ВВедение, 1 глава. Анализ предметной области и постановка задачи 4 1 Классификация информационных рисков 8
Скачать 274.56 Kb.
|
ГЛАВА 1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ И ПОСТАНОВКА ЗАДАЧИНа современном уровне развития автоматизация процессов представляет собой один из подходов к управлению процессами на основе применения информационных технологий. За счет использования программных и аппаратных ресурсов этот подход позволяет минимизировать участие человека и управлять операциями, данными, информацией и ресурсами. Основной целью автоматизации является повышение качества и скорости выполнения бизнес-процессов на предприятии. Автоматизированный процесс обладает более стабильными характеристиками, чем процесс, выполняемый в ручном режиме. Во многих случаях автоматизация процессов позволяет повысить производительность, сократить время выполнения процесса, снизить стоимость, увеличить точность и стабильность выполняемых операций. Но при принятии решения об автоматизации перед руководителем предприятия стоит очень важный вопрос – оценка рисков, возникающий в процессе внедрения и использования информационных технологий в бизнес- процессах предприятия. Для сокращения негативных последствий от наступления рисков, необходимо уметь правильно и эффективно управлять рисками. Управление риском - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией. Особой разновидностью рисков при автоматизации бизнес процессов и использовании информационных технологий являются информационные риски. Информационные технологии (ИТ) – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационный риск (IT-риск) – это опасность возникновения убытков или ущерба в результате обработки, хранении и передачи информации с помощью автоматизированных информационных систем, а так же сбоев в работе этих систем. IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. Под автоматизированной информационной системой понимается совокупность программно-аппаратных средств, предназначенных для автоматизации деятельности, связанной с хранением, обработкой и передачей информации. Основными определяющим источником появления информационных рисков является информационный актив, к которым относится любая информация, представляющая ценность для организации. К ней относится информация: напечатанная или записанная на бумажном носителе; пересылаемая по почте или демонстрируемая в видеозаписях; передаваемая устно; хранимая в электронном виде на серверах баз данных, веб-сайтах, мобильных устройствах, электронных носителях; обрабатываемая в корпоративных информационных системах (КИС): передаваемая по каналам передач данных; а также программное обеспечение: операционные системы, приложения, программную документацию и т.п. Организация, ее имидж и репутация
Информация
Рисунок 1 – Информационные активы Кроме информации у организации так же есть и другие виды материальных и нематериальных активов, которые она использует для своего функционирования. Это имущество организации, имущественные и неимущественные права, интеллектуальная собственность, кадровые ресурсы, а также имидж и репутация организации. Современные международные стандарты также определяют еще одну категорию активов – это процессы, а также информационные и неинформационные сервисы. Это агрегированные типы активов, которые оперируют другими активами для достижения бизнес-целей. Виды активов организации: материальные; финансовые; имущественные и неимущественные права; интеллектуальная собственность; кадровые; информационные; процессы и сервисы; имидж и репутация. Множество всех активов в организации можно условно разделить на основные и вспомогательные активы. Вокруг основных активов построены основные бизнес-процессы организации, а вспомогательные выполняют второстепенную роль. При использовании или внедрении информационных технологий на предприятия информационные активы выступают как основные, т.к. все технические, экономические, финансовые инструменты предприятия опираются на работоспособность информационных сервисов на предприятии. Между всеми видами активов существует взаимосвязь. Успешная реализация угроз в отношении одного вида активов может привести к нарушению безопасности других. Например, незаконное проникновение в помещение с оборудованием, например, серверной, может привести к возможности несанкционированного доступа с хранимой на серверах информации, которую злоумышленники могут использовать в своих корыстных целях. В дальнейшем эти действия могут привести к падению имиджа и репутации компании на рынке. Или выход из строя серверного оборудования влияет на доступность приложений сервисов и информации, хранящихся на нем, а для восстановления доступа необходимо выделить кадровые, материальные и финансовые ресурсы. Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к активам, аварий и сбоев оборудования, обеспечении доступности необходимых для работы сервисов и приложений. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить или предупредить. Целью управления информационными рисками является минимизация суммы расходов предприятия на противодействие информационным рискам и суммарного ущерба от этих рисков. Основной сложностью при управлении риска при автоматизации является его оценка. Оценка рисков – это определение количественным или качественным способом величины (степени) рисков. Известный американский эксперт в области управления рисками Б. Берлимер предложил при анализе оценки рисков использовать следующие допущения [12]: потери от риска независимы друг от друга; вероятность потери по одному направлению деятельности не обязательно увеличивает вероятность потери по-другому (за исключением форс-мажорных обстоятельств); максимально возможный ущерб от негативного эффекта при наступлении риска не должен превышать финансовых возможностей организации. |