Управление информационными рисками - Системный подход к анализу информационных рисков и угроз предприятия
Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается в согласованном воздействии на объекты и субъекты информационной сферы предприятия для устранения причин и факторов рисков с целью минимизации общей суммы, включающей ущерб от информационных рисков и затраты на управление этими рисками.
Управление информационными рисками организуется в соответствии с политикой управления информационными рисками предприятия. Политика разрабатывается под руководством первых лиц предприятия и принимается в качестве официального документа, который носит название "Программа управления информационными рисками предприятия". В программе приводятся:
- - цели и задачи управления информационными рисками; - особенности информационной системы и внешней системы предприятия, оказывающие влияние на условия управления информационными рисками; - результаты анализа информационных рисков; - основные научно-методические принципы создания, организации функционирования и развития системы управления информационными рисками; - функции системы управления информационными рисками; - порядок управления, мониторинга и аудита системы управления информационными рисками.
В соответствии с принятой политикой управления информационными рисками на предприятии создается система управления информационными рисками (СУИР).
Под системой управления информационными рисками (СУИР) понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, а также информационных ресурсов, оказывающий воздействие на информационную сферу предприятия с целью обеспечения минимальных суммарных расходов на предотвращение информационных рисков и компенсацию ущерба от них.
Система управления информационными рисками является одной из подсистем информационной системы предприятия. Поэтому она должна создаваться на единых с ИСП научно-методических принципах построения сложных человеко-машинных систем.
Применительно к задаче построения системы управления информационными рисками предлагается использовать следующие научно-методические принципы:
- - системный подход к построению системы; - непрерывность функционирования системы; - равнозащищенность всех звеньев; - принцип многоуровневой защиты; - адаптивность системы; - централизованное иерархическое управление; - дружественный интерфейс; - открытость системы.
Системный подход к задаче создания системы управления информационными рисками предполагает:
- - учет всех возможных информационных рисков; - управление информационными рисками на всех жизненных циклах ИСП; - управление информационными рисками во всех звеньях и на всех уровнях ИСП; - учет взаимодействия с другими системами и внешней средой; - комплексное согласованное использование методов и средств управления информационными рисками; - использование методик создания и развития систем управления информационными рисками, направленных на достижение конечных целей применения таких систем.
При создании СУИР необходимо анализировать все возможные для конкретной ИСП виды информационных рисков. На основе полученной информации осуществляется выбор адекватных мер и средств предотвращения рисков или снижения вероятности их реализации, а также устранения последствий рисков.
За время своего существования информационная система предприятия и ее отдельные объекты проходят несколько этапов или жизненных циклов: создание, использование, модернизация, утилизация технических средств, ликвидация организационной структуры. Управление информационными рисками ведется на всех этапах постоянно, включая переходные периоды. Каждый из жизненных циклов имеет свои особенности, которые учитываются при организации управления информационными рисками.
Современная ИСП представляет собой многозвенную, многоуровневую систему. Информация получается, хранится, обрабатывается и передается в различных звеньях системы и в различных формах представления. На всем технологическом пути перемещения информации необходимо обеспечивать ее качество на должном уровне. По мере продвижения от источников к верхним уровням управления значимость информации возрастает, что и должно учитываться при создании СУИР.
При построении СУИР исследуются все объекты, с которыми взаимодействует ИСП, как внутри предприятия, так и за его пределами. Связи СУИР с другими объектами должны быть максимально структурированными и по возможности формализованы.
Достижение конечной цели разработки и использования СУИР - минимизации суммарных расходов на противодействие информационным рискам и на ликвидацию последствий рисковых событий в информационной сфере предприятия.
Система управления информационными рисками должна функционировать постоянно. Причем это относится не только к средствам управления, но и к органам управления информационными рисками.
Повышение эффективности системы управления информационными рисками достигается за счет создания многоуровневой защиты. Уровни защиты называются также рубежами защиты. Так, например, для защиты информации от несанкционированного доступа в автономной компьютерной системе могут использоваться следующие рубежи: рубеж контролируемой территории, рубеж здания, рубеж помещения, рубеж технического устройства, программный рубеж, рубеж информационного массива (базы данных).
Система управления информационными рисками должна обеспечивать устойчивость ИСП к воздействию информационных рисков. Требуемую устойчивость может обеспечить только адаптивная система. Для решения этой задачи информационной системе предприятия необходимо иметь определенную избыточность, которая позволяла бы выполнять следующие задачи:
- - постоянный мониторинг системы; - определение и локализация рисков; - оценка последствий реализации риска; - реконфигурация системы, включая и человеческие ресурсы; - обеспечение функционирования системы в условиях реализованного риска, возможно и с ухудшенными характеристиками; - восстановление объектов, поврежденных или утраченных ресурсов; - обратная реконфигурация системы, для работы в штатном режиме; - ликвидация последствий воздействия рисков на бизнес-процессы предприятия.
Естественно, что возможности любой адаптивной системы ограничены, и она может обеспечить работоспособность ИСП только в определенных границах. Возможны ситуации, когда системе наносится такой урон, при котором механизмы адаптации не могут компенсировать нанесенный ущерб.
Преимущество адаптивных систем перед другими системами, в которых достигается высокая живучесть, заключается в том, что они обеспечивают максимально возможное использование всех ресурсов в условиях отсутствия рисков
Одним из наиболее важных принципов, лежащих в основе построения СУИР, является создание централизованного иерархического управления. Иерархический принцип управления позволяет построить оптимальную систему, в которой исключены потоки информации не соответствующие уровню компетентности органа управления. На верхние уровни управления попадает информация прошедшая соответствующую обработку и обобщение на низших уровнях.
Централизация управления информационными рисками имеет и еще один аспект. Многие вопросы управления информационными рисками решаются на отраслевом и государственном уровне. Законы, стандарты и концепции, ведомственные руководящие документы и др. позволяют государству оказывать значительное воздействие на процессы управления информационными рисками на предприятиях с любым видом собственности.
Система управления информационными рисками предполагает выполнение сотрудниками определенных обязанностей, которые требуют регулярного и точного выполнения. Для решения этой проблемы СУИР должна обеспечивать дружественный интерфейс системы с сотрудниками предприятия. Под дружественным интерфейсом понимается безопасное и комфортное взаимодействие человека с системой, при котором достигается максимальная производительность.
Принцип открытости предполагает выбор такой архитектуры системы, которая позволяла бы наращивать возможности системы для парирования вновь появляющихся информационных рисков. Открытая система должна иметь некоторый запас ресурсов, которые могут быть использованы при модернизации системы. Блочный принцип построения с использованием стандартных интерфейсов и правильных конструктивных решений позволяют легко заменять блоки более мощными или подключать дополнительные блоки.
Системный подход к управлению информационными рисками позволяет выйти на качественно новый уровень управления. Представление информационной сферы предприятия в виде мегасистемы позволяет рассматривать проблему управления информационными рисками целостно.
Учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса от получения информации до ее использования в бизнес-процессах. Появляется возможность согласованного применения всего комплекса механизмов управления во всех отраслях предприятия.
Архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками, должна быть адаптирована к управлению рисками на более высоком системном уровне. Развитие архитектуры информационной системы должно быть в первую очередь направлено на создание необходимых условий эффективного использования менеджерами предприятия организационных и экономических механизмов управления.
Похожие статьи
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Системный подход к анализу информационной сферы предприятия Сущность системного подхода может быть определена путем обобщения его свойств и...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
Функциональные изменения в сфере использования ИТ - Примение информационных технологий в управлении
Рассмотренные изменения требований к группам интересов в сфере ИТ обусловлены динамикой развития предприятий и внешней среды. Основные аспекты этого...
-
Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...
-
Введение - Системный подход к анализу информационных рисков и угроз предприятия
Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не...
-
Для лучшего понимания сути концепции необходимо знать следующие понятия и определения. Концепция информатизации железнодорожного транспорта - это система...
-
Информационная система Lumesse ETWeb является системой, которая автоматизирует весь комплекс процессов управления персоналом. Важно отметить, что данная...
-
После того, как был реализован процесс карьерного планирования в информационной системе, можно сделать выводы о том, что внедрение информационной системы...
-
Информационные системы для управления персоналом "Информационная система - это автоматизированная система, результатом функционирования которой является...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Поскольку одной из задач нового сайта является внесение изменений в содержимое и структуру сайта, без помощи квалифицированного специалиста, то...
-
При создании или при классификации информационных систем неизбежно возникают проблемы, связанные с формальным - математическим и алгоритмическим...
-
Для достижения цели, поставленной в данной работе, необходимо проанализировать текущую ситуацию в области информационных систем, сравнить информационные...
-
Представляет собой набор из более чем 35 интегрированных приложений, в которые входят: - приложения для управления финансами - приложения для управления...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Назначение и технологические функции автоматизированной системы оперативного управления перевозками Автоматизированная система оперативного управления...
-
Итак, было принято решение разработать новый сайт. Но прежде чем перейти непосредственно к разработке содержания и оформления, следует посмотреть, что...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
Транспортная стратегия России до 2025 г. определила основные направления развития железнодорожного транспорта. Предусмотрено создание таких условий, при...
-
Заключение - Информационные технологии в управлении персоналом на примере компании ООО "Аксис ПРО"
В результате проделанной работы была достигнута цель исследования - повышение качества функционирования компании путем использования информационной...
-
Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...
-
Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...
-
Заключение - Обеспечение информационной безопасности в сети Internet
Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей. При этом...
-
Из заполненной формы 3-информ, утвержденной Приказом Росстата от 06.09.2012 г. № 481 "Об утверждении статистического инструментария для организации...
-
Построение ER диаграмм - Модернизация структуры базы данных на основе анализа требований предприятия
При построении моделей информационных систем важнейшей методикой является ER-моделирование или построение диаграмм сущность-связь. Сущность представляет...
-
Обзор модулей системы - Моделирование и анализ процессов внутреннего документооборота предприятия
Структурно модули системы представляют собой наборы компонент различных типов. Компоненты имеют характерный интерфейс и наборы данных, определяемые их...
-
Внутреннее строение автоматизированных информационных технологий управления - Управление по функциям
В процессе создания и в ходе функционирования автоматизированных информационных технологий управления выделяют некоторые аспекты внутреннего строения...
-
Полученное системное обобщение формулы Харкевича (3.28) учитывает как взаимосвязь между признаками (факторами) и будущими, в т. ч. целевыми состояниями...
-
Выводы - Системная теория информации и семантическая информационная модель
Интервальные оценки сводят анализ чисел к анализу фактов и позволяют обрабатывать количественные величины как нечисловые данные. Это ограничивает...
-
Графическое отображение нелокальной нейронной сети в системе "Эйдос" Математический метод СК-анализа в свете идей интервальной бутстрепной робастной...
-
Построение аналитической модели АОУ затруднено из-за отсутствия или недостатка априорной информации об объекте управления, а также из-за ограниченности и...
-
Это обобщение представляет большой интерес, в связи с тем, что А. Харкевич впервые ввел в теорию информации понятие Цели. Он считал, что количество...
-
Законодательные средства - законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи...
Управление информационными рисками - Системный подход к анализу информационных рисков и угроз предприятия