МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ОДЕСЬКА ПОЛІТЕХНІКА»

Навчально-науковий інститут інформаційної безпеки, радіоелектроніки та
телекомунікацій
Кафедра кібербезпеки та програмного забезпечення

Лабораторна робота №3
З дисципліни: «Банківська безпека»
на тему: «Процес управління ризиками інформаційної безпеки банку»

Роботу виконав:
ст. гр. РЗ-191 Безсонов М.В.
Перевірив:
Доц. Чернишова Л.І.

Одеса – 2023
 Мета роботи: придбати теоретичні знання та практичні навички з
аналізу ризиків інформаційної безпеки банку.

Хід роботи
Обраний банк: УКРСІБ
NIST
Переваги:
- Розроблена відомим агентством з інформаційної безпеки США
- Містить розгорнутий перелік стандартів та методів управління ризиками
інформаційної безпеки
- Забезпечує гнучкість та адаптивність для різних індустрій та потреб
Недоліки:
- Може бути складною для розуміння неспеціалістам
- Вимагає значних зусиль для розробки та реалізації

CRAMM
Переваги:
- Містить практичні кроки та розгорнутий аналіз ризиків
- Забезпечує визначення ризиків інформаційної безпеки в контексті
бізнес-процесів
- Враховує широкий спектр загроз та заходів для їх управління
Недоліки:
- Вимагає значних зусиль для розробки та реалізації
- Використання старих версій може бути неефективним

OCTAVE
Переваги:
- Інтегрований підхід
- Підходить для великих організацій
- Акцент на захист активів
 - Гнучкість
Недоліки:
- Складність
- Часові затрати
- Потребує багато ресурсів
- Не підходить для малих організацій

Згідно з обраним банком УКРСІБ:

Оцінка здатності УКРСІБ
Розділ стандарту Сутність відповідно вимогам з
інформаційної безпеки
4. Оцінка ризиків Визначення ризиків та оцінка Висока
їх впливу на банк
5. Ризик-менеджмент Планування та реалізація Висока
стратегій ризик-менеджменту
6. Критерії безпеки Визначення критеріїв для Висока
забезпечення безпеки банку
7. Вибір заходів контролю Вибір та реалізація заходів Висока
для зменшення ризику
8. Вибір ризик-менеджменту Вибір між різними методами Висока
ризик-менеджменту
9. Реалізація ризик- Реалізація обраних заходів з Висока
менеджменту ризик-менеджменту
10. Моніторинг та перегляд Моніторинг та перегляд Висока
заходів ризик-менеджменту

Особливості вітчизняної системи оцінки ризиків включає:

1. Оцінка ризиків повинна проводитись на рівні окремих бізнес-
процесів банку, а не на загальному рівні.
2. Методика оцінки ризиків повинна бути структурованою та
систематичною.
3. Оцінка ризиків повинна враховувати всі можливі загрози,
включаючи внутрішні та зовнішні загрози.
 4. Оцінка ризиків повинна проводитись періодично, щоб врахувати
зміни в бізнес-процесах та загрозах.
5. Оцінка ризиків повинна мати чітко визначені критерії для
класифікації та оцінки ризиків.
6. Методика оцінки ризиків повинна бути побудована на принципах
незалежності та об'єктивності.

Висновки: УКРСІБ високо оцінює значення ризик-орієнтованого

підходу до керування інформаційною безпекою, розробки стратегії
керування ризиками, оцінки ризиків та їх елементів, вибору та реалізації
заходів з управління ризиками з точки зору інформаційної безпеки та
моніторингу їх ефективності. Це свідчить про високий рівень здатності банку
відповідати вимогам стандарту ISO/IEC 27005.