新巴塞尔协议---银行信息安全风险管理

银行信息安全风险管理银行信息安全风险管理 新巴塞尔协议 导读 新巴塞尔协议强调在进行风险管理风险管理的时候 不仅仅要重视传统的信用风险 而且要将操作风险放在 一个重要的地位 以前对操作风险的定义非常简单 是除了市场风险和信贷风险之外的其他风险 这种消 极的定义方式对操作风险管理造成了障碍 新巴塞尔协议中给出的新的操作风险定义如下 操作风险就是 指由于内部流程 人员 系统不充足或者运行失当 以及因为外部事件的冲击等导致直接或者间接损失的 可能性的风险 1 新巴塞尔协议和操作风险新巴塞尔协议和操作风险 2004 年 6 月 26 日 巴塞尔新资本协议 简称新巴塞尔协议 的终稿正式通过 新巴塞尔协议虽 然不具有强制性 但是在国际上具有很大的影响力 新巴塞尔协议的核心内容为三个支柱 即最低资本要 求 监管检查和市场约束 虽然中国银监会曾经表态 受到客观条件限制 我国在未来几年内仍将继续执 行 1988 年的老协议 但是当中国的银行银行进入国际银行业市场开拓业务时 巴塞尔协议可能会使中国商业 银行在竞争中处于不利的地位 尤其是国际上业务较活跃的银行 势必会受到很大影响 所以 对于中国 银行业来讲 研究和符合新巴塞尔协议是提高国际竞争力的重要战略决策 新巴塞尔协议强调在进行风险管理的时候 不仅仅要重视传统的信用风险 而且要将操作风险放在一 个重要的地位 以前对操作风险的定义非常简单 是除了市场风险和信贷风险之外的其他风险 这种消极 的定义方式对操作风险管理造成了障碍 新巴塞尔协议中给出的新的操作风险定义如下 操作风险就是指 由于内部流程 人员 系统不充足或者运行失当 以及因为外部事件的冲击等导致直接或者间接损失的可 能性的风险 2 操作风险管理操作风险管理 操作风险作为银行面临的多种风险之一 具有其独特性 简单来讲 操作风险就是 没有采用正确的方 法做事情 而带来的风险 操作风险和其他风险之间的关系如图所示 战略风险主要关心管理层是否选择 的正确的业务方向和战略目标 业务相关的风险和具体的业务特点有关 而操作风险则主要指落实到具体 执行层面的时候能否正确执行规范 以及有没有相关的规范可以参照执行 在风险管理领域中 战略是指 导 而操作则贯穿整个业务活动的始终 因此 操作风险管理必须贯穿到整个公司管理过程之中去 新巴塞尔协议强调风险管理应是一种主动的事前行为 而不是事后的补救 强调通过分析既有的数据 来预测和防范未来的风险 并从中稳妥地获取风险收益 建立高效的风险管理体系 是银行确保在这个高 风险行业中生存下来并获得稳定发展的基础 巴塞尔银行监管委员会发布了操作风险管理和监控的十个原则 操作风险管理和监控的实践 其 中明确了银行进行操作风险管理的四个步骤 识别 评估 监控 缓解 控制 这个文件对于银行进行操 作风险管理具有指导性的意义 3 操作风险中的操作风险中的信息安全信息安全风险管理风险管理 信息和信息系统安全在操作风险管理中是非常重要的一部分 由于现代银行几乎所有的业务都运行在 IT 基础设施之上 尤其是新出现的金融产品和服务更加趋于开放和互联 进一步加强了对信息系统的依赖 程度 信息的保密性 完整性以及信息 信息系统可用性对业务的成败起着至关重要的作用 在西方国家 已经有立法强制要求银行对某些关键信息的保密性 完整性等进行保护 比如美国美国的金融服务现代化法案 Gramm Leach Bliley Act GLBA 1999 年 巴塞尔银行监管委员会专门设立了电子银行小组 EBG 对电子银行领域内的监管事务进 行重点研究 2001 年 EBG 发表了 电子银行风险管理原则 确定了进行电子银行业务风险管理的 14 条基本原则 是电子银行进行风险控制的重要参考 事实上 不管是 操作风险管理和监控的实践 还是 电子银行风险管理原则 其中的内容大部分都已经被涵盖在了当前的国际通用的信息安全管理标 准中了 并且已经在某些银行的信息安全管理中得到了不同程度的应用应用 比如 ISO IEC 17799 操作风险管理和监控的实践的第八项原则规定 银行监管机构应要求所有银行都建立操作风险的风险 识别 评估 监控 控制 缓解的有效框架 下面将分别讨论符合这一原则的信息安全风险管理框架中的 各个部分 3 1 风险的识别 风险的识别就是识别当前信息和信息系统中的资产 判断面临的威胁 分析相关的脆弱性 从而识别 相应的风险 简言之 风险的识别主要包括识别资产 识别威胁 识别脆弱性等三个过程 信息资产是构成信息系统的基本组成部分 信息资产的界定和赋值是整个工作的前提 资产是企业 机构直接赋予了价值因而需要保护的东西 它可能是以多种形式存在 有无形的 有形的 有硬件硬件 有软软 件件 有文档 代码 也有服务 企业形象等 参照 BS7799 对信息资产的描述和定义 可以将信息资产分 类为 数据 服务 软件 硬件 文档 设备 人员和其它类 我们根据不同的业务系统进行流程分析 得出涉及的信息资产 并且初步判断关键资产 关键资产对整个业务运作具有决定性作用 需要重点保护 威胁和脆弱性的识别可以根据相关的国际标准和指南性文件进行 在风险识别的过程中 需要从银行高层的角度统一各种资产 威胁和脆弱性的定义方法和分类方式 避免各个分支机构的不统一现象 3 2 风险的评估 巴塞尔银行监管委员会发布的操作风险的第四条管理原则表示 银行应该识别和评估所有产品 行为 流程和系统中存在的操作风险 银行应该确保在任何新产品 行为 流程和系统生效或执行前 进行了有 效的操作风险评估 风险评估是明确安全现状 规划安全工作 制订安全策略 形成安全解决方案方案的基础 全面系统的风 险评估可以保障后续安全工作的经济性 有效性和完整性 风险评估通过明确与安全风险相关的一系列因 素的实际情况 得到以风险为度量的安全现状 只有以风险评估 控制和管理为目标 才能明确应被保护 的资产是什么 实施保护的重点有哪些 进一步分析相应的威胁与脆弱性 已采取的安全措施的有效性 选择可采取的安全措施 真正做到安全工作有的放矢 安全评估由工具评估 人工评估 渗透测试 策略 分析 安全审计等构成 其中安全审计又包括标准化审计 业务流程分析和网络架构分析 威胁分析等等 风险评估可以分为自评估 检查评估和委托评估等不同的形式 由于目前风险评估在具体操作中存在 各种不同的方法 比如定性评估 定量评估或半定量评估等 所以在实施自评估或者委托评估之前最重要 的是对评估方法进行规范 避免不同地区 不同部门采用不同的评估方法 造成数据的不统一 给总行的 风险管理工作造成不必要的障碍 比如需要确定资产赋值的统一方法 脆弱性和威胁的对应关系 信息安 全风险计算的方式和方法等等 3 3 风险的监控 巴塞尔银行监管委员会发布的操作风险的第五条管理原则是 银行应该建立经常性的操作风险监控流 程 定期向管理层报告操作风险的相关信息 实现对操作风险的积极管理 由于银行业务的不断发展和信息技术的持续更新 信息系统始终处在不同的变更过程中 由于新的安 全漏洞和威胁的不断出现 银行中的信息资产也会出现新的安全脆弱点 可能会影响到整个信息系统的安 全风险状态和安全等级 所以 用户需要建立一套动态的安全状况跟踪和监控机制 所以根据具体需求 开发符合自身需要的一个标准化的信息资产风险管理系统是非常重要的 信息资产风险管理系统规范了风险管理中的各个要素以及识别 评估 监控 控制的全过程 对于银 行总部统一管理各个分支机构的操作风险 实现有效数据收集能够起到很重要的作用 该系统可以实现信 息系统的外部监控和内部监控 并且能够动态管理信息系统的风险状况和等级状态 外部监控主要包括对 外部安全信息的收集和分析 包括信息系统涉及的厂家发布的安全信息跟踪 安全研究和事件响应 如 CERT 组织发布的安全动向 以及其它网络资源 如邮件列表 民间安全论坛等 分析威胁 漏洞和 安全环境的最新动向 内部监控是指对信息系统内部的信息资产变更 业务流程变更导致的信息系统调整 网络和系统安全配置变更 安全事件等进行记录和分析 及时把握信息系统安全状态和动向 所谓知己知 彼 百战不殆 只有对外部环境和内部环境都有相当的了解 才能够在动态的环境中把握信息安全平衡 信息资产风险管理系统是进行风险实时监控的工具 对网络中所有资产 管理 运行相关的安全信息 数据进行管理 同时在安全评估过程中自动产生相关人工评估表单 问卷等 对风险评估过程进行标准化 方便用户的自评估 所有安全信息都存放在后台的安全信息库 用户可使用使用随时对信息库进行访问和各种 数据查询分析 输出或打印需要的相关报告 了解相应的信息系统的风险状况 该系统能详细的跟踪风险 评估的各个阶段 并能有效的保留评估原始数据 提取风险的各种要素 并科学计算出每一个资产的风险 值和信息系统风险状况 用户可以随时查看任何一个资产的风险值 如果经过多次风险要素采样以后还能 直观的了解到整个资产的风险趋势图 同样用户能够更直接的获知当前系统存在的一些安全隐患 并详细 的了解到如何来防范这些隐患从而降低风险 3 4 风险的控制和缓解 巴塞尔银行监管委员会发布的操作风险的第六条管理原则是 银行需建立策略 流程和步骤以控制和 或缓解操作风险 EBG 发表的 电子银行风险管理原则 中的第四条到第十条对电子银行需要进行重点控制的几个部分 进行了阐述 分别是 第四条 电子银行客户身份的识别 第五条 电子银行交易的非拒绝性和可靠性 第六条 确保职责分开的适当措施 第七条 系统 数据库 应用的授权控制 第八条 交易的数据 记录和信息的完整性 第九条 交易的清晰审计记录的设立 第十条 关键银行信息的保密 第十一条 电子银行服务的适当披露 对于不同安全等级要求的信息和信息系统 以及信息系统的不同阶段 我们都需要选择适当的安全控 制方式 风险的处理方式可以参考 AS NZS 4360 的建议方式进行处理 大致有降低可能性 减少影响 风险转移 风险规避 风险接受等几种方式 其中风险的接受程度依据安全级别的不同具有不同的接受程 度 选定并开发安全控制措施后 列入安全规划 然后进行安全控制的有效性测试 实施和验证 巴塞尔银行监管委员会发布的操作风险的第七条管理原则是 银行需要建立业务应急和持续性计划以 确保发生灾难事件时业务可以持续运作 将损失降到最小 业务应急和持续性计划对于降低安全事件的影响是非常重要的 是风险管理中的重要环节 业务持续 性管理主要包括下面的内容 首先 评估灾难对业务的影响程度 并识别出对业务发展起关键作用的服务 然后 定义灾难后关键服务恢复所需的时间 第三 采取相应措施预防 检测灾难 降低灾难造成的损失 并进行详尽计划制订和演练测试 4 美国银行 美国银行 Bank of America 的操作风险管理 的操作风险管理 我们具有非常广泛和复杂的业务类型 成功的操作风险管理对于像我们一样的涉及面广泛的金融服务 公司是非常重要的 美国银行 2003 年度报告 美国银行是美国第三大银行 在三十个国家设有多达四千二百家分行 为多达三千万个家庭及二百万 个商业客户提供服务 美国银行成立了企业操作风险管理部门和符合性风险管理部门 并通过培训等方式 进行全员的操作风险和符合性意识教育 美国银行将操作风险分为两种类型 业务特定的操作风险 影响所有业务领域的企业范围的操作风险 美国银行在业务部门级别设立业务部门风险执行官 负责本部门内所有的操作风险 在管理他们的特定风 险时 运用企业范围统一的操作风险策略 过程和评估方式 对于业务特定风险 企业操作和符合风险管 理部门和业务部门一起制定符合整体策略的风险管理方法 同时参照业界业界的 最佳实践 针对企业范围内的操作风险 比如信息安全 业务恢复 法律和符合性 操作和符合风险管理部门负 责进行风险评估 开发一个企业范围内的统一方法 并且将该方法和每一个部门进行充分交流 为了帮助 进行企业范围内的风险进行评估和管理 美国银行还雇用了专业支持小组 比如法律 信息安全 业务恢 复 供应链管理 财务 技术和运作等 这