции. IWMM в масштабе реального времени проверяет исходящий почтовый трафик, выявляет письма, содержащие конфиденциальную информацию, помещает их в область карантина и немедленно сообщает об инцидентах на консоль управления офицера ИТ-безопасности.

Одновременно сеть «Внешторгбанка» оборудуется IWMS — многофункциональной централизованной системой учета, хранения и ретроспективного анализа почтовой корреспонденции повышенной производительности, емкости и безопасности. В рабочем режиме система способна обрабатывать 50 тысяч писем или 10 Гбайт трафика в день и поддерживать актуальный архив корреспонденции за период не менее 3 лет. С помощью IWMS «Внешторгбанк» получает инструмент для расследования случаев утечки секретных данных через электронную почту и достигает соответствия с российскими (стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы») и международными нормативными актами (Basel II). По данным InfoWatch, схожие проекты были реализованы также в «Банке Москвы» и «РосЕвроБанке»

Необходимо добавить, что  в 2005 году «Внешторгбанк» завершил проект по внедрению интегрированной банковской системы (ИБС) контроля рисков и управления операциями на финансовых рынках на базе решения Kondor+, разработанного одним из подразделений британского агентства Reuters. Система используется для контроля и управления сделками на валютном рынке, на рынке межбанковских кредитов, операциями с государственными и корпоративными эмиссионными ценными бумагами, акциями, векселями и пр., а также клиентскими операциями. А задача централизованного управления доступом к информационным системам банка была решена при помощи одного из ключевых модулей пакета Hewlett — Packard Identity Management — HP Select Access.

Не остаются в стороне и другие кредитные учреждения. По словам начальника службы информационной безопасности банка «Возрождение» Андрея Грициенко, «во многих крупных банках из первых двух сотен по величине собственного капитала эти стандарты уже внедряются по инициативе самих банков. ЦБ РФ пока не готов к тому, чтобы перевести Стандарт из разряда рекомендательных в разряд обязательных, однако территориальные учреждения Центробанка собирают информацию о состоянии внедрения Стандарта в филиалах (Краснодар, Ставрополь, Тула, Нижний Новгород и.т.д.)». Емкость этого сегмента российского рынка эксперт оценивает по количеству банков и страховых компаний, способных оплатить внедрение. В ближайшие год-два это, возможно, будут первые 200 банков рейтинга по величине собственного капитала. Подряды на подготовку к аудитам на Basel II и стандарт Центробанка, будут отданы тем компаниями или аудиторам, результаты деятельности которых будут признаны Центробанком — скорее всего, членам сообщества ABISS.

Еще один российский банк — АКБ «Электроника» — открыто заявил о подготовке к внедрению элементов стандарта  Basel II. Согласно размещенной на сайте банка информации, в 2005 году был создан координационный комитет, разработан и утвержден план первоначального этапа внедрения Basel II и общий план последующих действий. Разработана методика сбора информации и определения операционного риска. На данный момент расчет производится в ежеквартальном режиме, итоги рассматриваются на правлении банка, если это необходимо — принимаются меры по минимизации операционного риска. Одной из существенных сложностей в работе является сбор и накопление статистических данных о кредитных историях заемщиков. В России накопленная по клиентам статистика еще весьма мала, хотя у нас уже и начали работать бюро кредитных историй. Еще одна проблема — нехватка подготовленных кадров, умеющих работать по новым стандартам. И все это сопряжено с растущей конкуренцией крупных мировых банков, которые активно вторгаются на российский рынок».

Не отстают от российских коллег и банки стран СНГ. Так, в начале в 2007 года компании Intersoft Lab и «Зирван» сообщили о завершении очередного этапа внедрения в казахском «Альянс Банке» системы управления операционными рисками, разработанной компанией «Зирван» на основе финансового хранилища данных «Контур Корпорация». Решение должно обеспечить построение в банке информационной части комплексной системы управления рисками в соответствии с международными стандартами Basel II. 

На первом этапе проекта, начавшемся в 2004 году, представителями «РЭА Риск-Менеджмент» совместно с сотрудниками банка был проведен комплексный анализ деятельности кредитной организации и подготовлена методология для создания полноценной системы управления операционными рисками. На базе этой методологии, компанией «Зирван» был разработан модуль «операционные риски» к хранилищу данных «Контур Корпорация». Этот модуль предназначен для идентификации, оценки, мониторинга и контроля операционных рисков на основе процессного подхода, расчета требований к капиталу на покрытие операционного риска.  В результате сотрудники департамента контроля рисков получили возможность выполнения полного цикла экспертной оценки рисков: создания технологических карт бизнес-процессов, ведения каталогов рисков, проведения экспертных опросов, настройки и расчет индикаторов подверженности риску, расчета карты рисков по данным опросов. А службы внутреннего аудита и безопасности  начали вводить информацию о событиях операционного характера, что позволяет риск -менеджерам банка приступить к накоплению базы данных событий. На следующем этапе внедрения, который планируется завершить в первом полугодии 2007 года, в банке будет запущен блок обработки накопленной информации: проведение расчета показателей карты операционного риска количественным методом (по накопленной базе событий), ведение и контроль лимитов операционного риска, а также расчет требований на капитал.

Вадим Ференец / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS