Управление информационными рисками (23.11.2009)

Автор: Завгородний Виктор Иванович

– коэффициент учета затрат на создание и обслуживание резерва, ? – сумма резерва, ?о – остаток резервного фонда.

Учитывая все введенные обозначения и приведенные соотношения, затраты предприятия на управление всеми значимыми информационными рисками представим следующим образом:

где N – общее количество значимых рисков, J – количество информационных рисков, для которых используются механизмы предотвращения рисковых событий, K – количество информационных рисков, для минимизации ущерба от которых применяются нефинансовые механизмы, L – количество страхуемых информационных рисков.

– коэффициент, учитывающий вероятность l- го риска:

- часть собственных денежных резервов, используемая для снижения ущерба от i- го информационного риска.

Страховая сумма есть функция от ожидаемого ущерба и зависит от тех же затрат, что и ущерб. Страховой взнос зависит от величины страховой суммы и вероятности наступления страхового события.

Снижение вероятности рискового события, величины ожидаемого ущерба, страхового взноса при использовании соответствующих механизмов предотвращения информационного риска и снижения ущерба от него могут учитываться с помощью коэффициентов. Предположим, что при использовании комплекса антивирусных программ коэффициент снижения вероятности недоступности информации в ИСП равен 1/3. Тогда при установке пакета антивирусных средств в ИСП получим значение вероятности недоступности информации:

– коэффициент учета эффективности антивирусного средства и доли вирусов в данном информационном риске, pi – вероятность информационного риска без учета антивирусной защиты.

Зависимость величины ущерба от затрат на механизмы его снижения может быть учтена также с помощью коэффициентов эффективности вводимых механизмов. С использованием системы коэффициентов соотношение (4) принимает вид:

выбирается страховщиком в зависимости от эффективности механизмов предотвращения информационных рисков, которые применяет страхователь в своей ИСП. Считаем, что эффективность механизмов зависит от суммы вкладываемых в них средств.

Система управления информационными рисками является подсистемой системы управления предприятием. Полная оценка расходов на информационные риски должна учитывать взаимодействие данной подсистемы с другими подсистемами предприятия.

В выражении (5) не учитываются затраты на интеграцию всех механизмов защиты от информационных рисков в единую систему управления, затраты ресурсов ИСП и всего предприятия на нужды защиты от информационных рисков. Имеются в виду ресурсы, которые непосредственно не относятся к ресурсам СУИР, но используются для выполнения определенных функций управления информационными рисками.

Если системные затраты подсчитывать как сумму по каждому информационному риску, то выражение для подсчета полных расходов на управление информационными рисками примет следующий вид:

– системные затраты на управление i-м информационным риском.

В зависимости от целей анализа расходов на управление информационными рисками могут подсчитываться расходы на создание системы управления информационными рисками, полные расходы на управление рисками за определенный период времени (обычно за один год) и общие расходы на управление информационными рисками на конец определенного года эксплуатации СУИР.

При подсчете полных расходов на управление информационными рисками могут быть использованы положения методики определения совокупной стоимости владения (Total Cost of Ownership, ТСО). Применяя данную методику можно решить следующие задачи, связанные с расходованием средств на управление информационными рисками: определение полных расходов на создание и обеспечение функционирования СУИР; сравнение затрат предприятия на управление информационными рисками с такими же затратами на других предприятиях; повышение эффективности инвестирования в управление информационными рисками; определение направлений развития СУИР; обоснование части бюджета предприятия, направляемой на управление информационными рисками; определение эффективности нового проекта развития СУИР; определение стоимости услуг внешних организаций в области управления информационными рисками; определение эффективности СУИР в целом.

По сравнению с существующими методиками, предлагается учитывать все расходы с учетом нового представления об информационных рисках, а также системные расходы. Расходы на управление информационными рисками разделяются на группы в соответствии с целями исследования. Такой подход принят в бухгалтерском управленческом учете. Необходимо учитывать также особенности определения затрат на выполняемые операции, материальные средства, нематериальные активы. Следует учитывать необходимость выделения расходов на защиту от информационных рисков из общих расходов на информационные технологии, поскольку система управления информационными рисками является подсистемой информационной системы предприятия.

Целью управления информационными рисками предприятия является минимизация общих расходов на управление рисками, которые складываются из затрат на противодействие информационным рискам и ущерба, который несет предприятие в случае реализации рисковых событий. Известно, что искомый теоретический минимум общих расходов будет достигаться при равенстве затрат на противодействие информационным рискам и величины ущерба. Для сравнения эффективности СУИР, кроме абсолютных величин показателей, целесообразно использовать относительные величины показателей. Введем относительный показатель эффективности системы СУИР предприятия, который назовем приведенными полными расходами предприятия на управление информационными рисками Сoc. Тогда приведенные полные затраты на управление информационными рисками определяются следующим образом:

где Сf – полные годовые расходы на управление информационными рисками, Сe – показатель эффективности функционирования предприятия. В качестве показателя эффективности функционирования предприятия могут использоваться: годовая прибыль предприятия, годовой объем производства продукции, годовой товарооборот, объем оказанных услуг и другие.

Приведенные полные расходы на управление информационными рисками позволяют сравнивать эффективность функционирования СУИР разных по масштабам предприятий, а также получать объективную оценку расходов на управление информационными рисками в условиях расширения и реконструкции предприятия.

Выбор того или иного показателя эффективности функционирования предприятия определяется целями исследования. Для сравнения показателей разных по масштабам предприятий или показателей предприятия в условиях реконструкции и развития в качестве показателя эффективности целесообразно выбирать показатели, характеризующие масштабы предприятия: объем произведенной продукции или услуг, стоимость основных средств и т. п.

При анализе эффективности вложения средств в различные сферы деятельности предприятия, при определении структуры расходов может использоваться показатель ROI (Return of Investments). Показатель ROI – это отношение экономического эффекта (прибыли или другого) от проекта к инвестициям, необходимым для реализации этого проекта. Реже ROI определяется как период, в течение которого полностью окупаются инвестиции. Применительно к анализу эффективности СУИР в качестве отношения могут использоваться следующие величины: в числителе – величина снижения ущерба от информационных рисков, а в знаменателе – вложение средств в СУИР (затраты на управление информационными рисками). Обе величины отношения подсчитываются за определенный интервал времени – обычно за один год.

Все приведенные показатели (полные расходы на управление информационными рисками, приведенные полные расходы на управление и ROI) имеют один общий недостаток – имеют статический характер. Они не учитывают возможные изменения экономической ситуации во внешней и внутренней среде предприятия.

Для преодоления этого недостатка оценка эффективности вложения средств в управление информационными рисками может оцениваться с помощью динамических показателей, основанных на методе дисконтированных потоков денежных средств (Discounted Cash Flows – DCF). Оценка может осуществляться с помощью показателя чистой текущей стоимости (Net Present Value – NPV) и внутреннего коэффициента отдачи (Internal Rate of Return – IRR). Коэффициент IRR равен значению ставки дисконтирования, при которой показатель NPV равен 0. Тогда в качестве критерия принятия проекта может быть использовано условие: коэффициент IRR не меньше ставки дисконтирования. В работе приводится пример расчета показателя NPV для оценки инвестиций в проект усовершенствования подсистемы расчетов по банковским картам.

Актуальной является проблема использования страхования информационных рисков в качестве одного из наиболее эффективных механизмов защиты от информационных рисков. Специфику страхованию информационных рисков придают следующие особенности информационных рисков: сложность оценки ущерба от информационных рисков; необходимость обязательной экспертизы (сюрвея) при заключении договора; сложность сбора необходимых статистических данных об информационных рисках; сложность определения и правового подтверждения факта наступления страхового случая. На страхование информационных рисков оказывают влияние и особенности страховой системы и страхового рынка Российской Федерации: отсутствие развитой системы правового регулирования страхования информационных рисков; отсутствие необходимых методик страхования информационных рисков; отсутствие независимых лицензированных организаций аудита информационных систем, имеющих опыт работы в страховом бизнесе; страхование экономических рисков вообще и страхование информационных рисков в частности находятся в стадии становления.

Формальная постановка задачи оптимизации расходов на управление информационными рисками с применением механизмов страхования без ограничения на привлекаемые средства формулируется следующим образом. Требуется распределить средства на создание (приобретение) механизмов управления информационными рисками, включая страхование, таким образом, чтобы обеспечить минимальное значение общих расходов на управление информационными рисками:

величина франшизы. При установленной величине прибыли от страхования и величине франшизы расходы предприятия на управление i- м информационным риском зависят только от затрат на его предотвращение и снижение ущерба от этого риска. Ожидаемые значения вероятности наступления i- го рискового события и ущерба от этого риска зависят от затрат на нефинансовые механизмы противодействия риску.

Поставленная задача может быть решена одним из рассмотренных переборных алгоритмов. В работе представлена также модель с ограничениями на средства, которые могут быть направлены на управление информационными рисками.

К шестой группе относятся проблемы разработки практических рекомендаций по созданию организационных и организационно-технических подсистем информационной системы предприятия.

В этой группе представлены результаты обоснования рекомендаций по созданию организационной подсистемы СУИР и рекомендации по созданию компьютера защищенной структуры. Обоснование получены в результате использования нового подхода к пониманию информационных рисков, анализа современных технологий и тенденций создания организационно-технических систем, требований нормативно-правовых документов и обобщения практического опыта создания таких систем. В концентрированном виде основные рекомендации по созданию компьютера защищенной структуры могут быть сформулированы следующим образом:

для выполнения функций обеспечения и контроля качества, а также безопасности обрабатываемой информации целесообразно выделить один из процессоров (ядер) компьютера;

в архитектуре компьютера следует предусмотреть механизмы, которые обеспечивали бы доступ сотрудников служб безопасности и информационных отделов только к служебной информации, а к рабочей информации были допущены только пользователи ИСП;

компьютер защищенной структуры должен обеспечивать возможность участия в управлении информационными рисками менеджерам и руководству предприятия, причем процесс должен быть максимально автоматизирован;

в вычислительных системах, созданных на основе компьютеров защищенной структуры, необходимо реализовать режим функциональной замкнутости, который исключал бы возможность выполнения программ, не имеющих специального паспорта безопасности.

Анализ целей, решаемых задач и принципов построения СУИР показывает, что такая система не может создаваться как отдельная организационная единица предприятия. Задачи управления информационными рисками решаются на всех уровнях и во всех звеньях управления и производственной деятельности. Каждый сотрудник предприятия в соответствии со своими функциональными обязанностями принимает участие в управлении информационными рисками.

Система управления информационными рисками должна объединять в единую систему все элементы предприятия, участвующие в управлении информационными рисками. Система управления предприятием адаптируется для выполнения, наряду с другими задачами, задач управления информационными рисками. При этом не требуется кардинально изменять организационно-штатную структуру предприятия. Необходимо лишь реорганизовать ее, в максимальной степени приспособить к решению задач управления информационными рисками.

Автором предлагаются следующие пути формирования структуры СУИР: объединение отделов (служб, специалистов) в единую организационную структуру, решающую важные задачи в одной области информационной сферы предприятия; создание нештатных управляющих органов; структурирование функциональных обязанностей сотрудников в области управления информационными рисками; полное комплексное обеспечение эффективного функционирования организационной структуры СУИР.

Структурный анализ иерархии информационных потоков и процессов информационной сферы предприятия позволяет выделить функции, которые необходимо решать в процессе управления информационными рисками. Для выполнения выделенных функций создается организационная система, один из возможных вариантов которой представлен в работе.

По теме диссертации опубликованы следующие основные работы.

I. Монографии


загрузка...