Проектирование информационной системы управления информационными рисками в банковском бизнесе: комплексный подход и актуальные вызовы

В мире, где цифровые транзакции стали нормой, а информация — одной из самых ценных валют, финансовый сектор сталкивается с беспрецедентными вызовами. Банковский бизнес, по своей сути, является средоточием колоссальных объемов конфиденциальных данных и финансовых потоков, что делает его крайне привлекательной мишенью для злоумышленников. Только за первые 10 месяцев 2024 года на финансовый сектор России было совершено почти 17 000 кибератак, что более чем вдвое превышает показатели предыдущего года. Эти цифры красноречиво свидетельствуют о стремительном росте киберпреступности и подчеркивают критическую важность информационной безопасности и эффективного управления рисками.

Настоящая курсовая работа посвящена глубокому исследованию и проектированию информационной системы управления информационными рисками (ИСУР) в банковском бизнесе. Целью работы является не только теоретическое осмысление сущности информационных рисков и методов их оценки, но и разработка практических предложений по созданию ИСУР, способной обеспечить финансовую устойчивость кредитных организаций в условиях постоянно меняющегося ландшафта угроз. В рамках исследования будет рассмотрена многоуровневая структура рисков, актуальные регуляторные требования, передовые методологии оценки и управления, а также архитектурные и функциональные аспекты проектирования ИСУР. Мы углубимся в анализ экономической эффективности таких систем и рассмотрим вызовы, которые ставят перед банковской сферой стремительная цифровизация и появление искусственного интеллекта. Методологической основой работы послужили авторитетные научные публикации, международные стандарты и регуляторные акты Банка России, что обеспечивает высокую академическую ценность и прикладную значимость представленного материала.

Теоретические основы управления информационными рисками в банке

В основе любого системного подхода лежит четкое понимание ключевых терминов и концепций. Банковский бизнес, оперирующий колоссальными объемами чувствительной информации и финансовых потоков, требует не просто защиты, а комплексной системы управления рисками, начинающейся с фундаментального осмысления того, что именно мы защищаем и от чего.

Определения ключевых понятий

Для построения эффективной системы управления информационными рисками (ИСУР) в банковском секторе необходимо прежде всего договориться о единой терминологии. Размытость формулировок может привести к недопониманию, неполноценной оценке угроз и, как следствие, к уязвимостям в защите. Рассмотрим ключевые понятия, формирующие теоретическую базу нашей работы:

• Кибербезопасность — это не просто щит, но и целый арсенал практик, процессов и технологий, призванных защитить цифровые активы — критически важные системы, сети, данные, мобильные устройства и серверы — от посягательств злоумышленников. Её сущность заключается в обеспечении трех столпов информационной безопасности: конфиденциальности (защита от несанкционированного доступа), целостности (гарантия неизменности и подлинности данных) и доступности (обеспечение непрерывного доступа к информации для авторизованных пользователей).
• Информационная система (ИС) — это не просто набор компьютеров, а сложный организм. Согласно ISO/IEC 2382:2015, это система обработки информации, интегрированная с организационными ресурсами — человеческими, техническими, финансовыми. Она предназначена для сбора, обработки, хранения, распространения и передачи информации в целях достижения поставленных задач. В контексте банка ИС включают все от клиентских баз данных до систем управления транзакциями и внутренними процессами.
• Банковский риск — это универсальная категория, описывающая потенциальную возможность потери доходов или активов, а также возникновения непредвиденных расходов, обусловленных спецификой финансовых операций. Это может быть как утрата капитала, так и недополучение запланированной прибыли. Банковские риски многообразны, и информационные риски являются их неотъемлемой частью.
• Система управления рисками (в банке) — это многогранный механизм. В широком смысле она охватывает всю совокупность регуляторных норм, стандартов, деятельность Центрального банка и надзорных органов, а также государственное регулирование денежно-кредитных отношений. В узком смысле это внутренний контур банка: организационные структуры, политики, процедуры и инструменты, направленные на идентификацию, оценку, мониторинг и минимизацию всех видов рисков. Её главная цель — обеспечение финансовой надежности, устойчивости, безопасности и ликвидности банка.
• Информационный риск (в банке) — часто используется как синоним «угрозы безопасности информации», сводя управление им к функциям защиты. Однако более глубокое понимание определяет его как угрозу банковским информационным системам, нематериальным информационным активам, обрабатываемым в них, а также как последствия выхода этих систем из строя. Это более широкое понятие, чем просто защита от вторжений.
• Киберриск (в банке) — это конкретный подвид информационного риска, фокус которого смещен на противоправные действия, совершаемые с использованием информационных технологий. Его сущность — в риске возникновения потерь, дополнительных затрат или недополучения доходов вследствие несанкционированного доступа к объектам информационной инфраструктуры банка. Цель таких действий — нарушение конфиденциальности, целостности, доступности, подлинности и сохранности защищаемой информации. Киберриск является одним из наиболее актуальных и динамично развивающихся компонентов риска информационной безопасности.

Эти определения формируют базис для дальнейшего анализа и проектирования, позволяя четко разграничивать понятия и целенаправленно выстраивать систему защиты и управления рисками.

Виды и особенности информационных рисков в банковском бизнесе

В современном банковском бизнесе информация — не просто ресурс, а полноценный экономический актив, обладающий стоимостью и являющийся предметом оборота. Её критическая важность для банков обусловлена необходимостью обеспечения доступности, целостности и конфиденциальности. Однако по мере возрастания сложности информационных систем и используемых технологий пропорционально увеличивается и количество потенциальных угроз этим системам.

Воздействие киберрисков на финансовую устойчивость кредитных организаций имеет многоуровневый характер: оно проявляется на микроуровне (отдельные банки), мезоуровне (банковские группы и экосистемы) и макроуровне (национальная финансовая система в целом). Это делает информационные риски не просто операционными, но и стратегическими, способными влиять на долгосрочное развитие и конкурентоспособность банка.

Актуальная статистика и масштабы проблемы:

Динамика кибератак и связанных с ними потерь в финансовом секторе России и мира демонстрирует стремительный рост и подчеркивает критичность ситуации:

• 2024 год: Количество кибератак на финансовый сектор России увеличилось более чем в два раза по сравнению с 2023 годом, зафиксировано почти 17 000 атак на банки за первые 10 месяцев. Банк России зафиксировал около 750 кибератак на банковский сектор за этот период.
• Потери от мошенничества: В первом полугодии 2023 года злоумышленники похитили с банковских счетов россиян порядка 4,5 млрд рублей, что почти на 30% больше, чем в среднем за 2022 год. За весь 2023 год эта сумма выросла до 15,8 млрд рублей, а за первый квартал 2024 года составила 4,3 млрд рублей.
• Общий ущерб от ИТ-преступлений: За семь месяцев 2024 года общий ущерб в России достиг 99 млрд рублей, тогда как за весь 2023 год он составил около 156 млрд рублей. С начала 2022 года по август 2024 года кибермошенники похитили и вывели за пределы страны более 350 млрд рублей, совершив около 1,5 млн преступлений в ИТ-сфере.

Эти данные не просто цифры; они отражают реальные финансовые потери, подрывают доверие клиентов и ставят под угрозу стабильность всей банковской системы. Понимание этой разрушительной динамики необходимо для адекватной оценки значимости внедрения эффективной ИСУР.

Классификация угроз информационной безопасности:

Информационные риски в банках проистекают из множества источников. Их можно классифицировать по следующим основным направлениям:

1. Риски, связанные с персоналом (человеческий фактор):
   • Непреднамеренное раскрытие информации: Ошибки сотрудников, невнимательность, низкая киберграмотность.
   • Социальная инженерия: Фишинг, вишинг, целевые атаки, использующие манипуляцию сотрудниками.
   • Инсайдерские угрозы: Злонамеренные действия сотрудников или бывших работников.
   • Актуальность: Человеческий фактор является причиной более 70% успешных кибератак. В 2022 году 74% успешных атак были обусловлены социальной инженерией, ошибками или низкой киберграмотностью. В первом полугодии 2024 года почти 80% инцидентов ИБ в российских компаниях были связаны с человеческим фактором.
2. Вредоносные программы:
   • Вирусы и черви: Распространение вредоносного кода.
   • Ботнеты: Сети зараженных устройств для проведения масштабных атак.
   • Программы-вымогатели (ransomware): Шифрование данных с требованием выкупа. В 2022 году количество кибератак финансово мотивированными хакерами выросло почти в три раза, при этом 68% инцидентов были связаны с программами-вымогателями.
   • DDoS-атаки (Distributed Denial of Service): Перегрузка систем запросами для нарушения их работы. Несмотря на спад DDoS-атак на 68,4% в 2023 году по сравнению с 2022 годом (421 атака), они остаются одним из популярных видов атак.
3. Атаки на облачные хранилища:
   • Несанкционированный доступ к данным, хранящимся в облаке.
   • Уязвимости в облачной инфраструктуре или конфигурации.
4. Атаки на цепочки поставок:
   • Эксплуатация уязвимостей в информационных инфраструктурах подрядных организаций для проникновения к крупным заказчикам. Это стало одним из основных направлений успешных кибератак в 2024 году.
5. Эксплуатация уязвимостей:
   • Использование слабых мест в ПО, оборудовании, сетевой инфраструктуре.
   • Компрометация учетных записей из-за слабых парольных политик или невнимательности.

Операционные риски при применении систем интернет-банкинга:

Системы интернет-банкинга, предоставляя удобство и скорость, одновременно создают новые точки уязвимости. Причинами операционного риска здесь могут быть:

• Нарушения внутренних процессов: Ненадлежащая организация информационных потоков, сбои в режимах функционирования ИС из-за аварий оборудования или ошибок ПО.
• Неправомерный доступ: Хищение средств путем неправомерного использования ключа электронной цифровой подписи, использование интернет-технологий для доступа к ресурсам банка.
• Недостатки ИС: Низкая производительность или недостаточная защищенность информационных систем.
• Внешние факторы: Ошибки клиентов или провайдеров, невыполнение поставщиками договорных обязательств.
• Правовые риски: Неэффективная организация правовой работы, недостаточная проработка правовых вопросов в договорах с провайдерами.

Репутационные риски:

Нарушения непрерывности функционирования систем интернет-банкинга или утечки данных могут привести к риску потери деловой репутации. Компрометация даже небольшой части клиентских данных способна вызвать резонанс в СМИ, нанося серьезный ущерб имиджу финансовой организации. Взыскание репутационного ущерба требует предоставления доказательств причинно-следственной связи между инцидентом, новостными материалами и неблагоприятными последствиями. Это подчеркивает не только финансовый, но и стратегический аспект управления информационными рисками, ведь восстановление доверия занимает значительно больше времени и ресурсов, чем его потеря.

Системообразующий характер киберугроз:

Киберугрозы в банковском секторе перестали быть изолированными инцидентами. Они приобретают системообразующий характер, способный влиять на макрофинансовую стабильность. Системообразующие банки демонстрируют более высокую устойчивость к финансовым кибератакам (среднее значение индекса 7,52 против 4,6 у несистемообразующих), что, с одной стороны, обнадеживает, но с другой — подчеркивает потенциальное влияние киберрисков на всю экономику. Киберинциденты, нарушающие критически важные услуги, такие как платежные сети (например, атака на Центральный банк Лесото), могут серьезно дестабилизировать экономическую активность.

Таким образом, понимание всего спектра информационных рисков, их динамики и многоуровневого воздействия является отправной точкой для построения эффективной ИСУР, способной противостоять вызовам цифровой эпохи.

Методологические подходы к оценке и управлению информационными рисками

Эффективное управление информационными рисками невозможно без их систематической оценки. Чтобы принимать обоснованные решения о мерах защиты, необходимо понимать вероятность возникновения угрозы и потенциальный ущерб от её реализации. Для этого в арсенале специалистов по информационной безопасности существуют как количественные, так и качественные методики, а также целый ряд международных и отечественных моделей управления рисками.

Количественные и качественные методы оценки рисков

Выбор метода оценки рисков зависит от целей, доступности данных и требуемой точности. Оба подхода имеют свои преимущества и области применения.

Количественный метод

Этот метод используется, когда исследуемые угрозы и связанные с ними риски могут быть выражены в конкретных числовых значениях: денежные суммы, проценты, время простоя или человеко-часы. Его преимущество — в возможности получить четкую, измеримую картину потенциального ущерба, что упрощает обоснование инвестиций в ИБ.

Принципы количественного метода:

1. Определение ценности информационных активов (Asset Value, AV): Денежное выражение стоимости данных, систем, оборудования, репутации.
2. Оценка потенциального ущерба (Single Loss Expectancy, SLE): Сумма, которую организация потеряет при однократной реализации угрозы. SLE рассчитывается как произведение AV и Exposure Factor (EF) — коэффициента воздействия, отражающего процент стоимости актива, который будет потерян при инциденте.
   SLE = AV × EF
3. Определение вероятности реализации угроз (Annualized Rate of Occurrence, ARO): Частота, с которой ожидается возникновение угрозы в течение года. ARO может быть определена на основе статистических данных, экспертных оценок или исторических инцидентов.
4. Расчет годовых ожидаемых потерь (Annualized Loss Expectancy, ALE): Общая сумма потерь, ожидаемых от конкретной угрозы за год.
   ALE = SLE × ARO

Применимость: Количественный метод идеален для оценки прямого финансового ущерба от инцидентов (например, потери доходов от простоя системы, расходы на восстановление, штрафы). Он требует наличия точных данных и может быть трудозатратным.

Качественный метод

В отличие от количественного, качественный метод применяется в ситуациях, когда точное численное выражение ущерба затруднено или невозможно (например, для оценки ущерба репутации, морального вреда). Он основан на субъективном анализе и категоризации рисков, что делает его более простым и быстрым в выполнении.

Принципы качественного метода:

1. Определение ценности информационных активов по уровню критичности: Активы категоризируются по степени их важности для бизнеса (например, «критически важный», «важный», «незначительный»).
2. Оценка вероятности реализации угрозы и величины ущерба: Риски оцениваются по шкалам, например, «Высокий», «Средний», «Низкий» или по пятибалльной шкале (1 — минимальный риск, 5 — максимальный).
3. Матрица рисков: Комбинация вероятности и ущерба формирует матрицу рисков, позволяющую приоритизировать их.

Способы проведения качественной оценки (согласно Положению Банка России №716-П):

• Самооценка: Проводится внутренними специалистами банка.
• Профессиональная оценка: Осуществляется внешними экспертами.
• Сценарный анализ: Оценка рисков на основе анализа гипотетических сценариев инцидентов.

Применимость: Качественный метод эффективен для первоначальной идентификации и приоритизации рисков, оценки нефинансового ущерба, а также в условиях ограниченности данных. Он часто используется на начальных этапах построения ИСУР.

Для решения задач анализа рисков информационной безопасности оптимальным является комбинированный подход, сочетающий преимущества обоих методов, где это возможно. Проектная команда, включающая представителей бизнес-подразделений, технических специалистов и экспертов по ИБ, является залогом успешной и всесторонней оценки. Но не стоит ли задаться вопросом, насколько полно эти методы способны учесть динамичность угроз в условиях постоянной цифровой трансформации?

Международные и отечественные модели управления рисками

Помимо методов оценки, существуют комплексные методологии и фреймворки, которые задают структуру и подходы к управлению рисками на уровне всей организации. Они помогают банкам выстроить системную работу по минимизации угроз.

Международные стандарты и фреймворки:

1. COSO ERM (Enterprise Risk Management – Integrated Framework): Этот фреймворк, разработанный Комитетом спонсорских организаций Комиссии Тредвея, является одним из наиболее авторитетных в мире. Он определяет восемь взаимосвязанных областей управления рисками, охватывающих всю деятельность компании:
   • Внутренняя среда: Философия риск-менеджмента, риск-аппетит.
   • Постановка целей: Четкое определение стратегических, операционных, отчетных и комплаенс-целей.
   • Идентификация событий: Выявление потенциальных рисковых событий.
   • Оценка рисков: Анализ вероятности и воздействия рисковых событий.
   • Реагирование на риски: Выбор стратегий (избегание, принятие, снижение, передача).
   • Контрольные процедуры: Политики и процедуры для обеспечения эффективного реагирования на риски.
   • Информация и коммуникация: Своевременный обмен релевантной информацией.
   • Мониторинг: Постоянный контроль эффективности системы управления рисками.

   COSO ERM обеспечивает целостный взгляд на риски, интегрируя их в стратегическое управление.

2. ISO 31000 («Управление рисками — Руководящие указания»): Международный стандарт, предлагающий универсальный подход к риск-менеджменту, применимый к любым видам рисков, включая ИТ/ИБ. Он определяет риск как «результат неопределенности в отношении целей». Ключевые принципы: интеграция в организационные процессы, структурированность, индивидуализация, учет человеческих и культурных факторов, постоянное улучшение. Частью этого стандарта является ISO/IEC 31010:2019 «Risk management — Risk assessment techniques», который детализирует различные методы оценки риска.
3. NIST RMF (Risk Management Framework): Разработан Национальным институтом стандартов и технологий США, этот фреймворк представляет собой структурированную методологию для управления кибербезопасностью и рисками конфиденциальности в информационных системах. Он включает 6 шагов: категоризация, выбор, внедрение, оценка, авторизация и мониторинг. Стандарт NIST SP 800-30 «Guide for Conducting Risk Assessments» является его частью и сфокусирован на ИТ, ИБ и операционных рисках.
4. FAIR (Factor Analysis of Information Risk): Методология, которая дополняет существующие подходы к управлению рисками, предоставляя основу и инструменты для количественного анализа информационных рисков. FAIR фокусируется на измерении потерь от инцидентов ИБ в денежном выражении, классифицируя факторы риска и предлагая методику измерения и схему расчетов. Она позволяет более точно оценивать ROI (возврат инвестиций) в ИБ.
5. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Методика качественной оценки рисков, разработанная Университетом Карнеги-Мелон. Она предназначена для формализации и оптимизации процесса оценки рисков ИБ, особенно в организациях, где ресурсы на ИБ ограничены. Существуют различные варианты, включая OCTAVE Allegro, ориентированный на малый и средний бизнес. OCTAVE акцентирует внимание на критически важных активах и угрозах, используя экспертные оценки.
6. FRAP (Facilitated Risk Analysis Process): Относительно упрощенный способ качественной оценки рисков, который фокусируется на самых критичных активах и проводится с помощью экспертной оценки в рамках рабочих групп.

Программные комплексы и отечественные разработки:

Для автоматизации процессов оценки и управления рисками ИБ используются специализированные программные комплексы. Среди них:

• Международные решения: CRAMM, FRAP, RiskWatch, Microsoft Security Assessment Tool (MSAT), CORAS.
• Отечественные разработки: В России активно развиваются собственные решения. Одним из таких является программный комплекс «ГРИФ».
• GRC-системы (Governance, Risk, Compliance): Отечественные GRC-системы представляют собой интегрированные платформы, позволяющие автоматизировать процессы оценки и управления рисками, а также обеспечивать соответствие требованиям регуляторов. Эти системы особенно актуальны для банков, сталкивающихся с постоянно растущим объемом нормативной документации.

Методики с использованием интеллектуального анализа данных:

Отдельное направление развития — это разработка методик оценки риска от разглашения конфиденциальной информации в источниках данных с использованием интеллектуального анализа данных. Такие методики, в частности, разрабатываются крупными банками, как, например, Сбербанк, для повышения актуальности и точности оценки в банковской сфере. Они позволяют выявлять скрытые закономерности в больших массивах данных и прогнозировать потенциальные утечки или инциденты, что особенно важно в условиях, когда человеческий фактор является причиной большинства успешных атак.

Таким образом, арсенал методологических подходов и инструментов для оценки и управления информационными рисками в банковском секторе весьма широк. Его грамотное применение, сочетающее количественные и качественные методы с использованием передовых фреймворков и специализированного ПО, является залогом построения надежной и адаптивной ИСУР.

Регуляторные требования и стандарты в области информационной безопасности

В банковском бизнесе, где на кону финансовая стабильность и доверие миллионов клиентов, информационная безопасность не может быть вопросом выбора. Она строго регламентируется целым комплексом законодательных актов и отраслевых стандартов, которые формируют фундамент для проектирования и функционирования ИСУР. Эти требования определяют минимально необходимый уровень защиты и задают вектор для постоянного совершенствования систем.

Российское законодательство и нормативы

Российская Федерация располагает развитой нормативно-правовой базой, регулирующей вопросы информационной безопасности и защиты данных, особенно в финансовом секторе.

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ФЗ №152):
   • Основополагающий акт: Этот закон является краеугольным камнем защиты персональных данных в России. Он регламентирует все аспекты, связанные с обработкой, хранением, передачей и доступом к персональным данным, обязывая операторов (в том числе банки) обеспечивать их безопасность.
   • Применение в банковской сфере: Банки, будучи операторами персональных данных, обязаны строго соблюдать требования ФЗ №152. Они имеют право запрашивать у клиентов широкий спектр информации — от паспортных данных и сведений о регистрации до информации о доходах, семейном положении, кредитной истории и финансовых операциях. Однако обработка этих данных должна строго соответствовать заявленным целям и не быть избыточной.
   • Регуляторные полномочия: В рамках своих полномочий Банк России и органы местного самоуправления могут издавать дополнительные нормативные акты по вопросам обработки персональных данных, конкретизируя требования ФЗ №152 для финансового сектора.
2. ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (ГОСТ Р 57580.1-2017):
   • Национальный стандарт: Разработанный Центральным банком Российской Федерации и НПФ «КРИСТАЛЛ», этот ГОСТ стал основным отраслевым стандартом для обеспечения информационной безопасности в финансовых организациях.
   • Уровни защиты: Стандарт определяет три уровня защиты информации, дифференцированные по степени риска, объему обрабатываемой информации и стоимости активов:
     • Минимальный уровень: Для организаций с низким уровнем риска, небольшим объемом данных и невысокой стоимостью активов.
     • Стандартный уровень: Применяется большинством финансовых организаций, обрабатывающих значительные объемы конфиденциальной информации, и требует расширенного набора мер.
     • Усиленный уровень: Обязателен для системно значимых банков и организаций с высоким уровнем риска, работающих с особо ценной информацией, предусматривая максимально полный комплекс организационных и технических мер.
   • Применимость: ГОСТ Р 57580.1-2017 обязателен для кредитных организаций, некредитных финансовых организаций и субъектов национальной платежной системы. Он используется как путем прямых ссылок в нормативных актах Банка России, так и путем его включения во внутренние документы банков и договоры с контрагентами.
3. Положение Банка России № 716-П от 08.04.2020 «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (Положение № 716-П):
   • Комплексный подход: Этот документ устанавливает всеобъемлющие требования к системе управления операционным риском, которая включает в себя также риск информационной безопасности и риск информационных систем.
   • Мониторинг рисков ИБ: Служба информационной безопасности обязана осуществлять мониторинг сигнальных и контрольных значений показателей уровня риска ИБ, обеспечивая проактивное реагирование на потенциальные угрозы.
   • Соответствие Базель III: Банки должны были привести свои базы данных событий операционного риска и порядок учета таких событий в соответствие с требованиями Базель III к 1 января 2022 года.
4. Методические рекомендации Банка России № 7-МР от 21.03.2024 «По управлению риском информационной безопасности и обеспечению операционной надежности» (Методические рекомендации № 7-МР):
   • Развитие нормативной базы: Эти рекомендации разработаны для обеспечения единства подхода к реализации кредитными организациями требований Положения Банка России № 716-П, детализируя практические аспекты управления риском ИБ и операционной надежности.
5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Постановление № 1119):
   • Эти документы дополняют ФЗ №152, конкретизируя состав и содержание мер по обеспечению безопасности персональных данных в информационных системах, устанавливая базовые требования к их защите.

Международные стандарты и рекомендации

Помимо национальных нормативов, банковский сектор ориентируется на международные стандарты, разработанные для обеспечения глобальной финансовой стабильности.

1. Базельский комитет по банковскому надзору:
   • Отраслевые стандарты: Базельский комитет, являясь частью Банка международных расчетов, разрабатывает ключевые отраслевые стандарты, направленные на адекватную оценку банковских рисков и их покрытие капиталом. Эти стандарты являются ориентиром для национальных регуляторов по всему миру.
   • Виды рисков: В частности, Базель-II рассматривает три основных вида рисков: кредитные, операционные и рыночные. Важно отметить, что трактовка операционных рисков Базельского комитета включает юридический риск, но не охватывает стратегический риск и риск потери репутации, что требует от банков дополнительного внимания к этим аспектам.
   • Усиление стандартов: Комитет постоянно усиливает стандарты по управлению залогами и внесению гарантийных депозитов (например, «Margin requirements for non-centrally cleared derivatives»), что напрямую влияет на структуру капитала и операционные процессы банков.
   • Корпоративное управление: Принципы корпоративного управления для банков, разработанные Комитетом, подчеркивают критическую важность участия наблюдательного совета и комитета по управлению рисками в усилении контроля над рисками, определении риск-аппетита и мониторинге его реализации. Надзорные органы, в свою очередь, удостоверяются в наличии у банков эффективных информационных систем, систем управления риском и внутреннего контроля, обеспечивающих четкое отслеживание и информирование о рисках.

Таким образом, проектирование ИСУР в банке — это не только техническая задача, но и процесс, глубоко интегрированный в обширную систему регуляторных требований и стандартов. Соблюдение их является обязательным условием для легального и безопасного функционирования кредитной организации.

Проектирование информационной системы управления рисками (ИСУР) в банке

Проектирование информационной системы управления рисками (ИСУР) в банковской сфере — это сложный, многогранный процесс, который выходит за рамки простого внедрения программного обеспечения. Это стратегическая инициатива, направленная на построение адаптивной, многоуровневой системы защиты, способной эффективно противостоять постоянно эволюционирующим угрозам. В его основе лежит глубокое понимание бизнес-процессов банка, актуальных угроз и регуляторных требований.

Архитектурные и функциональные требования к ИСУР

Эффективная ИСУР должна быть не просто набором разрозненных инструментов, а целостной, интегрированной системой, функционирующей в соответствии с лучшими практиками и стандартами.

Цикл управления рисками ИБ

Управление рисками информационной безопасности в банке строится на принципах цикла Деминга (PDCA — Plan-Do-Check-Act), который адаптирован для сферы ИБ и включает четыре ключевых этапа:

1. Планирование (Plan): На этом этапе определяются цели, задачи, политика ИБ, критерии оценки рисков, а также ресурсы, необходимые для управления рисками. Включает идентификацию активов, угроз и уязвимостей.
2. Реализация (Do): Осуществление запланированных мер по управлению рисками, внедрение контролей безопасности, разработка и применение процедур.
3. Контроль (Check): Мониторинг эффективности реализованных мер, анализ инцидентов ИБ, оценка уровня рисков, проведение аудитов. Соответствие требованиям ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности» здесь критично, так как он устанавливает требования к процессу управления инцидентами, включая обнаружение, анализ, реагирование и восстановление.
4. Совершенствование (Act): Принятие корректирующих и превентивных мер на основе результатов контроля, обновление политик и процедур ИБ, повышение квалификации персонала.

Этот цикл обеспечивает непрерывное улучшение системы управления рисками, делая её гибкой и способной адаптироваться к новым вызовам.

Многоуровневая архитектура информационной безопасности современного банка

Архитектура информационной сети банка — это сложная экосистема, которая должна обеспечивать обработку огромного объема данных, совершение транзакций в различных платежных системах и надежную защиту в разветвленной инфраструктуре (банкоматы, онлайн-терминалы). Современные российские банки строят многоуровневую систему защиты, включающую следующие ключевые компоненты:

1. Межсетевые экраны нового поколения (Next-Generation Firewalls, NGFW): Обеспечивают глубокий анализ трафика, предотвращение вторжений, контроль приложений и пользователей.
2. Системы предотвращения вторжений (Intrusion Prevention Systems, IPS): Активно блокируют обнаруженные атаки и аномалии в режиме реального времени.
3. Решения класса Endpoint Detection and Response (EDR): Мониторинг и реагирование на угрозы на конечных точках (рабочие станции, серверы), позволяющие обнаруживать и локализовывать сложные атаки.
4. Системы централизованного управления событиями безопасности (Security Information and Event Management, SIEM): Собирают, анализируют и коррелируют события безопасности из различных источников, обеспечивая централизованный мониторинг и выявление инцидентов.
5. Системы обнаружения вторжений (Intrusion Detection Systems, IDS): Используются для идентификации кибератак и быстрого реагирования. Современные IDS/IPS активно применяют машинное обучение и аналитику данных для выявления скрытых и ранее неизвестных угроз. В российских банках активно используются отечественные решения IDS/IPS от компаний Positive Technologies, Group-IB, «Лаборатории Касперского», которые применяют сигнатурный, эвристический и поведенческий анализ.

Детализация функциональных модулей ИСУР

ИСУР должна обладать набором функциональных модулей, которые обеспечивают комплексное управление рисками:

• Модуль мониторинга: Отвечает за непрерывный сбор данных из различных источников (систем безопасности, сетевого оборудования, приложений, баз данных). Он осуществляет мониторинг текущих, сигнальных и контрольных значений показателей уровня риска ИБ. Рекомендуется передача результатов этого мониторинга службой ИБ в службу управления рисками для формирования внутренних отчетов.
• Модуль анализа: Обрабатывает собранные данные, используя различные методы (качественные, количественные, интеллектуальный анализ данных) для идентификации угроз, оценки рисков и выявления уязвимостей. Включает инструменты для проведения сценарного анализа, прогнозирования рисков.
• Модуль отчетности: Формирует структурированные отчеты о состоянии ИБ, уровне рисков, инцидентах, эффективности ��онтролей. Эти отчеты предназначены для различных уровней управления — от операционных специалистов до высшего руководства и регуляторов.
• Модуль реагирования: Предоставляет инструменты для автоматизированного или полуавтоматизированного реагирования на инциденты (например, блокировка подозрительных IP-адресов, изоляция скомпрометированных систем), а также для управления планами восстановления после инцидентов.
• Модуль управления активами: Ведет учет всех информационных активов банка, их критичности, владельцев, что является основой для оценки рисков.
• Модуль управления уязвимостями: Автоматизирует процесс выявления, приоритизации и устранения уязвимостей в ПО и инфраструктуре.
• Модуль управления инцидентами: Обеспечивает централизованное управление всем жизненным циклом инцидентов ИБ, от обнаружения до пост-анализа и извлечения уроков.
• Модуль комплаенса: Отслеживает соответствие ИСУР внутренним политикам и внешним регуляторным требованиям (ФЗ №152, ГОСТ Р 57580.1-2017, Положение № 716-П).

Все эти модули должны быть интегрированы, обеспечивая единое информационное пространство для эффективного управления рисками, поддержания высокого качества данных и принятия обоснованных решений.

Этапы проектирования и внедрения ИСУР

Проектирование и внедрение ИСУР — это структурированный процесс, который обычно следует принципам жизненного цикла разработки информационных систем (SDLC) и включает следующие ключевые этапы:

1. Изучение потребностей бизнеса и анализ текущего состояния:
   • Цель: Определить цели и задачи, которые должна решать ИСУР, исходя из стратегических приоритетов банка, его риск-аппетита и специфики бизнес-процессов.
   • Действия: Анализ существующей системы управления рисками (если таковая имеется), оценка текущего уровня информационной безопасности, выявление основных проблем и «болевых точек».
2. Определение функциональных и нефункциональных требований:
   • Цель: Составление детального списка необходимых функций и возможностей системы, а также требований к её производительности, надежности, масштабируемости, удобству использования и безопасности.
   • Действия: Сбор требований от всех заинтересованных сторон (руководство, бизнес-подразделения, ИТ-отдел, служба ИБ), разработка сценариев использования.
3. Разработка концепции и архитектуры ИСУР:
   • Цель: Проектирование общей структуры системы, выбор технологий, определение взаимодействия между модулями и интеграции с существующей ИТ-инфраструктурой.
   • Действия: Создание архитектурных схем, описание логической и физической структуры системы, выбор платформы и программных компонентов.
4. Детальное проектирование:
   • Цель: Разработка подробных технических спецификаций для каждого модуля, интерфейсов, баз данных и алгоритмов.
   • Действия: Создание диаграмм потоков данных, ER-моделей баз данных, описание API, разработка пользовательских интерфейсов.
5. Разработка и тестирование:
   • Цель: Создание программного кода ИСУР и проведение всестороннего тестирования.
   • Действия: Программирование, модульное, интеграционное, системное и приемочное тестирование. Особое внимание уделяется тестированию безопасности (пентесты, аудит исходного кода).
6. Внедрение и миграция данных:
   • Цель: Установка ИСУР в производственную среду банка и перенос необходимых данных.
   • Действия: Развертывание ПО, настройка, миграция исторических данных, интеграция с другими системами банка.
7. Обучение пользователей и ввод в эксплуатацию:
   • Цель: Подготовка сотрудников к работе с новой системой и её запуск.
   • Действия: Проведение обучающих тренингов, разработка пользовательской документации, техническая поддержка на начальном этапе.
8. Эксплуатация, мониторинг и сопровождение:
   • Цель: Поддержание работоспособности ИСУР, ее развитие и адаптация к новым угрозам и требованиям.
   • Действия: Постоянный мониторинг производительности и безопасности, обновление ПО, устранение ошибок, развитие функционала.

Каждый из этих этапов требует тщательного планирования, координации и контроля, чтобы обеспечить успешное создание и эффективное функционирование ИСУР, которая станет надежной опорой для устойчивости банковского бизнеса.

Экономическая эффективность и выгоды внедрения ИСУР

Внедрение любой сложной информационной системы, особенно в таком консервативном и регулируемом секторе, как банковский, неизбежно требует значительных инвестиций. Поэтому вопрос экономической эффективности ИСУР не просто важен — он является критическим для обоснования проекта. Эффективная система управления банковскими рисками, по сути, становится одним из главнейших условий не только стабильного, но и прибыльного функционирования кредитной организации.

Прямое влияние на финансовую устойчивость и прибыльность

ИСУР не является центром затрат в традиционном смысле. Её ценность проявляется в предотвращении потерь и создании условий для более эффективного ведения бизнеса:

• Сокращение прямых финансовых потерь: Главная и наиболее очевидная выгода — минимизация убытков от инцидентов ИБ, кибератак, мошенничества. Как мы уже видели, суммы потерь от киберпреступлений исчисляются миллиардами рублей ежегодно. Предотвращение даже части этих инцидентов окупает затраты на ИСУР.
• Уменьшение операционных расходов: Автоматизация процессов риск-менеджмента, мониторинга и отчетности снижает трудозатраты специалистов, устраняет ручные ошибки, оптимизирует использование ресурсов.
• Сохранение и повышение деловой репутации: Защита от утечек данных и обеспечение непрерывности бизнес-процессов предотвращают репутационный ущерб, который может привести к оттоку клиентов и снижению доверия инвесторов. Репутация в банковском секторе — это актив, который сложно приобрести и легко потерять.
• Соблюдение регуляторных требований: Избежание штрафов и санкций со стороны Банка России и других надзорных органов за несоблюдение требований по информационной безопасности.

Конкретные выгоды: повышение прозрачности и инвестиционной привлекательности

Внедрение эффективной ИСУР оказывает значительное влияние на внешнее восприятие банка и его позицию на финансовых рынках:

1. Повышение прозрачности и инвестиционной привлекательности:
   • Инвесторы и партнеры высоко ценят банки с развитой системой управления рисками. Наличие эффективной ИСУР сигнализирует о зрелости корпоративного управления, что способствует улучшению кредитного рейтинга банка.
   • Улучшенный кредитный рейтинг, в свою очередь, может привести к снижению стоимости заемных средств на 0,5–1,5 процентных пункта. Это означает, что банк получает доступ к более дешевым кредитам и может выпускать облигации с более низкой доходностью, что напрямую сокращает его финансовые издержки и повышает прибыльность.
   • Снижается зависимость от ресурсных ограничений, поскольку автоматизированные процессы позволяют более гибко управлять операциями.
2. Экономия ресурсов от виртуализации информационной среды:
   • Современные ИСУР часто используют принципы виртуализации и облачных технологий. Виртуализация информационной среды банка позволяет консолидировать аппаратные ресурсы, высвобождать физические накопители информации и существенно экономить другие виды ресурсов (электроэнергия, охлаждение, площади для размещения оборудования).
   • Пример: Газпромбанк добился значительной экономической эффективности за счет виртуализации информационной инфраструктуры, что привело к высвобождению физических накопителей информации и экономии других видов ресурсов.
   • Потенциальные количественные выгоды от виртуализации в ИТ-инфраструктуре российских банков включают:
     • Сокращение затрат на аппаратное обеспечение на 20-30%.
     • Снижение энергопотребления до 50%.
     • Ускорение развертывания новых сервисов на 30-40%.

Таким образом, инвестиции в ИСУР — это не просто расходы, а стратегические вложения, которые приносят осязаемые экономические выгоды, укрепляют финансовую устойчивость, повышают конкурентоспособность банка и способствуют общей защищенности финансовой отрасли.

Вызовы и перспективы развития ИСУР в условиях цифровой трансформации

Мир стремительно меняется, и банковский сектор находится на передовой этих трансформаций. Цифровизация приносит колоссальные возможности для оптимизации, расширения услуг и улучшения клиентского опыта, но одновременно порождает новые, более сложные и изощренные угрозы. В таких условиях ИСУР не может оставаться статичной; она должна постоянно развиваться, адаптируясь к новым вызовам и осваивая передовые технологии.

Ключевые вызовы цифровой трансформации

Банки сталкиваются с целым спектром угроз, которые требуют комплексных и инновационных подходов:

1. Рост киберпреступности и утечек данных:
   • Киберпреступность продолжает нарастать, представляя постоянную угрозу для банковского сектора. В первом полугодии 2024 года количество утечек данных в России увеличилось на 10,1% по сравнению с аналогичным периодом 2023 года. При этом более 99% утечек носили умышленный характер, а доля утечек в результате кибератак превысила 80%.
   • Общее количество кибератак на финансовый сектор России за первые 10 месяцев 2024 года увеличилось более чем в два раза, достигнув почти 17 000 атак на банки. Эти цифры подчеркивают постоянно растущий масштаб угрозы.
2. Атаки на цепочки поставок:
   • Этот вид атак становится всё более распространенным и опасным. Злоумышленники используют уязвимости в информационных инфраструктурах небольших контрагентов или партнеров для проникновения к крупным заказчикам, таким как банки.
   • В 2024 году атаки через скомпрометированные информационные инфраструктуры подрядных организаций были одним из ключевых направлений успешных компьютерных атак на финансовую сферу. Это требует от банков не только усиления собственной защиты, но и регулярного аудита, мониторинга безопасности всех партнеров и поставщиков.
3. Уязвимости в отечественном ПО при импортозамещении:
   • Переход на отечественные продукты в рамках политики импортозамещения, хотя и является стратегически важным, создает новые вызовы. В стремлении к конкурентным преимуществам разработчики отечественного ПО не всегда успевают проводить полноценное тестирование, что увеличивает вероятность наличия уязвимостей.
   • По данным некоторых исследований, в российском ПО, особенно в новых продуктах, могут обнаруживаться уязвимости, что требует от банков усиленного тестирования и аудита безопасности при внедрении таких решений.

Искусственный интеллект как источник новых угроз и этические риски

Искусственный интеллект (ИИ) — это обоюдоострый меч. Он не только становится мощным инструментом для защиты, но и превращается в изощренное оружие в руках злоумышленников:

• Дипфейки и социальная инженерия: ИИ может использоваться для генерации реалистичных аудио- и видео-дипфейков, которые применяются в продвинутых атаках социальной инженерии, направленных на обман сотрудников или клиентов банка с целью получения конфиденциальной информации или совершения несанкционированных действий.
• Автоматизированный поиск уязвимостей: ИИ способен автоматизировать процесс поиска и эксплуатации уязвимостей в объектах критической информационной инфраструктуры банка. Это значительно сокращает время, необходимое злоумышленникам для обнаружения слабых мест, и делает традиционные методы защиты менее эффективными.
• Атаки на модели ИИ: Сами модели ИИ, используемые банками для анализа рисков, обнаружения мошенничества или принятия решений, могут стать мишенью. Кибератаки, направленные на нарушение процессов обучения или использования моделей ИИ (например, путем «отравления» данных для обучения), могут серьезно снизить точность алгоритмов и привести к неверным результатам, компрометируя критически важные функции.
• Этические риски ИИ: Помимо технических угроз, использование ИИ порождает этические риски, такие как предвзятость алгоритмов, дискриминация при принятии решений (например, при оценке кредитоспособности) и нарушение прав потребителей. Эти аспекты требуют пристального внимания и регуляторного контроля.

Перспективы развития ИСУР: комплексный подход и человеческий фактор

В свете этих вызовов, перспективы развития ИСУР лежат в нескольких ключевых направлениях:

1. Развитие комплексных подходов к управлению киберрисками:
   • Необходима интеграция традиционных методов риск-менеджмента с инновационными технологиями киберзащиты (такими как расширенная аналитика, машинное обучение, поведенческий анализ).
   • ИСУР должны учитывать специфику цифровой трансформации финансовых услуг, адаптируясь к новым каналам взаимодействия (мобильные приложения, API-банкинг) и новым видам данных.
   • Развитие GRC-систем (Governance, Risk, Compliance) с расширенным функционалом ИИ для автоматизации комплаенс-контроля и проактивного управления рисками.
2. Усиление роли человеческого фактора:
   • Поскольку человеческий фактор является причиной до 80% всех инцидентов ИБ в российских компаниях, постоянное обучение сотрудников принципам кибербезопасности и повышение их осведомленности является одним из наиболее эффективных способов снижения рисков.
   • Регулярные тренинги, симуляции фишинговых атак, повышение киберграмотности сотрудников — это инвестиции, которые значительно снижают вероятность нежелательных инцидентов.

Таким образом, будущее ИСУР в банковском секторе — это не просто автоматизация, а создание интеллектуальных, адаптивных и человекоцентричных систем, способных не только реагировать на существующие угрозы, но и предвидеть новые вызовы, обеспечивая устойчивость и безопасность финансовой системы в эпоху тотальной цифровизации.

Заключение

Проектирование информационной системы управления информационными рисками (ИСУР) в банковском бизнесе — это не просто техническая задача, а стратегический императив, продиктованный динамичностью цифровой эпохи и беспрецедентным ростом киберугроз. Актуальность этой темы подчёркивается неумолимой статистикой: тысячи кибератак и миллиарды рублей потерь ежегодно ставят под удар финансовую стабильность и репутацию кредитных организаций.

В ходе данного исследования мы углубились в теоретические основы, проанализировав ключевые понятия, такие как кибербезопасность, информационный риск и киберриск, а также детализировали многоуровневый характер воздействия информационных угроз на банковский бизнес. Было показано, что информационные риски вышли за рамки операционных, приобретая стратегический и даже системообразующий характер. Особое внимание уделено роли человеческого фактора, который, согласно последним данным, является причиной до 80% успешных кибератак, что делает его критическим элементом в системе защиты.

Мы рассмотрели разнообразные методологические подходы к оценке рисков, от количественных методов, таких как расчет ALE (Annualized Loss Expectancy), до качественных, применяемых для оценки репутационного ущерба. Анализ международных фреймворков (COSO ERM, ISO 31000, NIST RMF, FAIR, OCTAVE) и отечественных программных комплексов показал широкий арсенал инструментов, доступных для построения эффективной ИСУР.

Ключевым аспектом работы стал подробный анализ регуляторных требований. Российское законодательство, в лице ФЗ № 152-ФЗ, ГОСТ Р 57580.1-2017 с его уровнями защиты, а также Положения Банка России № 716-П и Методические рекомендации № 7-МР, формирует жесткий, но необходимый каркас для обеспечения информационной безопасности. Международные стандарты Базельского комитета дополняют эту картину, подчеркивая важность корпоративного управления рисками.

В части проектирования ИСУР мы представили её как непрерывный четырехэтапный цикл (планирование, реализация, контроль, совершенствование) в соответствии с ГОСТ Р 57580.3-2022. Были описаны архитектурные требования к многоуровневой защите банка, включающие NGFW, IPS, EDR, SIEM, а также функциональные модули ИСУР, обеспечивающие мониторинг, анализ, отчетность и реагирование.

Экономическая эффективность внедрения ИСУР не вызывает сомнений. Она проявляется не только в предотвращении прямых потерь, но и в повышении инвестиционной привлекательности, улучшении кредитного рейтинга и ощутимой экономии ресурсов за счет оптимизации инфраструктуры, как это показано на примере Газпромбанка.

Наконец, мы рассмотрели актуальные вызовы и перспективы развития ИСУР. Рост киберпреступности, атаки на цепочки поставок, уязвимости в отечественном ПО и, что особенно важно, двойственная роль искусственного интеллекта – как инструмента защиты, так и источника новых угроз (дипфейки, атаки на модели ИИ) – требуют от банков постоянной адаптации и инноваций.

В заключение, проектирование ИСУР является ключевым фактором, определяющим не просто выживаемость, но и процветание банковского бизнеса в условиях цифровой трансформации. Это комплексная задача, требующая глубокого понимания технологий, рисков, регуляторной среды и, что не менее важно, человеческого фактора. Перспективы дальнейших исследований в этой области лежат в разработке более адаптивных моделей ИСУР с применением ИИ, создании комплексных систем киберграмотности для персонала и углублении анализа макрофинансового влияния киберрисков на устойчивость всей национальной и глобальной финансовой системы. Только такой интегрированный подход позволит банкам уверенно противостоять вызовам будущего.

Список использованной литературы

1. Авдошин С.М., Песоцкая Е.Ю. Информатизация бизнеса. Управление рисками. М.: ДМК Пресс, 2011. 176 с.
2. Анализ международных документов по управлению рисками информационной безопасности. Часть 1. Habr. URL: https://habr.com/ru/articles/494950/ (дата обращения: 13.10.2025).
3. Анализ рисков информационной безопасности в банке. КиберЛенинка. URL: https://cyberleninka.ru/article/n/analiz-riskov-informatsionnoy-bezopasnosti-v-banke (дата обращения: 13.10.2025).
4. Апресова Н.Г. Риск в предпринимательской деятельности. Предпринимательство и право. URL: http://lexandbusiness.ru/view-article.php?id=1112 (дата обращения: 13.10.2025).
5. Базельский комитет по банковскому надзору Руководство Принципы корпоративного управления для банков. URL: https://www.bis.org/bcbs/publ/d394_ru.pdf (дата обращения: 13.10.2025).
6. Балдин К.В. Управление рисками в инновационно-инвестиционной деятельности предприятия: Учебное пособие. М.: Дашков и К, 2013. 420 c.
7. Банковский риск. E-xecutive.ru. URL: https://www.e-xecutive.ru/wiki/index.php/%D0%91%D0%B0%D0%BD%D0%BA%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9_%D1%80%D0%B8%D1%81%D0%BA (дата обращения: 13.10.2025).
8. Банковские риски. Сравни.ру. URL: https://www.sravni.ru/enciklopediya/info/bankovskie-riski/ (дата обращения: 13.10.2025).
9. Банковские риски: сущность и основные подходы к определению. КиберЛенинка. URL: https://cyberleninka.ru/article/n/bankovskie-riski-suschnost-i-osnovnye-podhody-k-opredeleniyu (дата обращения: 13.10.2025).
10. Бюллетень банковской статистики. 2011. № 11 (222). URL: http://www.cbr.ru/publ/BBS/Bbs1111r.pdf (дата обращения: 13.10.2025).
11. Влияние киберрисков на финансовую устойчивость кредитных организаций в условиях цифровой экономики. Вестник Евразийской науки. URL: https://esj.today/PDF/06ECVN624.pdf (дата обращения: 13.10.2025).
12. Волков А.А. Управление рисками в коммерческом банке: Практическое руководство. М.: Омега-Л, 2013. 156 c.
13. Вотинцева Л.И., Дроздовская Л.П., Рожков Ю.В. Виртуализация экономики как фактор развития новых форм финансового посредничества // Экономика и предпринимательство. 2012. № 3. С. 121-125.
14. Воробьев С.Н., Балдин К.В. Управление рисками в предпринимательстве. М.: Дашков и К, 2013. 482 c.
15. Вызовы и угрозы цифровой экономики для устойчивости национальной банковской системы. КиберЛенинка. URL: https://cyberleninka.ru/article/n/vyzovy-i-ugrozy-tsifrovoy-ekonomiki-dlya-ustoychivosti-natsionalnoy-bankovskoy-sistemy (дата обращения: 13.10.2025).
16. Гпущенко Е.Н., Дроздовская Л.П., Рожков Ю.В. Финансовое посредничество коммерческих банков / под науч. ред. проф. Ю.В. Рожкова. Хабаровск : РИЦ ХГАЭП.
17. ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Docs.cntd.ru. URL: https://docs.cntd.ru/document/1200159495 (дата обращения: 13.10.2025).
18. Домащенко Д.В., Финогенова Ю.Ю. Управление рисками в условиях финансовой нестабильности. М.: Магистр, ИНФРА-М, 2010. 238 c.
19. Дроздовская Л.П., Рожков Ю.В. Информационно-кредитный рынок: формирование и регулирование // Банковское дело. 2008. № 7. С. 51-55.
20. Дроздовская Л.П. Формирование информационно-кредитного рынка / под науч. ред. Ю.В. Рожкова. Хабаровск: РИЦ ХГАЭП, 2008. 156 с.
21. Дроздовская Л.П. О внедрении законов естественных наук в экономику // Вестник Хабаровской государственной академии экономики и права. 2012. № 1. С. 46-47.
22. Защита персональных данных банков — принципы и инструменты обеспечения безопасности. Солар. URL: https://solar.ru/blog/zashchita-personalnykh-dannykh-bankov-printsipy-i-instrumenty-obespecheniya-bezopasnosti/ (дата обращения: 13.10.2025).
23. ИКТ-решения: следить за новинками, но не гнаться за модой. Эксперт медиахолдинг. URL: http://www.rusdb.ru/gorod/smi/ikt_solutions/ (дата обращения: 13.10.2025).
24. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ФИНАНСОВО-КРЕДИТНЫХ ОРГАНИЗАЦИЙ В КОНТЕКСТЕ ЦИФРОВОЙ ТРАНСФОРМАЦИИ ЭКОНОМИКИ. ResearchGate. URL: https://www.researchgate.net/publication/343609865_INFORMACIONNAA_BEZOPASNOST_FINANSOVO-KREDITNYH_ORGANIZACIJ_V_KONTEKSTE_CIFROVOJ_TRANSFORMACII_EKONOMIKI (дата обращения: 13.10.2025).
25. Информационные риски в банкинге. КиберЛенинка. URL: https://cyberleninka.ru/article/n/informatsionnye-riski-v-bankinge (дата обращения: 13.10.2025).
26. Информационные технологии в банковском секторе: риски и возможности. Уральский федеральный университет. URL: https://elar.urfu.ru/bitstream/10995/104193/1/m_e_2021_49.pdf (дата обращения: 13.10.2025).
27. Искусственный интеллект в банковском секторе: возможности и риски. Вестник Евразийской науки. URL: https://esj.today/PDF/49FAVN624.pdf (дата обращения: 13.10.2025).
28. Качественные методы оценки риска. RTM Group. URL: https://rtmtech.ru/articles/kachestvennye-metody-otsenki-riska/ (дата обращения: 13.10.2025).
29. Кибербезопасность в банковской сфере: вызовы 2025 года. Spark.ru. URL: https://spark.ru/startup/inforesurs-2/blog/87748/kiberbezopasnost-v-bankovskoj-sfere-vyzovi-2025-goda (дата обращения: 13.10.2025).
30. Количественная и качественная оценка рисков ИБ: практические рекомендации. Reglament.net. URL: https://reglament.net/bank/control/2023_2_article_16.htm (дата обращения: 13.10.2025).
31. Косолапов А.Б. Управление рисками в туристском бизнесе: Учебное пособие. М.: КноРус, 2012. 286 c.
32. Леонович Т.И. Управление рисками в банковской деятельности: Учебный комплекс. Минск: Дикта, Мисанта, 2012. 136 c.
33. Лященко В.П. Торговля оружием: проведение НИОКР, операции со стратегическими материалами и сырьем, риски и управление рисками. М.: Экономика, 2008. 351 c.
34. Мамаева Л.Н. Управление рисками: Учебное пособие. М.: Дашков и К, 2013. 256 c.
35. МЕхАНИЗМ УпРАВЛЕНИЯ бАНКОВСКИМИ РИСКАМИ (КИбЕРНЕТИчЕСКИЙ пОДхОД). Финансы: теория и практика/Finance. URL: https://cyberleninka.ru/article/n/mehanizm-upravleniya-bankovskimi-riskami-kiberneticheskiy-podhod (дата обращения: 13.10.2025).
36. Методика анализа рисков информационной безопасности в банковской сфере с использованием нечеткой логики. КиберЛенинка. URL: https://cyberleninka.ru/article/n/metodika-analiza-riskov-informatsionnoy-bezopasnosti-v-bankovskoy-sfere-s-ispolzovaniem-nechetkoy-logiki (дата обращения: 13.10.2025).
37. Методика оценки риска от разглашения конфиденциальной информации в источниках данных с использованием интеллектуального анализа данных. КиберЛенинка. URL: https://cyberleninka.ru/article/n/metodika-otsenki-riska-ot-razglasheniya-konfidentsialnoy-informatsii-v-istochnikah-dannyh-s-ispolzovaniem-intellektualnogo-analiza (дата обращения: 13.10.2025).
38. Методические рекомендации Банка России от 21 марта 2024 г. № 7-МР “По управлению риском информационной безопасности и обеспечению операционной надежности”. ГАРАНТ. URL: https://www.garant.ru/products/ipo/prime/doc/408711689/ (дата обращения: 13.10.2025).
39. Методы оценки рисков информационной безопасности. Контур. URL: https://kontur.ru/articles/4513 (дата обращения: 13.10.2025).
40. Новиков А.И., Солодкая Т.И. Теория принятия решений и управление рисками в финансовой и налоговой сферах: Учебное пособие. М.: Дашков и К, 2013. 288 c.
41. Нормативные требования Банка России к системе управления рисками ИБ. URL: https://www.cbr.ru/Content/Document/File/120286/716-P_17122020.pdf (дата обращения: 13.10.2025).
42. Обработка персональных данных в банке. SearchInform. URL: https://www.searchinform.ru/blog/obrabotka-personalnykh-dannykh-v-banke/ (дата обращения: 13.10.2025).
43. Обеспечение информационной безопасности банковской системы. SearchInform. URL: https://www.searchinform.ru/blog/ib-bankovskoy-sistemy/ (дата обращения: 13.10.2025).
44. ОПТИМИЗАЦИЯ УПРАВЛЕНИЯ ФИНАНСОВЫМИ РИСКАМИ С ИСПОЛЬЗОВАНИЕМ ИНСТРУМЕНТОВ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. Вестник Алтайской академии экономики и права. URL: https://vaael.ru/ru/article/view?id=2888 (дата обращения: 13.10.2025).
45. Останин В.А., Плесовских Ю.Г., Рожков Ю.В. Триада «Страх — Опасность — Риск» и экономическая безопасность предпринимательства // Экономика и предпринимательство. 2012. № 2. С. 181-186.
46. Особенности качественных и количественных методов определения рисков. Elib.altstu.ru. URL: https://elib.altstu.ru/elib/downloads/d26573.pdf (дата обращения: 13.10.2025).
47. Оценка киберриска в банках и его место в модели оценки эффективности. Электронная библиотека БГЭУ. URL: https://elib.bseu.by/pdf/131742 (дата обращения: 13.10.2025).
48. Оценка рисков информационной безопасности в банковской сфере. ITSec.Ru. URL: https://itsec.ru/articles2/control/analiz-riskov-informacionnoy-bezopasnosti-v-bankovskoy-sfere (дата обращения: 13.10.2025).
49. Пашковский Д.А. Регулирование информационных и телекоммуникационных рисков в системе управления операционным риском кредитных организаций: дис. … канд. экон. наук. СПб., 2002. 172 с.
50. Плошкин В.В. Оценка и управление рисками на предприятиях: Учебное пособие. Ст. Оскол: ТНТ, 2013. 448 c.
51. Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». ЦБ РФ. URL: https://www.cbr.ru/analytics/bn_01042021_6/ (дата обращения: 13.10.2025).
52. Понятие, сущность и классификация банковского риска. Economic-crisis.ru. URL: https://www.economic-crisis.ru/risk-menedgment/bankovskij-risk.html (дата обращения: 13.10.2025).
53. ПРИКАЗ. Банк России. URL: https://www.cbr.ru/Content/Document/File/144412/policy_pd_2023.pdf (дата обращения: 13.10.2025).
54. Райков А.Н. Объединение операторов связи может снизить качество городских телекоммуникационных услуг // Информационное общество. 2001. № 5. С. 37.
55. Раздел 2. Банковские риски, возникающие при осуществлении кредитными организациями операций с применением систем интернет-банкинга. Гарант. URL: https://base.garant.ru/12160754/53f89421bbdaf71fc345e227e7040713/ (дата обращения: 13.10.2025).
56. Разъяснение методологий оценки рисков. Continuum GRC. URL: https://www.continuumgrc.com/ru/risk-assessment-methodologies-explained/ (дата обращения: 13.10.2025).
57. Риск в гражданском праве. Allbest. URL: http://knowledge.allbest.ru/law/3c0b65625b2ad78a5d43a88421316d36_0.html (дата обращения: 13.10.2025).
58. Рожков Ю.В., Дроздовская Л.П. О массе риска как инструменте банковского риск-менеджмента // Банковское дело. 2010. № 7. С. 43-48.
59. Рожков Ю.В., Старинов Г.П. О формировании деликт-менеджмента как отрасли научного знания // Менеджмент в России и за рубежом. 2012. № 2. С. 32-36.
60. Рыхтикова Н.А. Анализ и управление рисками организации: Учебное пособие. М.: Форум, 2012. 240 c.
61. СИСТЕМА УПРАВЛЕНИЯ БАНКОВСКИМИ РИСКАМИ. Фундаментальные исследования. URL: https://fundamental-research.ru/ru/article/view?id=37286 (дата обращения: 13.10.2025).
62. Система управления рисками. ОАО Белагропромбанк. URL: https://www.belapb.by/corporativnym-klientam/o-banke/sistema-upravleniya-riskami/ (дата обращения: 13.10.2025).
63. Стребел П., Олссон Э. Грамотные ходы. Как умные стратегия, психология и управление рисками обеспечивают успех бизнеса; Пер. с англ. А. Столяров. М.: Олимп-Бизнес, 2013. 208 c.
64. Сущность и виды банковских рисков. Экономика и менеджмент инновационных технологий. URL: https://ekonomika.snauka.ru/2012/12/2070 (дата обращения: 13.10.2025).
65. Управление рисками информационной безопасности в России. Security-expert.ru. URL: https://security-expert.ru/articles/upravlenie-riskami-informatsionnoy-bezopasnosti-v-rossii (дата обращения: 13.10.2025).
66. Уродовских В.Н. Управление рисками предприятия: Учебное пособие. М.: Вузовский учебник, ИНФРА-М, 2012. 168 c.
67. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. Банки.ру. URL: https://www.banki.ru/wikibank/federalnyy_zakon_o_personalnykh_dannykh_ot_27_07_2006_n_152-fz/ (дата обращения: 13.10.2025).
68. Федорова Т.А. Управление рисками и страхование в туризме: Учебное пособие. М.: Магистр, НИЦ ИНФРА-М, 2013. 192 c.
69. ФИНАНСОВЫЕ РИСКИ КОМПАНИЙ В УСЛОВИЯХ ЦИФРОВОЙ ЭКОНОМИКИ. Elibrary.ru. URL: https://elibrary.ru/item.asp?id=45781033 (дата обращения: 13.10.2025).
70. ЦИФРОВИЗАЦИЯ И ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ В БАНКАХ: ШАГ В БУДУЩЕЕ. КиберЛенинка. URL: https://cyberleninka.ru/article/n/tsifrovizatsiya-i-iskusstvennyy-intellekt-v-bankah-shag-v-buduschee (дата обращения: 13.10.2025).
71. Что такое кибербезопасность?. AWS. URL: https://aws.amazon.com/ru/what-is/cybersecurity/ (дата обращения: 13.10.2025).
72. Что такое кибербезопасность?. Лаборатория Касперского. URL: https://www.kaspersky.ru/resource-center/definitions/what-is-cybersecurity (дата обращения: 13.10.2025).
73. Что такое кибербезопасность?. Microsoft Security. URL: https://www.microsoft.com/ru-ru/security/business/security-101/what-is-cybersecurity (дата обращения: 13.10.2025).