Системный подход к анализу информационными рисками предприятия, Системный подход к анализу информационной сферы предприятия - Системный подход к анализу информационных рисков и угроз предприятия

Системный подход к анализу информационной сферы предприятия

Сущность системного подхода может быть определена путем обобщения его свойств и характеристик:

    - системный подход базируется на общей теории систем; - основное внимание при использовании системного подхода уделяется выбору конечных целей использования системы и определению целей применения подсистем; - при системном подходе все используемые методы и средства должны согласованно применяться в рамках единой методики для достижения поставленных целей процесса или системы; - системный подход применяется для решения проблем, которые не могут быть поставлены и решены методами отдельных разделов математики; - системный подход предполагает использование не только формальных методов, но и методов качественного анализа и синтеза, основанных на опыте и интуиции специалиста; - системный подход позволяет объединять знания специалистов различных областей знаний; - применение системного подхода может способствовать разработке новых методов исследования, если существующие методы не позволяют решить актуальную проблему; - методология системного подхода предполагает представление системы или процесса в виде связанных подсистем (вложенных процессов) и их согласованного исследования для достижения конечных общих целей исследования системы (процесса); - в соответствии с системным подходом в системе или процессе должны быть строго определены границы, а также входные и выходные связи (потоки) с внешней средой или внешними процессами; - системный подход предполагает целостное представление и исследование системы или процесса, однако масштабы системы (процесса) и внешние связи (потоки) выбираются в соответствии с целями исследования.

Системный подход предполагает, прежде всего, выделение систем в соответствии с целями исследования и уровнем рассмотрения проблем. Для рассмотрения сущности информационных рисков предлагается выделить две взаимосвязанные системы: информационную систему предприятия (внутреннюю среду) и внешнюю среду.

С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов следует рассматривать субъекты и объекты информационных процессов. К субъектам информационных процессов относятся сотрудники предприятия, имеющие отношение к получению, обработке, хранению и передаче информации. Объектами являются информационные ресурсы и материальные средства обеспечения информационного процесса предприятия.

Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.

Во внешней среде выделяются элементы двух типов. К элементам первого типа относятся объекты, субъекты, процессы и явления, которые оказывают влияние на информационную систему предприятия. Эти элементы в свою очередь могут быть разделены на две группы. Первую группу образуют элементы информационного взаимодействия с информационной системой предприятия. Такое взаимодействие определяется лишь информационными ресурсами и характером взаимодействия по обмену информацией. Примерами таких элементов могут служить средства массовой информации; партнеры по бизнесу; потребители продукции или услуг; государственные структуры; злоумышленники, использующие программные средства воздействия и т. д.

Ко второй группе относятся элементы внешней среды, которые оказывают неинформационное воздействие на элементы информационной системы предприятия (ИСП). Это природные явления; техногенные аварии; злоумышленники, оказывающие воздействие на материальные объекты информационной системы и другие элементы. Особенностью элементов этой группы является преимущественное одностороннее воздействие этих элементов на объекты информационной системы.

Объединение этих двух систем позволяет получить системный комплекс или мегасистему. Такую мегасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия и внешней средой. Понятие иррациональности, под которым понимается наличие неупорядоченности, нецелесообразности, во взаимодействии систем.

На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия и систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия.

Системный подход к управлению информационными рисками предполагает рассмотрение их причинно-следственных связей. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.

Под факторами риска понимаются условия, вызывающие риск или способствующие проявлению его причин. Понятие причины риска определяется в этой же работе следующим образом: "Результатом проявления причины риска будет нежелательное развитие событий, последствия которого приведут к отклонению от поставленной стратегической цели предприятия

Для уточнения терминологии обратимся к толковому словарю русского языка. В словаре эти понятия определены следующим образом:

    - причина - "явление, вызывающее, обусловливающее возникновение другого явления"; - событие - "то, что произошло, то или иное значительное явление"; - фактор - "момент, существенное обстоятельство в каком-нибудь процессе, явлении".

Если следовать приведенным определениям, то применительно к понятию риска можно сделать следующие заключения:

    1) причиной риска служит явление (событие), вызывающее, обуславливающее риск; 2) фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

При исследовании информационных рисков необходимо анализировать причины их возникновения с такой глубиной, которая позволяет рассматривать всю цепочку причин, на которые предприятие имеет возможность влиять, или, по крайней мере, учитывать при анализе риска.

Рассматривая соотношение понятий "причина" и "фактор", необходимо отметить, что причина определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков. Так при исследовании причин информационных рисков, связанных с таким информационным объектом как специалист, необходимо рассматривать мотивацию его поступков. Мотивация в свою очередь определяется целым рядом причин. Если специалист совершил злоумышленное деяние в отношении ИСП по корыстным мотивам, то для этого у него была причина, а возможно и целая цепочка причинно-следственных связей.

Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние ИСП в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется в научных работах по защите информации. Факторы риска непосредственно связаны с информационной системой предприятия. Руководство предприятия может в полной мере влиять на факторы риска, снижая вероятность наступления рисковых событий в ИСП.

Анализ информационных рисков предполагает также исследование источников рисков. Под источником информационных рисков понимается субъект, объект, процесс или явление, в котором реализуются причины информационных рисков.

Источники порождают риски при определенных условиях, в силу определенных причин. Знание источника информационного риска является обязательным для определения причин негативных событий в ИСП.

Так, например, источником информационного риска может быть специалист предприятия. Причем, зная источник риска, мы можем сразу предположить, что порождаемый этим информационным объектом риск может быть непреднамеренным, случайным, или носить преднамеренный злоумышленный характер. Причинами непреднамеренных рисков могут быть события порожденные некомпетентностью, небрежностью, невнимательностью, усталостью, стрессом, склонностью к излишней разговорчивости, браваде и т. п.

Важность знания источника риска можно рассмотреть на примере все того же специалиста. Причины рисков практически не различаются для сотрудников разных специальностей. Но возможности по реализации того или иного информационного риска для специалистов различных категорий изменяются в очень широком диапазоне. Рядовой пользователь информационной системы имеет возможность нанести ущерб предприятию, прежде всего, в пределах своей компетенции. Значительно большую опасность представляют несанкционированные действия сотрудников информационного отдела и особенно службы безопасности.

Во многих работах для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.

Как правило, между информационными рисками существуют связи и взаимное влияние. Часть рисков является причинами других информационных рисков. Так стихийные бедствия могут порождать аварии или отказы технических средств. Другая часть рисков может создавать благоприятные условия для реализации иных информационных рисков, то есть являться факторами риска. Причем новые риски могут быть реализованы, а могут и не получить возможности реализоваться.

Схематично процесс воздействия информационных рисков на информационную систему предприятия представлен на Рис. 1. На рисунке показано, что рисковое событие может произойти, когда существуют одновременно причина и фактор риска. Штриховая линия указывает на возможность взаимного влияния рисков.

2

Рис. 2 Схема воздействия информационных рисков на ИСП

Похожие статьи




Системный подход к анализу информационными рисками предприятия, Системный подход к анализу информационной сферы предприятия - Системный подход к анализу информационных рисков и угроз предприятия

Предыдущая | Следующая