Информационные риски и методы управления ими
Информация играет важную роль в современном обществе для большинства организаций и ведомств, включая правительство. Информация может принимать различные формы - от наборов данных конфиденциальной персональной информации до записей личных встреч, кадрового учета, политических рекомендаций, переписки и исторических записей. Информация может существовать в различных форматах, начиная с таких как базы данных и до электронной почты, бумаги или видео.
В современном бизнес - пространстве информация является одновременно:
· Ресурсом производства;
· Активом предприятий, частью нематериальных активов;
· Объектом управления, предусматривающим целую систему целей, задач, методов;
· Источником информационных рисков.
При общем существенном росте процессов информатизации бизнеса, коммерциализации информации, усилении взаимосвязи между информационными технологиями и бизнес-процессами компаний неизмеримо возрастает необходимость защиты информации, т.е. управления информационными рисками.
Информационные риски и источники их возникновения.
Существуют разные варианты определения информационных рисков в частности можно привести:
«Это риски утраты, несанкционированного изменения информации из-за сбоев в функционировании информационных систем или их выхода из строя, приводящие к потерям». [1]
В более широком варианте информационные риски - это риски возникновения убытков из-за неправильной организации или умышленного нарушения информационных потоков и систем организации. Данные определения во многом соответствуют так называемым ИТ - рискам.
Однако информация не является синонимом ИТ – ИТ - системы это платформы, с помощью которых информация может обмениваться или управляться. Таким образом, информационные риски не обязательно являются ИТ-рисками (хотя управление ИТ-безопасностью, как правило, становится одним из важнейших компонентов любой стратегии управления информационными рисками).
Компании различных отраслей экономики уже ощутили необходимость в управлении информационными рисками, о чем свидетельствуют, в частности, преимущественный рост рынка продуктов информационной безопасности по сравнению с рынком информационных технологий.
Управление риском означает не только снижение риска, а также принятие риска при условии, что ожидаемый выигрыш, будет больше, чем любые краткосрочные убытки. Риски управления информацией иллюстрируют это. Исследования в данной области, показывают, например, что в некоторых случаях риск сокрытия информации может быть гораздо более серьезным, чем риски в случае раскрытия информации в должной мере. Кроме того, существует значимая социальная и экономическая выгода от повторного и оптимального использования информации обществом.
С позиции организации информационные риски – это возможность наступления случайного события, приводящего к нарушениям функционирования информационной системы организации и снижению качества информации, а также к неправомерному использованию, распространению или противодействию распространения информации во внешней среде, в результате которых наносится ущерб организации.
Понятие «информационная система» включает в себя все ресурсы компании, которые используются для получения, хранения, обработки, передачи и применения информации, а также информационные ресурсы. В состав информационных систем входят следующие компоненты:
1. компьютерные системы;
2. системы передачи информации;
3. оргтехника;
4. базы данных и файлы компьютерных систем;
5. документы в печатной форме;
6. аудио и видеоинформация на носителях различной физической природы[2]
Систематизация информационных рисков
Выделяют два подхода к систематизации и управлению информационными рисками. Первый классический предполагает разделение источников информационных рисков на основании возникающего события, порождающего риск. В Таблице 1 представлена подобная классификация информационных рисков и соответствующие стратегии снижения рисков.[3]
Таблица 1 Информационные риски классический подход.
Возникающие события | Риск | Стратегия по снижению риска |
Ущерб от бедствий природного или человеческого характера (например, пожара, наводнения. землетрясения) | Потеря или повреждение документов и информации
| Готовность к чрезвычайным ситуациям и программы восстановления
|
Основные отключения системы или сбои, вызванные ошибками информационной системы или человеческими ошибками | Потеря или повреждение документов и информации
| Резервное копирование и восстановление системы
|
Мошенничество с применением компьютера | Потеря средств
| ИТ-стратегия безопасности
|
Кража электронной информации и электронных средств информации | Потеря важной бизнес - информации потенциально ведет к потере средств или нанесение ущерба репутации
| ИТ-стратегия безопасности
|
Кража ресурсов компьютерной системы (например, использование компьютерных систем организации для неофициальных целей) | Потеря средств или нанесения ущерба репутации репутации | ИТ-стратегия безопасности
|
Вредоносные атаки и вредоносный код (например, вирусные атаки, хакеры, и т.д.) | Потеря важной бизнес-информации и / или средств
| ИТ-безопасность
|
Несанкционированное раскрытие информации в электронном виде | Потеря конфиденциальности деловой информации приводит к возможной потере денежных средств и / или нанесению ущерба репутации
| ИТ-безопасность
|
Ошибки и упущения в документации | Важная бизнес - информация отсутствует, что приводит к невозможности исполнения договора и/или ответственности перед третьими лицами, и может привести к потере денежных средств и/или нанесению ущерба репутации
| Процедуры документооборота
|
Недостаточные сроки хранения для документов | Отчеты и информация недоступна, в результате несоблюдения законов и нормативных актов и/или неспособность исполнять контракты или поддержку судебных процессов может привести к потере денежных средств и/или нанесению ущерба | Спланированная система хранения документации |
Данный подход является более распространенным для большинства организаций, поскольку позволяет на начальных этапах разделить существующие для внешней и внутренней среды риски, подготовить стратегию по их снижению и разделить ответственность за каждый участок между подразделениями организации. В тоже время существует подход, основывающийся на требованиях компании к используемой информации. В Таблице 2 определены некоторые стандартные характеристики качества, которые организации могут требовать от своих записей и информации. Не все эти характеристики качества будут необходимы для поддержания бизнес-процессов каждой организации. Организация может потребовать и другие качественные показатели для документов и информации, которые не перечислены в таблице. Точно так же, данные указанные в таблице могут не потребоваться каждой организации.
Таблица 2
Качество | Определение |
Точность | Информация без простых ошибок в транскрипции, сборе, или агрегации. |
Полнота | Информация, которая является точной и целой (т. е. без потери данных) |
Достоверность | Информация, которая обладает необходимой степенью точности |
Своевременность | Информация, которая является актуальной в пределах сроков пользования |
Подходит для удержания | Информация, которая не отражает обстоятельства настоящего времени за пределами принятых норм, выявляет уязвимость |
Релевантность | Значение информации в контексте, в котором она будет использоваться и потребностей организации |
Понятность | Информация, которая воспринимается, четко пользователем, или то, что является доступными для пользователей по смыслу |
Адекватность | Информация, которая достаточно подробна для использования по назначению |
Достоверность | Информация, которая воспринимается как объективная, беспристрастная, достойная доверия, точная и полная. |
Надежность | Информация, которой пользователи доверяют, при использовании вновь дает тот же результат |
Возможность поделиться | Сведения, которые могут быть распространены среди людей, которые могут использовать его их продуктивно |
Способность привлекать | Информация, которая захватывает внимание пользователя, часто зависит от формата и презентации |
Доступность и возможность отыскания | Информация, которая может быть получена при необходимости в сроки, которые устраивает пользователь |
Ценность и соответствие | Информация, которая вносит свой вклад в организацию |
Возможность повторного использования | Информация, которая доступна для использования более чем один раз |
Приемлемость | Информация, которая стоит затрат на создание или сбор по отношению к ее назначению |
Убедительность | Информация, которая обладает способностью убеждать других в ее точности, полноте и качестве |
Коммуникабельность | Информация, которая может эффективно выразить смысл своего создателя (т. е. имеет ясность, простоту и полноту) |
Потенциальная необходимость в будущем | Информация, которая может быть использована в будущем |
Оба подхода имеют сильные и слабые стороны. Например, традиционное подход может определить стратегию снижения риска проще, потому что анализ начинается с четко определенного события или угрозы. Качетсвенный подход может потребовать более тщательного анализа, чтобы прийти к стратегии снижения рисков, так как целый ряд причин возможен плохого качества информации. Недоступность информации, например, может быть результатом недостаточной индексации, устаревания или несанкционированного уничтожения. Таким образом, каждый подход следует использовать в зависимости от целей. В условиях ограниченности времени и ресурсов традиционный подход будет более подходящим. Однако для стратегического планирования лучше подойдет качественный подход.[4]
Управление информационными рисками
Для достижения эффективности и стабильности организации необходимо управлять информационными рисками. Под управлением информационными рисками подразумевается система согласованных мер, мероприятий и процедур, осуществляемых персоналом предприятия с целью минимизации расходов на противодействие информационным рискам и устранение их последствий.[5]
Информационные риски имеют те же характеристики, как другие риски, и должны управляться с той же степенью внимания в стратегическом аспекте.
При оценке риска необходимо четко определить приоритеты в действиях. Минимизация расходов на управление информационными рисками выбрана в качестве цели исходя из классического подхода к пониманию информационных рисков. Расходы на управление информационными рисками складываются из затрат на создание, эксплуатацию и модернизацию системы управления информационными рисками, а также ущерба, который несет предприятие в результате реализации рисковых событий.
В отношении информационных рисков могут приниматься следующие стратегии управления:
· Принятие риска. Признание потенциальной потери приемлемой для себя и не отсутствие специальных мер по снижению риска.
· Избежание риска. Решение, направленное на удаление данной единицы риска из портфеля информационных рисков, в частности, устраняя причину соответствующей угрозы (например, отказывается от использования установленного ПО, существенно нарушающего требования информационной безопасности).
· Ограничение риска. Внедрение специальные средств контроля, снижающих вероятность реализации угрозы информационным активам и (или) уменьшающие последствия этой реализации.
· Передача риска. Создание условий для компенсации потенциальных потерь путём передачи риска третьему лицу, например, используя страхование или отдавая отдельные функции на аутсорсинг.[6]
Стратегия принятия риска выбирается в отношении информационных рисков, ожидаемый ущерб от которых незначителен и не относится к категории катастрофических для предприятия. Суть принимаемых мер в соответствии с стратегией ограничения риска заключается в увеличении устойчивости предприятия к воздействию информационных рисков. Данная стратегия предполагает необходимость резервных ресурсов. В качестве резервов используются аппаратные, программные, информационные и финансовые ресурсы. Для управления информационными рисками применяются два финансовых механизма управления:
· создание финансовых резервов;
· страхование рисков.[7]
Наиболее совершенной является стратегия, которая предполагает использование, как механизмов предотвращения информационных рисков, так и механизмов снижения ущерба от информационных рисков. В стратегии управление информационными рисками особое место следует выделить ИТ - рискам. Рекомендации по снижению ИТ – рисков включают в частности:
1. Установка и правильная настройка брандмауэра
2. Обновление программного обеспечения
3. Защита от вирусов и троянских программ
4. Установка системы надежных паролей пользователей
5. Реализация мер физической безопасности для защиты компьютерных активов
6. Обучение сотрудников
7. Безопасное подключение удаленных пользователей
8. Lock Down Servers
9. Контроль идентичности серверов[8]
Особенности информационных рисков требуют, чтобы защитные меры осуществлялись непрерывно, регулярно проверялись на адекватность угрозам, связанные с применением мер снижения риски учитывались в профиле риска организации. Актуализация информации о факторах риска, оценка риска и обновление (разработка) комплекса мероприятий по его минимизации должны проводиться с определённой периодичностью, зафиксированной во внутренних документах. Мониторинг уровня IT-риска, например, по ключевым показателям риска разумнее поручать специалистом, которые не являются сотрудниками информационно-технологических служб организации, поскольку они смогут обеспечить объективную оценку и анализ. Факторами успеха в процессе реализации программы снижения рисков является поддержка высшего руководства организации, наличие документально оформленных процедур всех этапов управления IT-рисками, четкое распределение ответственности за внедрение каждого средства контроля, тестирование внедряемых и уже внедренных контрольных инструментов.
Список литературы
1. INFORMATION SECURITY THREATS AND PRACTICES IN SMALL BUSINESSES. By: Keller, Shannon; Powell, Anne; Horstmann, Ben; Predmore, Chad; Crawford, Matt. Information Systems Management. Spring2005, Vol. 22 Issue 2, p7-19. 13p
2. Managing Risk in Information Systems. (cover story). By: Kuver, Polly Perryman. Year 2000 Practitioner. Sep99, Vol. 2 Issue 9, p1. 6p
3. ttp://www.auditfin.com/fin/2007/5/Zavgorodniy/Zavgorodniy%20.pdf
4. Two Approaches to Managing Information Risks. By: Lemieux, Victoria L. Information Management Journal. Sep/Oct2004, Vol. 38 Issue 5, p56-62. 6p
5. http://www.franklin-grant.ru/ru/pr/pdf/bb_2007-02-01.pdf
6. How risky is your risk information? By: Mark, Robert M.; Krishna, Dilip. Journal of Risk Management in Financial Institutions. Jul-Sep2008, Vol. 1 Issue 4, p439-451. 13p.
[1] http://www.franklin-grant.ru/ru/pr/pdf/bb_2007-02-01.pdf
[2] ttp://www.auditfin.com/fin/2007/5/Zavgorodniy/Zavgorodniy%20.pdf
[3] Two Approaches to Managing Information Risks. By: Lemieux, Victoria L. Information Management Journal. Sep/Oct2004, Vol. 38 Issue 5, p56-62. 6p
[4] Two Approaches to Managing Information Risks. By: Lemieux, Victoria L. Information Management Journal. Sep/Oct2004, Vol. 38 Issue 5, p56-62. 6p
[5] ttp://www.auditfin.com/fin/2007/5/Zavgorodniy/Zavgorodniy%20.pdf
[6] Managing Risk in Information Systems. (cover story). By: Kuver, Polly Perryman. Year 2000 Practitioner. Sep99, Vol. 2 Issue 9, p1. 6p
[7] ttp://www.auditfin.com/fin/2007/5/Zavgorodniy/Zavgorodniy%20.pdf
[8] INFORMATION SECURITY THREATS AND PRACTICES IN SMALL BUSINESSES. By: Keller, Shannon; Powell, Anne; Horstmann, Ben; Predmore, Chad; Crawford, Matt. Information Systems Management. Spring2005, Vol. 22 Issue 2, p7-19. 13p
Дата добавления: 2015-08-29; просмотров: 49 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |
| Регистрационный номер заявки __ | | | 3. Кожгалантерейные изделия__стр.7 |