Управление информационными рисками - Системный подход к анализу информационных рисков и угроз предприятия

Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается в согласованном воздействии на объекты и субъекты информационной сферы предприятия для устранения причин и факторов рисков с целью минимизации общей суммы, включающей ущерб от информационных рисков и затраты на управление этими рисками.

Управление информационными рисками организуется в соответствии с политикой управления информационными рисками предприятия. Политика разрабатывается под руководством первых лиц предприятия и принимается в качестве официального документа, который носит название "Программа управления информационными рисками предприятия". В программе приводятся:

    - цели и задачи управления информационными рисками; - особенности информационной системы и внешней системы предприятия, оказывающие влияние на условия управления информационными рисками; - результаты анализа информационных рисков; - основные научно-методические принципы создания, организации функционирования и развития системы управления информационными рисками; - функции системы управления информационными рисками; - порядок управления, мониторинга и аудита системы управления информационными рисками.

В соответствии с принятой политикой управления информационными рисками на предприятии создается система управления информационными рисками (СУИР).

Под системой управления информационными рисками (СУИР) понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, а также информационных ресурсов, оказывающий воздействие на информационную сферу предприятия с целью обеспечения минимальных суммарных расходов на предотвращение информационных рисков и компенсацию ущерба от них.

Система управления информационными рисками является одной из подсистем информационной системы предприятия. Поэтому она должна создаваться на единых с ИСП научно-методических принципах построения сложных человеко-машинных систем.

Применительно к задаче построения системы управления информационными рисками предлагается использовать следующие научно-методические принципы:

    - системный подход к построению системы; - непрерывность функционирования системы; - равнозащищенность всех звеньев; - принцип многоуровневой защиты; - адаптивность системы; - централизованное иерархическое управление; - дружественный интерфейс; - открытость системы.

Системный подход к задаче создания системы управления информационными рисками предполагает:

    - учет всех возможных информационных рисков; - управление информационными рисками на всех жизненных циклах ИСП; - управление информационными рисками во всех звеньях и на всех уровнях ИСП; - учет взаимодействия с другими системами и внешней средой; - комплексное согласованное использование методов и средств управления информационными рисками; - использование методик создания и развития систем управления информационными рисками, направленных на достижение конечных целей применения таких систем.

При создании СУИР необходимо анализировать все возможные для конкретной ИСП виды информационных рисков. На основе полученной информации осуществляется выбор адекватных мер и средств предотвращения рисков или снижения вероятности их реализации, а также устранения последствий рисков.

За время своего существования информационная система предприятия и ее отдельные объекты проходят несколько этапов или жизненных циклов: создание, использование, модернизация, утилизация технических средств, ликвидация организационной структуры. Управление информационными рисками ведется на всех этапах постоянно, включая переходные периоды. Каждый из жизненных циклов имеет свои особенности, которые учитываются при организации управления информационными рисками.

Современная ИСП представляет собой многозвенную, многоуровневую систему. Информация получается, хранится, обрабатывается и передается в различных звеньях системы и в различных формах представления. На всем технологическом пути перемещения информации необходимо обеспечивать ее качество на должном уровне. По мере продвижения от источников к верхним уровням управления значимость информации возрастает, что и должно учитываться при создании СУИР.

При построении СУИР исследуются все объекты, с которыми взаимодействует ИСП, как внутри предприятия, так и за его пределами. Связи СУИР с другими объектами должны быть максимально структурированными и по возможности формализованы.

Достижение конечной цели разработки и использования СУИР - минимизации суммарных расходов на противодействие информационным рискам и на ликвидацию последствий рисковых событий в информационной сфере предприятия.

Система управления информационными рисками должна функционировать постоянно. Причем это относится не только к средствам управления, но и к органам управления информационными рисками.

Повышение эффективности системы управления информационными рисками достигается за счет создания многоуровневой защиты. Уровни защиты называются также рубежами защиты. Так, например, для защиты информации от несанкционированного доступа в автономной компьютерной системе могут использоваться следующие рубежи: рубеж контролируемой территории, рубеж здания, рубеж помещения, рубеж технического устройства, программный рубеж, рубеж информационного массива (базы данных).

Система управления информационными рисками должна обеспечивать устойчивость ИСП к воздействию информационных рисков. Требуемую устойчивость может обеспечить только адаптивная система. Для решения этой задачи информационной системе предприятия необходимо иметь определенную избыточность, которая позволяла бы выполнять следующие задачи:

    - постоянный мониторинг системы; - определение и локализация рисков; - оценка последствий реализации риска; - реконфигурация системы, включая и человеческие ресурсы; - обеспечение функционирования системы в условиях реализованного риска, возможно и с ухудшенными характеристиками; - восстановление объектов, поврежденных или утраченных ресурсов; - обратная реконфигурация системы, для работы в штатном режиме; - ликвидация последствий воздействия рисков на бизнес-процессы предприятия.

Естественно, что возможности любой адаптивной системы ограничены, и она может обеспечить работоспособность ИСП только в определенных границах. Возможны ситуации, когда системе наносится такой урон, при котором механизмы адаптации не могут компенсировать нанесенный ущерб.

Преимущество адаптивных систем перед другими системами, в которых достигается высокая живучесть, заключается в том, что они обеспечивают максимально возможное использование всех ресурсов в условиях отсутствия рисков

Одним из наиболее важных принципов, лежащих в основе построения СУИР, является создание централизованного иерархического управления. Иерархический принцип управления позволяет построить оптимальную систему, в которой исключены потоки информации не соответствующие уровню компетентности органа управления. На верхние уровни управления попадает информация прошедшая соответствующую обработку и обобщение на низших уровнях.

Централизация управления информационными рисками имеет и еще один аспект. Многие вопросы управления информационными рисками решаются на отраслевом и государственном уровне. Законы, стандарты и концепции, ведомственные руководящие документы и др. позволяют государству оказывать значительное воздействие на процессы управления информационными рисками на предприятиях с любым видом собственности.

Система управления информационными рисками предполагает выполнение сотрудниками определенных обязанностей, которые требуют регулярного и точного выполнения. Для решения этой проблемы СУИР должна обеспечивать дружественный интерфейс системы с сотрудниками предприятия. Под дружественным интерфейсом понимается безопасное и комфортное взаимодействие человека с системой, при котором достигается максимальная производительность.

Принцип открытости предполагает выбор такой архитектуры системы, которая позволяла бы наращивать возможности системы для парирования вновь появляющихся информационных рисков. Открытая система должна иметь некоторый запас ресурсов, которые могут быть использованы при модернизации системы. Блочный принцип построения с использованием стандартных интерфейсов и правильных конструктивных решений позволяют легко заменять блоки более мощными или подключать дополнительные блоки.

Системный подход к управлению информационными рисками позволяет выйти на качественно новый уровень управления. Представление информационной сферы предприятия в виде мегасистемы позволяет рассматривать проблему управления информационными рисками целостно.

Учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса от получения информации до ее использования в бизнес-процессах. Появляется возможность согласованного применения всего комплекса механизмов управления во всех отраслях предприятия.

Архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками, должна быть адаптирована к управлению рисками на более высоком системном уровне. Развитие архитектуры информационной системы должно быть в первую очередь направлено на создание необходимых условий эффективного использования менеджерами предприятия организационных и экономических механизмов управления.

Похожие статьи




Управление информационными рисками - Системный подход к анализу информационных рисков и угроз предприятия

Предыдущая | Следующая