Управление информационными рисками (23.11.2009)

Автор: Завгородний Виктор Иванович

Для системного рассмотрения вопросов управления информационными рисками вводится понятие «информационная сфера предприятия». С позиций рассмотрения сущности информационных рисков предлагается выделить две системы: информационную систему предприятия (внутренняя среда) и внешнюю информационную среду. Объединение этих двух систем позволяет получить системный комплекс или мегасистему. Такую мегасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия (ИСП) и внешней средой. Под иррациональным взаимодействием понимается наличие неупорядоченности, нецелесообразности, неопознаваемости, непредсказуемости и парадоксальности во взаимодействии систем.

Понятие «предприятие» рассматривается в широком смысле независимо от форм собственности, вида деятельности, организационно-экономической формы и т. д. При необходимости учета особенностей управления информационными рисками на определенных предприятиях это оговаривается особо.

С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов рассматриваются сотрудники предприятия, информационные ресурсы, компьютерные системы различных классов, средства и системы сбора, обработки, хранения, передачи и представления информации, участвующие в информационном процессе или обеспечивающие информационный процесс.

Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.

На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия, а также систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия, независимо от форм представления информации, видов объектов и субъектов, а также временных и пространственных рамок информационных процессов.

Используя дефиницию информационной сферы предприятия понятие «информационный риск» может быть определено следующим образом: информационный риск – это возможность наступления случайного события в информационной сфере предприятия, в результате которого предприятию будет нанесен ущерб. Причем информационные риски рассматриваются как случайные события во внутренней или внешней среде предприятия, оказывающие негативное влияние не только на безопасность информации, но и на ее качество. При этом учитываются все события, которые могут произойти на всех этапах информационного процесса – от получения информации до ее использования в бизнес-процессах.

Информационные риски приводят к ущербам предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам. При выделении информационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков.

Проведенный анализ содержания рисков любой природы позволил сделать вывод о наличии информационной составляющей в любом риске. Это утверждение полностью распространяется и на экономические риски. Отсюда следуют выводы:

при анализе любого экономического риска необходимо рассматривать информационные риски, которые являются возможными причинами и факторами экономических рисков;

управление экономическими рисками должно предполагать управление и информационными рисками.

Часть экономических рисков, по существу, является полностью информационными рисками. К ним относятся, например, управленческий и инвестиционный риски.

В значительной степени информационными являются такие риски, как банковский, валютный, процентный, производственный риск предприятий, оказывающих информационные услуги, и другие риски, в которых основное место занимает риск принятия управленческого решения или производственные процессы являются информационными процессами.

Вторая группа проблем связана с разработкой теоретико-методологического базиса информационного риск-менеджмента.

Управление информационными рисками осуществляется с учетом основных положений общего менеджмента, а также с использованием результатов, полученных в рамках риск-менеджмента. Вместе с тем управление информационными рисками имеет много особенностей и требует доработки методологии, принятой в риск-менеджменте. Учитывая особенности и значимость системного управления информационными рисками, предлагается выделить управление информационными рисками в отдельный раздел риск-менеджмента – информационный риск-менеджмент.

Кроме того, наличие информационной составляющей в любом экономическом риске позволяет сделать вывод о необходимости управления этой информационной составляющей. При всем многообразии и различии экономических рисков в информационной составляющей этих рисков могут быть выделены общие элементы, требующие применения единых методологических подходов к управлению рисками.

В качестве методологической основы информационного риск-менеджмента предлагается использовать системный подход. Системное управление информационными рисками в рамках информационного риск-менеджмента позволяет выйти на качественно новый уровень управления:

учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса – от получения информации до ее использования в бизнес-процессах, независимо от форм представления информации, видов объектов и субъектов информационных процессов, а также временных и пространственных рамок использования информации;

появляется возможность согласованного применения всего комплекса механизмов управления, направленного на достижение конечных целей бизнес-процессов;

для исследования информационных рисков могут согласованно применяться научные методы из различных областей науки, которые не используются вне рамок системного подхода;

в полной мере становятся доступными экономические механизмы управления, повышается значение правовых и организационных методов управления;

рассматриваемый подход к пониманию информационных рисков позволяет сделать вывод о коренном изменении роли и значения менеджмента предприятия: менеджеры всех уровней принимают активное участие в управлении информационными рисками;

архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками должна быть адаптирована к управлению рисками на более высоком системном уровне.

Предлагается в информационном риск-менеджменте выделить три подраздела: управление информационной безопасностью; управление качеством информации; информационное взаимодействие с внешней средой предприятия.

Первые два подраздела информационного риск-менеджмента объединяют направления управления внутренней информационной сферой. В рамках этих направлений рассматриваются также вопросы взаимодействия с внешней средой, но они касаются, в основном, технологии информационных процессов. Это взаимодействие носит, как правило, пассивный характер по отношению к внешней среде.

Выделение проблем информационного взаимодействия с внешней средой предприятия в отдельное направление объясняется необходимостью активного информационного воздействия на внешнюю среду, которое осуществляется, в основном, с помощью правовых и организационных методов. Главными задачами такого воздействия являются информационное обеспечение бизнес-процессов во внешней среде, защита интеллектуальной собственности предприятия и других законных прав предприятия в информационной сфере, взаимодействие с государственными структурами, средствами массовой информации, потребителями продукции предприятия и партнерами по бизнесу.

В условиях становления информационного риск-менеджмента важное значение имеет решение концептуальных вопросов управления информационными рисками. Прежде всего, необходимо определить понятие «управление информационными рисками». Под управлением информационными рисками понимается система согласованных действий, операций и процедур, осуществляемых персоналом предприятия в целях минимизации расходов на противодействие информационным рискам и устранение их последствий.

Целью управления информационными рисками является минимизация суммы расходов предприятия на противодействие информационным рискам и суммарного ущерба от этих рисков.

Управление информационными рисками предполагает решение следующих задач: анализ рисков; выработка политики управления информационными рисками; создание системы управления информационными рисками; устранение причин и факторов значимых рисков; создание механизмов снижения ущерба от возможных рисков; оценка ущерба; ликвидация последствий рисковых событий; постоянный мониторинг и периодический аудит системы управления рисками; анализ эффективности системы управления информационными рисками; совершенствование системы управления информационными рисками.

На основании всестороннего анализа возможных стратегий управления информационными рисками предлагаются следующие стратегии управления: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.

Применительно к задаче построения систем управления информационными рисками предлагается использовать следующие методологические принципы, основанные на принципах системного анализа и синтеза систем, а также на принципах разработки информационных систем. К ним могут быть отнесены: принцип соответствия целей создания каждой подсистемы общей цели создания СУИР; принцип создания СУИР как подсистемы информационной системы предприятия; принцип построения адаптивной СУИР, обеспечивающей ее эффективность и устойчивость; принцип синтеза многоуровневой, многозвенной, комплексной системы защиты от информационных рисков; принцип централизованного иерархического управления; принцип открытости системы; итеративный процесс построения СУИР, основу которого составляют этапы анализа и синтеза.

Перечень приведенных общепринятых принципов построения информационных систем предлагается дополнить следующими принципами: анализ и создание системы управления информационными рисками осуществляется на основе представления информационной сферы предприятия в виде мегасистемы; обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду; создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации.

Общий алгоритм системного анализа применительно к исследованию информационных рисков может быть представлен в виде следующей последовательности этапов: определение целей анализа информационных рисков; общая постановка задачи исследования; построение информационной модели; идентификация информационных рисков; определение механизма воздействия информационных рисков на ИСП; выявление источников, факторов рисков и причин их порождающих; определение взаимосвязи информационных рисков; классификация рисков; выбор показателей оценки рисков; выбор методов и средств оценки рисков; построение моделей; оценка рисков; определение тенденций развития информационных рисков.

Одной из наиболее важных проблем анализа информационных рисков является проблема создания классификации информационных рисков.

Информационные риски предлагается группировать в соответствии с их природой и механизмом действия. Это позволяет оптимально использовать средства и методы защиты информации для блокирования целой группы рисков, сходных по механизму действия.

) и таблицу 1. Схема показывает разделение информационных рисков на группы по одному из пяти классификационных признаков.

Каждой группе присваивается свой индекс. В таблицу сведены все основные риски. С помощью индексов для каждого информационного риска возможно определение его места в классификации по всем классификационным признакам.

При необходимости такая таблица может быть дополнена еще одним столбцом. В нем могут быть размещены индексы тех информационных рисков, наступлению которых способствует соответствующий риск из первого столбца.

Данная классификация обладает еще одним достоинством. Таблицу легко дополнить вычисленными значениями вероятности информационного риска, величинами ущерба и другими показателями риска, которые получаются в результате анализа информационных рисков. То есть таблица классификации, дополненная столбцами с вычисленными показателями отобранных значимых рисков, является таблицей результатов анализа информационных рисков.

. Индексированная схема классификации информационных рисков

Важной проблемой является классификация и характеристика механизмов управления информационными рисками предприятия. Управление информационными рисками предполагает согласованное комплексное применение методов и средств различной физической природы в рамках единой технологической цепи для достижения целей управления. В отношении средств и методов принято использовать общий термин – механизм управления информационными рисками. Многообразие методов и средств, сложные отношения взаимодействия, необходимость согласования по месту и времени их применения вызывают необходимость использования возможностей таксономии на концептуальном уровне исследования проблем управления информационными рисками.


загрузка...