Системный подход к анализу информационными рисками предприятия, Системный подход к анализу информационной сферы предприятия - Системный подход к анализу информационных рисков и угроз предприятия
Системный подход к анализу информационной сферы предприятия
Сущность системного подхода может быть определена путем обобщения его свойств и характеристик:
- - системный подход базируется на общей теории систем; - основное внимание при использовании системного подхода уделяется выбору конечных целей использования системы и определению целей применения подсистем; - при системном подходе все используемые методы и средства должны согласованно применяться в рамках единой методики для достижения поставленных целей процесса или системы; - системный подход применяется для решения проблем, которые не могут быть поставлены и решены методами отдельных разделов математики; - системный подход предполагает использование не только формальных методов, но и методов качественного анализа и синтеза, основанных на опыте и интуиции специалиста; - системный подход позволяет объединять знания специалистов различных областей знаний; - применение системного подхода может способствовать разработке новых методов исследования, если существующие методы не позволяют решить актуальную проблему; - методология системного подхода предполагает представление системы или процесса в виде связанных подсистем (вложенных процессов) и их согласованного исследования для достижения конечных общих целей исследования системы (процесса); - в соответствии с системным подходом в системе или процессе должны быть строго определены границы, а также входные и выходные связи (потоки) с внешней средой или внешними процессами; - системный подход предполагает целостное представление и исследование системы или процесса, однако масштабы системы (процесса) и внешние связи (потоки) выбираются в соответствии с целями исследования.
Системный подход предполагает, прежде всего, выделение систем в соответствии с целями исследования и уровнем рассмотрения проблем. Для рассмотрения сущности информационных рисков предлагается выделить две взаимосвязанные системы: информационную систему предприятия (внутреннюю среду) и внешнюю среду.
С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов следует рассматривать субъекты и объекты информационных процессов. К субъектам информационных процессов относятся сотрудники предприятия, имеющие отношение к получению, обработке, хранению и передаче информации. Объектами являются информационные ресурсы и материальные средства обеспечения информационного процесса предприятия.
Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.
Во внешней среде выделяются элементы двух типов. К элементам первого типа относятся объекты, субъекты, процессы и явления, которые оказывают влияние на информационную систему предприятия. Эти элементы в свою очередь могут быть разделены на две группы. Первую группу образуют элементы информационного взаимодействия с информационной системой предприятия. Такое взаимодействие определяется лишь информационными ресурсами и характером взаимодействия по обмену информацией. Примерами таких элементов могут служить средства массовой информации; партнеры по бизнесу; потребители продукции или услуг; государственные структуры; злоумышленники, использующие программные средства воздействия и т. д.
Ко второй группе относятся элементы внешней среды, которые оказывают неинформационное воздействие на элементы информационной системы предприятия (ИСП). Это природные явления; техногенные аварии; злоумышленники, оказывающие воздействие на материальные объекты информационной системы и другие элементы. Особенностью элементов этой группы является преимущественное одностороннее воздействие этих элементов на объекты информационной системы.
Объединение этих двух систем позволяет получить системный комплекс или мегасистему. Такую мегасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия и внешней средой. Понятие иррациональности, под которым понимается наличие неупорядоченности, нецелесообразности, во взаимодействии систем.
На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия и систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия.
Системный подход к управлению информационными рисками предполагает рассмотрение их причинно-следственных связей. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.
Под факторами риска понимаются условия, вызывающие риск или способствующие проявлению его причин. Понятие причины риска определяется в этой же работе следующим образом: "Результатом проявления причины риска будет нежелательное развитие событий, последствия которого приведут к отклонению от поставленной стратегической цели предприятия
Для уточнения терминологии обратимся к толковому словарю русского языка. В словаре эти понятия определены следующим образом:
- - причина - "явление, вызывающее, обусловливающее возникновение другого явления"; - событие - "то, что произошло, то или иное значительное явление"; - фактор - "момент, существенное обстоятельство в каком-нибудь процессе, явлении".
Если следовать приведенным определениям, то применительно к понятию риска можно сделать следующие заключения:
- 1) причиной риска служит явление (событие), вызывающее, обуславливающее риск; 2) фактором риска называется состояние процесса или объекта, которое способствует реализации риска.
При исследовании информационных рисков необходимо анализировать причины их возникновения с такой глубиной, которая позволяет рассматривать всю цепочку причин, на которые предприятие имеет возможность влиять, или, по крайней мере, учитывать при анализе риска.
Рассматривая соотношение понятий "причина" и "фактор", необходимо отметить, что причина определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков. Так при исследовании причин информационных рисков, связанных с таким информационным объектом как специалист, необходимо рассматривать мотивацию его поступков. Мотивация в свою очередь определяется целым рядом причин. Если специалист совершил злоумышленное деяние в отношении ИСП по корыстным мотивам, то для этого у него была причина, а возможно и целая цепочка причинно-следственных связей.
Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние ИСП в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется в научных работах по защите информации. Факторы риска непосредственно связаны с информационной системой предприятия. Руководство предприятия может в полной мере влиять на факторы риска, снижая вероятность наступления рисковых событий в ИСП.
Анализ информационных рисков предполагает также исследование источников рисков. Под источником информационных рисков понимается субъект, объект, процесс или явление, в котором реализуются причины информационных рисков.
Источники порождают риски при определенных условиях, в силу определенных причин. Знание источника информационного риска является обязательным для определения причин негативных событий в ИСП.
Так, например, источником информационного риска может быть специалист предприятия. Причем, зная источник риска, мы можем сразу предположить, что порождаемый этим информационным объектом риск может быть непреднамеренным, случайным, или носить преднамеренный злоумышленный характер. Причинами непреднамеренных рисков могут быть события порожденные некомпетентностью, небрежностью, невнимательностью, усталостью, стрессом, склонностью к излишней разговорчивости, браваде и т. п.
Важность знания источника риска можно рассмотреть на примере все того же специалиста. Причины рисков практически не различаются для сотрудников разных специальностей. Но возможности по реализации того или иного информационного риска для специалистов различных категорий изменяются в очень широком диапазоне. Рядовой пользователь информационной системы имеет возможность нанести ущерб предприятию, прежде всего, в пределах своей компетенции. Значительно большую опасность представляют несанкционированные действия сотрудников информационного отдела и особенно службы безопасности.
Во многих работах для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.
Как правило, между информационными рисками существуют связи и взаимное влияние. Часть рисков является причинами других информационных рисков. Так стихийные бедствия могут порождать аварии или отказы технических средств. Другая часть рисков может создавать благоприятные условия для реализации иных информационных рисков, то есть являться факторами риска. Причем новые риски могут быть реализованы, а могут и не получить возможности реализоваться.
Схематично процесс воздействия информационных рисков на информационную систему предприятия представлен на Рис. 1. На рисунке показано, что рисковое событие может произойти, когда существуют одновременно причина и фактор риска. Штриховая линия указывает на возможность взаимного влияния рисков.
2
Рис. 2 Схема воздействия информационных рисков на ИСП
Похожие статьи
-
Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается...
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Введение - Системный подход к анализу информационных рисков и угроз предприятия
Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...
-
Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Полученное системное обобщение формулы Харкевича (3.28) учитывает как взаимосвязь между признаками (факторами) и будущими, в т. ч. целевыми состояниями...
-
По результатам данного исследования необходимо выявить недостатки и ограничения существующих технологий интеграции. Для проведения исследования...
-
Выводы - Системная теория информации и семантическая информационная модель
Интервальные оценки сводят анализ чисел к анализу фактов и позволяют обрабатывать количественные величины как нечисловые данные. Это ограничивает...
-
Графическое отображение нелокальной нейронной сети в системе "Эйдос" Математический метод СК-анализа в свете идей интервальной бутстрепной робастной...
-
Функциональные изменения в сфере использования ИТ - Примение информационных технологий в управлении
Рассмотренные изменения требований к группам интересов в сфере ИТ обусловлены динамикой развития предприятий и внешней среды. Основные аспекты этого...
-
Построение ER диаграмм - Модернизация структуры базы данных на основе анализа требований предприятия
При построении моделей информационных систем важнейшей методикой является ER-моделирование или построение диаграмм сущность-связь. Сущность представляет...
-
Комплексный подход к обеспечению информационной безопасности, Основные понятия - Защита информации
Основные понятия Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах...
-
Понятие модели нарушителя. Типы моделей - Угрозы информационным ресурсам
Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба...
-
Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Заключение - Информационное обеспечение менеджерской деятельности
Итак, можем подвести итоги к выше сказанному. 1. Системный подход позволяет представить организацию как сложную открытую социальную систему - механизм,...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
Структурная схема терминов - История создания и развития автоматизированных информационных систем
Под системой понимают любой объект, который одновременно рассматривается и как единое целое, и как объединенная в интересах достижения поставленных целей...
-
Из заполненной формы 3-информ, утвержденной Приказом Росстата от 06.09.2012 г. № 481 "Об утверждении статистического инструментария для организации...
-
Постановка задачи Основной целью дипломной работы является создание комплексной системы информационной безопасности предприятия на примере информационной...
-
Автоматизированный управление финансы В динамичных условиях развития потребительского спроса в сфере информационных технологий (далее ИТ), создается...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Построение аналитической модели АОУ затруднено из-за отсутствия или недостатка априорной информации об объекте управления, а также из-за ограниченности и...
-
В классическом анализе Шеннона идет речь лишь о передаче символов по одному информационному каналу от одного источника к одному приемнику. Его интересует...
-
Обзор модулей системы - Моделирование и анализ процессов внутреннего документооборота предприятия
Структурно модули системы представляют собой наборы компонент различных типов. Компоненты имеют характерный интерфейс и наборы данных, определяемые их...
-
Это обобщение представляет большой интерес, в связи с тем, что А. Харкевич впервые ввел в теорию информации понятие Цели. Он считал, что количество...
-
Как было показано в лекции 2, системный анализ представляет собой теоретический метод познания, т. е. информационный процесс, в котором поток информации...
-
В данной главе проводится анализ деятельности кафедры информационных технологий в бизнесе. Анализ показывает, насколько важен процесс поиска для...
-
Рекомендации по совершенствованию использования информационно-коммуникационных технологий в интернет-среде в сфере здравоохранения для нужд врачей и...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...
-
Для разработки программного продукта нами была выбрана СУБД Microsoft Access 2010, которая позволяет выполнять простейшие операции с данными: Ѕ добавить...
-
Введение - Модернизация структуры базы данных на основе анализа требований предприятия
В данной дипломной работе рассматривается проблема реинжиниринга баз данных в рамках разработки информационной системы (далее: ИС) для информационного...
-
Согласно проведенным исследованиям, в отличие от врачей и организаторов здравоохранения, пациенты положительнее относятся к процессу информатизации и...
-
Взаимоотношения в сфере ИТ - Примение информационных технологий в управлении
Можно выделить шесть заинтересованных групп, от которых зависит принятие решений в сфере ИТ: Высшее руководство , которое должно управлять ИТ как...
Системный подход к анализу информационными рисками предприятия, Системный подход к анализу информационной сферы предприятия - Системный подход к анализу информационных рисков и угроз предприятия