Контакты
Подписка 2024

Ключевые индикаторы риска: как ими правильно пользоваться

Кирилл Чекудаев, 03/07/24

Ключевые индикаторы риска (КИР), безусловно, важны для процесса управления, поскольку многие риски можно нивелировать. Для начала необходимо их корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы. Разберемся, в чем польза КИР и как не допускать ошибок при их определении.

Автор: Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group

ris1_web-1

КИР для финсектора. Что в них особенного?

В первую очередь стоит обратить внимание на схожесть КИР с ключевыми показателями эффективности (известными также как KPI), которые устанавливаются для каждого процесса. Оба показателя направлены на генерацию прибыли компаний от бизнес-процессов. Учитывая базовые закономерности ведения бизнеса, напрашивается вывод, что прибыль без риска невозможна, следовательно, группы показателей KPI недостаточно. Необходимо определить не только доходную часть, но и рисковую. И тут как раз на помощь приходят показатели риска.

Их можно разделить на формализованные КПУР (контрольные показатели уровня риска) и неформализованные КИР.

Причем показатели КИР должны способствовать тому, чтобы фактические КПУР соответствовали целевым и не превышали эти значения.

Для финансового сектора данное требование отражено как в положении Банка России 716-П, так и в стандартах ГОСТ Р 57580.3–2022 и ГОСТ Р 57580.4– 2022. Кредитные организации ежеквартально отчитываются по КПУР, установленным для операционных рисков, в том числе для рисков информационной безопасности, в соответствии с формой отчетности 0409106 в разрезе бизнес-процессов, указывая фактические и установленные контрольные и сигнальные значения.

Перечень КПУР и требования по их расчету, установлению, мониторингу и реагированию на превышения определен. В отношении же КИР нет четких инструкций, не считая рекомендаций Р 50.1.090–2014. Регулятор финсектора говорит, что они должны быть в наличии и служить тому, чтобы фактические КПУР соответствовали целевым значениям. Таким образом, КИР помогают управлять рисками, но они не идентичны КПУР.

По сути, КИР для любого бизнеса – достаточно узкий показатель уровня риска каждого процесса, который можно измерить в любых удобных единицах (деньги, часы, штуки, тонны), причем не только количественно, но и качественно. Важно, чтобы выбранные показатели были логичны, измеримы и применимы.

Благодаря схожести КИР с KPI они должны быть абсолютно понятны руководству бизнеса и процессов. Причем реальный опыт показывает, что чаще всего обе группы показателей устанавливаются одновременно, что позволяет оценивать эффективность процесса со сторон как дохода, так и риска. Однако нередко некоторые структуры устанавливают КИР некорректно, тем самым не облегчая, а затрудняя работу для руководства и бизнес-юнитов.

Как правильно определять КИР

Начнем с того, что, определяя КИР, точно не стоит брать за основу КПУР и просто переписывать их другими словами. КИР как раз должны быть такими, чтобы их соблюдение или несоблюдение влияло на уровень КПУР. Не стоит еще забывать, что КПУР устанавливаются и попадают под обязательный мониторинг как совета директоров, так и Банка России через 106-ю форму.

Таким образом, возможно установить КИР для расчета, следуя последовательной регламентации расчетов и валидации с КПУР.

В данной последовательности установление КИР позволит определить КПУР логично построенным. Источником информации здесь служит база событий операционного риска, позволяющая полно и достаточно рассчитать как плановые, так и фактические значения.

Примеры определения КИР: от врага к союзнику

Для наглядности возьмем КПУР ИБ № 1: "Общая сумма чистых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года". Необходимо для него установить КИР.

Чтобы рассчитать КПУР ИБ № 1, нам нужно определить составляющие элементы показателя чистых прямых потерь. В их числе организация установила, например, чистые потери от следующих рисков ИБ:

  • хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи;
  • уничтожение/потеря доступа к информации/нарушение работоспособности информационной системы вследствие физического доступа внешнего нарушителя к техническим средствам обработки; 
  • нарушение целостности информации в результате действий персонала сторонних организаций.

Установление и расчет соответствующих КИР может определить как количественные, так и качественные параметры, однако предпочтительнее установить количественные измеримые значения. Ниже приведем вариант КИР по рискам ИБ.

Например, возьмем условные значения в тысячах рублей и получим следующие значения по одному бизнес-процессу:

ris2-Jul-03-2024-10-37-13-8458-AM

Следовательно, используя данные по сумме прямых потерь от направлений угроз ИБ по КИР, получилось определить конкретный КПУР по конкретному бизнес-процессу.

Таким образом, было выведено контрольное значение, при котором устанавливается ежедневный мониторинг и применение управленческих мер по его снижению при необходимости. Сигнальное значение будет на 15% больше и составит 210. Как только оно будет достигнуто, произойдет информирование совета директоров и реагирование на риск.

Исходя из весомости факторов для расчета данного КПУР, организации следует обратить внимание на уровень прямых потерь от этого бизнес-процесса и в его рамках особое внимание обратить на пункт "Хищение информации внешним нарушителем за счет физического доступа к техническим средствам или линиям связи", так как он имеет существенное значение.

table1-3

Определив данные КИР для фактора КПУР, который основывается на размере прямых потерь от рисков ИБ, связанных с хищением информации, можно выяснить, как управлять данным операционным риском и что на него влияет. Иными словами, реально выделить причины возникновения самих рисков (штрафов, например) и устранить или снизить влияние этого фактора.

Если выяснится, что хищение информации происходит внешним нарушителем, следовательно, кредитной организации надо выявить, какие угрозы и векторы атак использовались, исходя из этого определить, какие изменения (организационные и технические) надо произвести в процессе, чтобы предотвратить последующее увеличение фактического значения КИР и соответствующих КПУР.

Следует отметить, что один и тот же КИР может влиять на уровень не только одного КПУР, но и нескольких сразу. Применение универсальных КИР, влияющих на несколько КПУР, позволит снизить организационную нагрузку на центры компетенций и службы управления операционными рисками.

Можно заметить, что разные вариации КИР позволяют понять логику их установления и ответить на вопрос, зачем они нужны. С помощью них сотрудники, ответственные за процесс, нагляднее могут определять, на что и как они могут повлиять для предотвращения риска.

Рекомендации

Исходя из положительного опыта определения КИР, предлагаю небольшой пул советов и рекомендаций.

  1. КИР желательно (но необязательно) должны влиять на КПУР.
  2. КИР должен быть понятен для расчета. Откуда взять исходную информацию? Из базы событий операционного риска.
  3. КИР может измеряться как в количественном выражении, так и в качественном.
  4. Необходимо регулярно и своевременно производить расчет фактических и плановых значений.
  5. При определении пороговых значений КИР не следует указывать слишком низкие значения ("околонулевые") и слишком высокие.
  6. Установить КИР при отсутствии статистических данных возможно с использованием экспертного мнения как самих сотрудников, так и внешних консультантов. п 7. Конкретный КИР влияет на значение одного или нескольких КПУР.
  7. КИР необходимо постоянно актуализировать в зависимости от условий реализации процессов и стратегии.
  8. Важно определить подразделения, ответственные за КИР.
  9. Необходимо установить порядок реагирования в случае превышения пороговых значений.
Темы:Банки и финансыУправлениеЖурнал "Информационная безопасность" №2, 2024

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...