Безопасность карточного бизнеса - страница 67
Первоначальным этапом является идентификация риска, т. е. процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен; оценка представляет собой общий процесс анализа риска и собственно его оценивание. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т. е. выборе и осуществлению мер по его модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
Риск может быть предотвращен в результате принятия решения о «невхождении» в рискованную ситуацию или действия, предупреждающего вовлечение в нее. Если предотвратить риск не удается, его можно перенести, т. е. разделить с другой стороной бремя потерь от него.
Снижение риска — это действия, предпринятые для уменьшения вероятности наступления негативных последствий, связанных с риском. При этом уменьшение последствий от события означает ограничение любого негативного последствия конкретного события. После обработки остается риск, называемый остаточным риском.
Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В соответствии со Стандартом информационная безопасность организации банковской системы РФ есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» содержит рекомендации по управлению операционным риском в кредитных организациях. Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства, внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.
Из данного определения следует, что риск информационной безопасности для банка может быть отнесен к операционному. Следует отметить, что в настоящее время не существует универсальной методики оценки рисков применительно к задачам информационной безопасности.
Письмо Банка России от 30 мая 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» дает определение репутационного риска.
В терминах международных платежных систем (МПС) под риском понимается вероятность понести потери или упустить доходы, количественная оценка возможных потерь (упущенной выгоды) вследствие наступления неблагоприятного события.
Определим платежную систему банковских карт (ПСБК) как систему обмена транзакциями и взаиморасчетов (клиринга), организованную банком на основе банковских карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом.