Управление информационными рисками

Размещено на http://www.allbest.ru/

Автореферат

диссертации на соискание ученой степени доктора экономических наук

Специальность: 08.00.13 - Математические и инструментальные методы экономики

Управление информационными рисками

ЗАВГОРОДНИЙ ВИКТОР ИВАНОВИЧ

Москва - 2009

1. Общая характеристика работы

Актуальность избранной темы. Процесс повсеместного внедрения новых информационных технологий в бизнес-процессы предприятий является одним из основных факторов существенного повышения эффективности современной экономики. Информатизация экономики требует значительных инвестиций в информационную сферу. По данным исследовательской фирмы International data corporation, http://www.idc.com мировые расходы на информационные технологии в 2009 году даже в условиях экономического кризиса составят 1, 8 триллиона долларов.

Возрастание значения информации и информационных технологий для каждого предприятия сопровождается усложнением задач управления информационной сферой. Важнейшими из них являются рациональное использование инвестиций в информационные технологии и снижение рисков, связанных с информационными процессами предприятия. В современной научной литературе, в национальных и международных стандартах уделяется большое внимание проблемам управления рисками, связанными с использованием информации в деятельности предприятий. Вместе с тем остается нерешенным целый ряд проблем.

Главная из них - отсутствие методологий управления информационными рисками предприятий, обеспечивающих системный подход к управлению информационной сферой предприятия, ориентированных на достижение конечного результата бизнес-процессов, согласованное использование методов и моделей.

Как правило, проблемы управления качеством и безопасностью информации не интегрируются в единую проблему управления информационной сферой предприятия, с едиными показателями качества и эффективности, ориентированными на конечные результаты деятельности предприятия. Под управлением информационными рисками понимается только процесс обеспечения безопасности информации. Такой подход затрудняет создание методического аппарата комплексного решения задачи обеспечения качества и безопасности информации, ведет к снижению эффективности управления рисками всей информационной сферы предприятия.

Недооценка важности комплексного подхода к управлению информационными рисками не позволяет установить взаимосвязи информационных и экономических рисков, сказывается на организационном и технологическом уровнях управления информационными рисками. Управлением занимаются, в основном, специалисты отделов информационной безопасности и отделов информационных технологий. Существующие организационные структуры предприятий и технологии управления не позволяют использовать в полной мере возможности руководства и менеджмента различных уровней в процессе управления информационными рисками.

Степень разработанности проблемы. Различные аспекты управления информационными рисками нашли отражение в работах отечественных и зарубежных ученых. Проблемы, связанные с экономическими рисками, исследованы в работах многих ученых, среди которых Балабанов И.Т., Бернстайн П., Бланк И.А., Блек Ф., Дункан Р., Ильенкова Н.Д., Красс М.С., Лаврушин О.И., Лагоша Б.А., Лиис Ф., Луман Н., Маркович Г., Мертон Р., Мильнер Б., Найт Ф.Х., Салин В.Н, Самуэльсон П., Сенчагов В.К., Фомичев А.Н., Чеботарев С.С., Шоулс М. Учеными разработаны общие закономерности и принципы управления экономическими рисками, проведен анализ, классификация и систематизация рисков, а также даются научно-методические и практические рекомендации по управлению рисками в различных областях экономики. Вместе с тем информационные риски как разновидность экономических рисков рассматриваются лишь в работах отдельных ученых. Результатом такого подхода является недооценка важности управления информационными рисками и экономических методов управления информационными рисками.

Современная информатика является теоретическим базисом построения информационных систем, обеспечения качества и безопасности информации. Основы информатики заложили следующие выдающиеся ученые: Берг А.И., Винер Н., Глушков В.М., Ершов А.П., Канторович Л. В., Келдыш М.В., Колмогоров А. Н., Лебедев С.А., Ляпунов А.А., Марчук Г.И., Мочли Д.У., Джон фон Нейман, Семенихин В.С., Соболев С.Л., Трапезников В.А., Экерт Д.П. и другие.

Методологической базой исследования сложных систем, к которым относятся информационные системы, является теория систем и системный анализ. Наибольший вклад в развитие этого научного направления внесли Акофф Р., Берталанфи Л., Волкова В.Н., Денисов А.А., Дрогобыцкий И.Н., Емельянов А.А., Клейнер Г.Б., Макол Р.Е., Месарович М., Оптнер С., Перегудов Ф.И., Поспелов Д.А., Прангишвили И.В., Черняк Ю.И., Черчмен У. и другие. Методы и нотации структурного системного анализа, а также поддерживающие их CASE-системы представлены в трудах Буча Г., Гейна К., Йордана Э., Калянова Г.Н., Росса Д., Сарсона Т., Шеера А.-В., Якобсона И. и др.

Проблемы оценки качества информации и надежности аппаратных и программных средств рассматриваются в трудах Байхельта Ф., Герасименко В. А., Липаева В.В., Майерса Г., Ушакова И.А., Франкена П., Ясина Е.Г. и др.

Математические методы, модели и инструментарий анализа и оценки рисков представлены в работах Емельянова А.А., Костогрызова А.И., Кульбы В.В., Степанова П.В., Хрусталева Е.Ю. и многих других.

Тематика обеспечения информационной безопасности нашла отражение в работах таких ученых как Бородакий Ю.В., Галатенко В.А., Герасименко В.А., Грушо А.А., Зегжда П.Д., Кастельс М., Конявский В.А., Мафтик С., Мун С., Петренко С.А., Росс Г.В., Стенг Д.И., Тимонина Е.Е., Хоффман Л.Дж., Щербаков А.Ю. и др.

В настоящее время теория и практика создания аппаратно-программных средств и технологий их применения успешно развиваются. Сложнее решаются вопросы, связанные с обеспечением качества первичной информации, формальным представлением и оценкой эффективности взаимодействия человека с техническими системами. Не решена задача интегральной оценки влияния качества и безопасности информации на развитие других экономических рисков, на конечные результаты деятельности предприятий.

В последние годы особую остроту приобрели проблемы обеспечения безопасности информации. Этим и объясняется внимание к вопросам информационной безопасности со стороны отечественных и зарубежных ученых и специалистов. Наибольшее внимание ученые уделяют развитию механизмов обеспечения информационной безопасности, основанных на использовании аппаратных, программных и криптографических средств защиты. Следует также отметить отдельные исследования в области теории построения систем защиты информации, создания методического и инструментального аппарата анализа отдельных рисков. В то же время не развита методология оценки безопасности информации с позиций достижения конечных целей бизнеса и применения экономических методов управления информационными рисками.

Пока еще не создана концепция управления информационными рисками, в которой бы с системных позиций рассматривались все составляющие качества и безопасности информации, влияющие на эффективность ее использования в бизнес-процессах.

Существующие методы и средства анализа информационных рисков не объединены в рамках единой методологии, и могут применяться, как правило, только для исследования отдельных вопросов безопасности и качества информации. Не уделяется должного внимания использованию методов мягких вычислений для решения проблем анализа и синтеза систем управления информационными рисками.

В целом можно сделать вывод об актуальности и недостаточной степени разработанности проблемы управления информационными рисками на теоретическом, методологическом и методическом уровнях, что и обусловило выбор темы настоящего исследования и определило его цели и задачи.

Целью диссертационной работы является решение научной проблемы развития методологии управления информационными рисками.

В рамках поставленной цели выделено три основные подцели с соответствующими им задачами.

Подцель 1 - системное исследование основных свойств информационных рисков, определение их содержания и места среди экономических рисков.

Для достижения этой цели поставлены и решены следующие основные задачи:

- определение основного содержания информационных рисков, случайности и неопределенности;

- уточнение понятийного аппарата управления информационными рисками;

- определение взаимосвязи информационных и экономических рисков.

Подцель 2 - разработка концепции информационного риск-менеджмента.

Для достижения этой цели поставлены и решены следующие основные задачи:

- определение целей и задач информационного риск-менеджмента, обоснование структуры информационного риск-менеджмента;

- обобщение и адаптация методологии системного подхода к исследованию информационных рисков;

- определение целей, задач и стратегий управления информационными рисками, формирование методологических принципов анализа и создания систем управления информационными рисками;

- построение таксономии информационных рисков;

- классификация и характеристика механизмов управления информационными рисками предприятия.

Подцель 3 - разработка методологии управления информационными рисками.

Для достижения этой цели поставлены и решены следующие основные задачи:

- разработка методики системного анализа информационных рисков;

- разработка методов и моделей выбора механизмов управления информационными рисками и подсистем информационной системы с применением экономических методов управления;

- структуризация расходов и определение полных расходов предприятия на управление информационными рисками;

- определение эффективности затрат на управление информационными рисками.

Объект и предмет исследования. Объектом исследования является процесс управления предприятиями и организациями различных отраслей и организационно-правовых форм собственности.

Предметом исследования являются методы и модели управления информационными рисками хозяйствующих субъектов.

Теоретические и методологические основы работы. Проведенные исследования базируются на применении системного структурного анализа, теории множеств, теории нечетких множеств и нечеткой логики, теории графов, нечетких сетей Петри, генетических алгоритмов, марковских процессов, теории вероятностей, теории рисков.

В процессе исследования были проанализированы и использованы нормативные и методические документы, стандарты, специальная и периодическая литература, справочно-статистические материалы, результаты разработок отечественных и зарубежных ученых, материалы периодической печати, информация официальных веб-сайтов, материалы научных и научно-практических конференций, семинаров в области теории информации, информационных систем, информационной безопасности и риск-менеджмента.

Содержание работы соответствует основным положениям п. 1.4. Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений и п. 2.6. Развитие теоретических основ методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии Паспорта специальности ВАК 08.00.13 - «Математические и инструментальные методы экономики».

Научная новизна исследования заключается в разработке теоретико-методологического базиса управления информационными рисками в рамках нового научного направления - информационного риск-менеджмента.

Научную новизну содержат следующие положения работы, которые выносятся на защиту:

1) расширено представление о научной категории «информационный риск»:

- под информационным риском понимается возможность наступления случайного события в информационной сфере предприятия, оказывающего негативное влияние не только на безопасность, но и на качество управляющей информации;

- изменение представления об информационном риске позволяет рассматривать управление информационными рисками как системное управление всеми рисками, связанными с получением, обработкой, хранением, передачей и использованием информации в управлении бизнес-процессами;

2) анализ информационного риска как случайного события, позволил обосновать следующие положения:

- наряду с объективной случайностью существует субъективная случайность риска, которая вносится при использовании недостоверной, неактуальной, неполной информации в процессе управления любыми социально-экономическими или человеко-машинными системами (процессами);

- информационный риск рассматривается как мегариск в социально-экономических системах, присутствующий в виде информационной составляющей во всех рисках, в том числе и в экономических;

- понятие «управление информационными рисками» распространяется на область управления информационными рисками в условиях статистической неопределенности;

3) развиты основные теоретико-методологические положения информационного риск-менеджмента, как нового направления в риск-менеджменте:

- сформирована концепция информационного риск-менеджмента, включающая понятийный аппарат, цели, задачи, принципы управления информационными рисками и построения систем управления информационными рисками;

- разработана методика системного анализа информационных рисков, в основу которой положено представление процесса функционирования предприятия с помощью моделей потоков данных и событий. Она включает частные методики и направлена на определение общих расходов на управление информационными рисками, которые складываются из затрат на управление рисками и суммарного ущерба от них;

- особое внимание уделяется получению и обеспечению качества входной информации, взаимодействию с внешней средой, связи информационных рисков с бизнес-процессами, изменению роли менеджмента предприятий в управлении информационными рисками;

4) предложена двухкомпонентная классификация информационных рисков, которая отличается от существующих классификаций:

- наличием индексированной схемы классификации и таблицы, обеспечивающих полноту представления характеристик рисков и удобство использования;

- возможностью автоматизированной обработки характеристик и дополнения таблицы новыми данными о результатах анализа рисков;

5) обобщены принципы построения систем управления информационными рисками и предложены новые принципы, учитывающие особенности целей и задач использования таких систем:

- анализ и создание системы управления информационными рисками (СУИР) осуществляется на основе представления информационной сферы предприятия в виде мегасистемы;

- обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду;

- создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации;

6) разработан методический инструментарий анализа информационных рисков:

- иерархическая нечеткая модель и инструментальные средства оценки качества информационных ресурсов, основанные на применении лингвистических переменных и отличающиеся повышенной точностью и информативностью;

- модель для исследования динамических процессов систем управления информационными рисками, особенность которой заключается в использовании нечетких временных сетей Петри с ингибиторными связями;

- модель, построенная на основе нечетких сетей Петри, для получения нечетких заключений об эффективности системы управления информационными рисками или ее подсистем;

7) создан методический аппарат выбора механизмов управления информационными рисками и подсистемы хранения данных:

- методы и инструментальные средства выбора механизмов управления информационными рисками, которые отличаются возможностью учета совместимости механизмов и включают два метода, построенные на основе модифицированного жадного алгоритма и генетического алгоритма;

- методы выбора механизмов управления информационными рисками, допускающие совместное использование отдельных и агрегированных механизмов, а также наличие условия об обязательном включении в СУИР определенных механизмов;

- модель выбора подсистемы эффективного хранения данных, основанная на использовании аппарата цепей Маркова;

8) разработано методическое обеспечение определения и оптимизации расходов на управление информационными рисками:

- модель оптимизации затрат на управление значимыми информационными рисками с применением механизмов страхования информационных рисков, которую отличает возможность моделирования без ограничения средств на управление и в условиях лимита денежных средств;

- структурированы расходы и предложена модель определения полных расходов предприятия на управление информационными рисками, которую отличает от известных учет затрат на обеспечение качества информации и системных затрат.

Практическая значимость исследования состоит в возможности широкого использования полученных методических и инструментальных средств в процессе анализа и оценки информационных рисков, а также при построении и совершенствовании систем управления информационными рисками предприятий.

Материалы исследований могут применяться также при подготовке и переподготовке кадров на занятиях по экономическим дисциплинам, при подготовке специалистов по экономической и информационной безопасности в процессе изучении таких дисциплин, как «Информационная безопасность компьютерных систем», «Информационная безопасность», «Информационная безопасность бизнеса», «Управление информационными рисками».

Самостоятельное практическое значение имеют:

1) методика и инструментальные средства выбора механизмов управления информационными рисками;

2) методика и инструментальные средства оценки качества информационных ресурсов;

3) методика получения нечетких заключений об эффективности системы управления информационными рисками;

4) методика исследования динамических процессов системы управления информационными рисками;

5) методика выбора системы хранения данных;

6) предложения по совершенствованию организационной структуры системы управления информационными рисками;

7) практические рекомендации по созданию компьютера защищенной архитектуры.

Апробация и внедрение результатов исследования. Материалы диссертационной работы внедрены в деятельность ряда научно-исследовательских институтов и предприятий: НИИ автоматической аппаратуры им. академика В.С. Семенихина, Московского научно-исследовательского телевизионного института, Военной страховой компании, Горьковского автомобильного завода, Расчетной палаты Московской межбанковской валютной биржи. Результаты внедрения результатов работы подтверждены соответствующими документами.

Материалы исследований используются в образовательном процессе по дисциплинам «Информационная безопасность компьютерных систем», «Информационная безопасность», «Информационная безопасность бизнеса» в Финакадемии. Полученные теоретические и методологические результаты докладывались на 20-ти международных, всероссийских и региональных конференциях и семинарах в том числе на IV Всесоюзном совещании по распределенным вычислительным системам массового обслуживания (Душанбе, 1991), на II научно-технической конференции Московского военного университета радиоэлектроники (Кубинка, 1997), на Международной конференции «Развитие вычислительной техники в России и странах бывшего СССР: история и перспективы» (Петрозаводск, 2006), на II Международной научно-технической конференции «Информационные технологии в науке, образовании и производстве» (Орел, 2006), на Национальном форуме по информационной безопасности «Инфофорум 2007» (Москва, 2007), на Международной конференции «Бизнес информатика» (София, 2007), на ХV Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, МИФИ 2008), на Международной научно-практической конференции «Информационные технологии в образовании, науке и производстве» (Серпухов, 2009).

Публикации. Основные результаты диссертации отражены в 45-ти научных публикациях, авторский объем в которых составляет 54, 28 п.л. В число опубликованных работ входят три монографии и 10 статей в периодических изданиях из Перечня ВАК, а также две публикации в зарубежных издательствах.

2. Основные положения диссертации

В соответствии с целью и задачами исследования в работе рассматриваются шесть групп проблем.

Первая группа проблем связана с системным исследованием основных свойств информационных рисков и определением их места среди экономических рисков.

Важной проблемой исследования информационных рисков является анализ понятия «риск». По мнению большинства ученых, оно означает возможность наступления событий с отрицательными последствиями в результате определенных решений или действий. Такой взгляд на сущность риска закреплен в Федеральном законе «О техническом регулировании»: «риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу…» Федеральный закон «О техническом регулировании» от 27.12.2002 №184 - ФЗ.. Существует и другая распространенная точка зрения на содержание риска. Ее сторонники под риском понимают случайное событие, вызывающее негативные последствия.

При этом всеми признается, что рисковое событие - событие случайное. В соответствии с сущностью процессов, явлений и объектов, порождающих случайности, различают объективную и субъективную случайности. Объективная случайность связана с природой материи, ее сущностью. В наиболее явной форме объективная случайность проявляется в микромире на уровне молекул, атомов, элементарных частиц. Субъективная случайность определяется неполнотой информации о причинах и сущности случайных событий.

Таким образом, все рисковые события являются случайными событиями, и случайность определяется их случайной природой и недостатком качественной информации об этих событиях. Один из первых исследователей неопределенности Ф.Х. Найт разделял ее на измеряемую и не измеряемую. В современной интерпретации различают статистическую и нестатистическую неопределенность.

В условиях статистической неопределенности с необходимой точностью могут быть определены законы распределения случайных величин. Это позволяет успешно использовать методы теории вероятностей и математической статистики при управлении рисками. В отношении значительной части информационных рисков не удается получить статистическую информацию. В этом случае исследователи вынуждены прибегать к использованию «квазистатистики» или нестрогой статистики, которая основывается не только на частотном определении характеристик случайных величин, но и на широком применении экспертных оценок. Для работы с нестатистическими данными в последние годы успешно применяются методы мягких вычислений, такие, как интервальный метод, нейронные сети, нечеткие множества и нечеткая логика, генетические алгоритмы и др.

Некоторые ученые понятие «управление риском» относят только к управлению в условиях статистической информации, а если информация является нестатистической, употребляют термин «управление в условиях неопределенности». Автор считает, что понятие «управление рисками» должно применяться как при работе со статистической, так и нестатистической информацией. Различия заключаются лишь в методах управления. При наличии статистической информации следует использовать методы, основанные на теории вероятностей и математической статистике. В условиях вынужденного использования нестатистической информации необходимо снижать степень неопределенности данных и использовать методы мягких вычислений.

Информационная неопределенность является либо единственной основой случайности события для человека, либо сопровождающей и дополняющей объективную случайность. Следствие такого вывода - необходимость признания информационной составляющей рисков любой природы. В информационной составляющей могут быть выделены общие элементы, которые должны систематизироваться и учитываться в процессе управления рисками.

Центральной проблемой первой группы является исследование содержания информационных рисков. Системный подход к проблеме позволил предложить новую трактовку понятия «информационный риск». Основные отличия заключаются в учете не только свойств безопасности информации, но и ее качества, а также в расширении сферы реализации рисковых событий и более тесной связи информационных рисков с конечными результатами бизнес-процессов.

Понятие «качество информации» рассматривается применительно к использованию информации в бизнес-процессах. То есть исследуются потребительские свойства информации на выходе информационных процессов, которые оказывают непосредственное влияние на эффективность основных бизнес-процессов предприятия.

Для системного рассмотрения вопросов управления информационными рисками вводится понятие «информационная сфера предприятия». С позиций рассмотрения сущности информационных рисков предлагается выделить две системы: информационную систему предприятия (внутренняя среда) и внешнюю информационную среду. Объединение этих двух систем позволяет получить системный комплекс или мегасистему. Такую мегасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия (ИСП) и внешней средой. Под иррациональным взаимодействием понимается наличие неупорядоченности, нецелесообразности, неопознаваемости, непредсказуемости и парадоксальности во взаимодействии систем.

Понятие «предприятие» рассматривается в широком смысле независимо от форм собственности, вида деятельности, организационно-экономической формы и т. д. При необходимости учета особенностей управления информационными рисками на определенных предприятиях это оговаривается особо.

С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов рассматриваются сотрудники предприятия, информационные ресурсы, компьютерные системы различных классов, средства и системы сбора, обработки, хранения, передачи и представления информации, участвующие в информационном процессе или обеспечивающие информационный процесс.

Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.

На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия, а также систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия, независимо от форм представления информации, видов объектов и субъектов, а также временных и пространственных рамок информационных процессов.

Используя дефиницию информационной сферы предприятия понятие «информационный риск» может быть определено следующим образом: информационный риск - это возможность наступления случайного события в информационной сфере предприятия, в результате которого предприятию будет нанесен ущерб. Причем информационные риски рассматриваются как случайные события во внутренней или внешней среде предприятия, оказывающие негативное влияние не только на безопасность информации, но и на ее качество. При этом учитываются все события, которые могут произойти на всех этапах информационного процесса - от получения информации до ее использования в бизнес-процессах.

Информационные риски приводят к ущербам предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам. При выделении информационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков.

Проведенный анализ содержания рисков любой природы позволил сделать вывод о наличии информационной составляющей в любом риске. Это утверждение полностью распространяется и на экономические риски. Отсюда следуют выводы:

1) при анализе любого экономического риска необходимо рассматривать информационные риски, которые являются возможными причинами и факторами экономических рисков;

2) управление экономическими рисками должно предполагать управление и информационными рисками.

Часть экономических рисков, по существу, является полностью информационными рисками. К ним относятся, например, управленческий и инвестиционный риски.

В значительной степени информационными являются такие риски, как банковский, валютный, процентный, производственный риск предприятий, оказывающих информационные услуги, и другие риски, в которых основное место занимает риск принятия управленческого решения или производственные процессы являются информационными процессами.

Вторая группа проблем связана с разработкой теоретико-методологического базиса информационного риск-менеджмента.

Управление информационными рисками осуществляется с учетом основных положений общего менеджмента, а также с использованием результатов, полученных в рамках риск-менеджмента. Вместе с тем управление информационными рисками имеет много особенностей и требует доработки методологии, принятой в риск-менеджменте. Учитывая особенности и значимость системного управления информационными рисками, предлагается выделить управление информационными рисками в отдельный раздел риск-менеджмента - информационный риск-менеджмент.

Кроме того, наличие информационной составляющей в любом экономическом риске позволяет сделать вывод о необходимости управления этой информационной составляющей. При всем многообразии и различии экономических рисков в информационной составляющей этих рисков могут быть выделены общие элементы, требующие применения единых методологических подходов к управлению рисками.

В качестве методологической основы информационного риск-менеджмента предлагается использовать системный подход. Системное управление информационными рисками в рамках информационного риск-менеджмента позволяет выйти на качественно новый уровень управления:

1) учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса - от получения информации до ее использования в бизнес-процессах, независимо от форм представления информации, видов объектов и субъектов информационных процессов, а также временных и пространственных рамок использования информации;

2) появляется возможность согласованного применения всего комплекса механизмов управления, направленного на достижение конечных целей бизнес-процессов;

3) для исследования информационных рисков могут согласованно применяться научные методы из различных областей науки, которые не используются вне рамок системного подхода;

4) в полной мере становятся доступными экономические механизмы управления, повышается значение правовых и организационных методов управления;

5) рассматриваемый подход к пониманию информационных рисков позволяет сделать вывод о коренном изменении роли и значения менеджмента предприятия: менеджеры всех уровней принимают активное участие в управлении информационными рисками;

6) архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками должна быть адаптирована к управлению рисками на более высоком системном уровне.

Предлагается в информационном риск-менеджменте выделить три подраздела: управление информационной безопасностью; управление качеством информации; информационное взаимодействие с внешней средой предприятия.

Первые два подраздела информационного риск-менеджмента объединяют направления управления внутренней информационной сферой. В рамках этих направлений рассматриваются также вопросы взаимодействия с внешней средой, но они касаются, в основном, технологии информационных процессов. Это взаимодействие носит, как правило, пассивный характер по отношению к внешней среде.

Выделение проблем информационного взаимодействия с внешней средой предприятия в отдельное направление объясняется необходимостью активного информационного воздействия на внешнюю среду, которое осуществляется, в основном, с помощью правовых и организационных методов. Главными задачами такого воздействия являются информационное обеспечение бизнес-процессов во внешней среде, защита интеллектуальной собственности предприятия и других законных прав предприятия в информационной сфере, взаимодействие с государственными структурами, средствами массовой информации, потребителями продукции предприятия и партнерами по бизнесу.

В условиях становления информационного риск-менеджмента важное значение имеет решение концептуальных вопросов управления информационными рисками. Прежде всего, необходимо определить понятие «управление информационными рисками». Под управлением информационными рисками понимается система согласованных действий, операций и процедур, осуществляемых персоналом предприятия в целях минимизации расходов на противодействие информационным рискам и устранение их последствий.

Целью управления информационными рисками является минимизация суммы расходов предприятия на противодействие информационным рискам и суммарного ущерба от этих рисков.

Управление информационными рисками предполагает решение следующих задач: анализ рисков; выработка политики управления информационными рисками; создание системы управления информационными рисками; устранение причин и факторов значимых рисков; создание механизмов снижения ущерба от возможных рисков; оценка ущерба; ликвидация последствий рисковых событий; постоянный мониторинг и периодический аудит системы управления рисками; анализ эффективности системы управления информационными рисками; совершенствование системы управления информационными рисками.

На основании всестороннего анализа возможных стратегий управления информационными рисками предлагаются следующие стратегии управления: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.

Применительно к задаче построения систем управления информационными рисками предлагается использовать следующие методологические принципы, основанные на принципах системного анализа и синтеза систем, а также на принципах разработки информационных систем. К ним могут быть отнесены: принцип соответствия целей создания каждой подсистемы общей цели создания СУИР; принцип создания СУИР как подсистемы информационной системы предприятия; принцип построения адаптивной СУИР, обеспечивающей ее эффективность и устойчивость; принцип синтеза многоуровневой, многозвенной, комплексной системы защиты от информационных рисков; принцип централизованного иерархического управления; принцип открытости системы; итеративный процесс построения СУИР, основу которого составляют этапы анализа и синтеза.

Перечень приведенных общепринятых принципов построения информационных систем предлагается дополнить следующими принципами: анализ и создание системы управления информационными рисками осуществляется на основе представления информационной сферы предприятия в виде мегасистемы; обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду; создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации.

Общий алгоритм системного анализа применительно к исследованию информационных рисков может быть представлен в виде следующей последовательности этапов: определение целей анализа информационных рисков; общая постановка задачи исследования; построение информационной модели; идентификация информационных рисков; определение механизма воздействия информационных рисков на ИСП; выявление источников, факторов рисков и причин их порождающих; определение взаимосвязи информационных рисков; классификация рисков; выбор показателей оценки рисков; выбор методов и средств оценки рисков; построение моделей; оценка рисков; определение тенденций развития информационных рисков.

Одной из наиболее важных проблем анализа информационных рисков является проблема создания классификации информационных рисков.

Информационные риски предлагается группировать в соответствии с их природой и механизмом действия. Это позволяет оптимально использовать средства и методы защиты информации для блокирования целой группы рисков, сходных по механизму действия.

Для классификации информационных рисков предлагается использовать индексированную схему классификации (рис. 1) и таблицу 1. Схема показывает разделение информационных рисков на группы по одному из пяти классификационных признаков.

Каждой группе присваивается свой индекс. В таблицу сведены все основные риски. С помощью индексов для каждого информационного риска возможно определение его места в классификации по всем классификационным признакам.

При необходимости такая таблица может быть дополнена еще одним столбцом. В нем могут быть размещены индексы тех информационных рисков, наступлению которых способствует соответствующий риск из первого столбца.

Данная классификация обладает еще одним достоинством. Таблицу легко дополнить вычисленными значениями вероятности информационного риска, величинами ущерба и другими показателями риска, которые получаются в результате анализа информационных рисков. То есть таблица классификации, дополненная столбцами с вычисленными показателями отобранных значимых рисков, является таблицей результатов анализа информационных рисков.

Размещено на http://www.allbest.ru/

Рис. 1. Индексированная схема классификации информационных рисков

Важной проблемой является классификация и характеристика механизмов управления информационными рисками предприятия. Управление информационными рисками предполагает согласованное комплексное применение методов и средств различной физической природы в рамках единой технологической цепи для достижения целей управления. В отношении средств и методов принято использовать общий термин - механизм управления информационными рисками. Многообразие методов и средств, сложные отношения взаимодействия, необходимость согласования по месту и времени их применения вызывают необходимость использования возможностей таксономии на концептуальном уровне исследования проблем управления информационными рисками.

Исходя из целей таксономии механизмов управления информационными рисками, предлагается классификация, в которой все множество механизмов разделено на два подмножества: средства и методы управления информационными рисками.

Методы, в свою очередь, могут быть разделены на нормативные правовые, организационные и экономические. К экономическим методам управления относятся следующие методы: определения затрат на систему управления информационными рисками; оценки ущербов от информационных рисков; оптимизации общих расходов на управление информационными рисками; страхования информационных рисков; создания резервов для минимизации ущербов.

Таблица 1. Фрагмент классификационной таблицы информационных рисков

Информационный риск	Индекс
	Механизм воздействия	Источник риска	Характер риска	Вид ущерба	Результат воздействия
Пожары	1	A B	у	П К	б3 б4 б5 б2
Наводнения	1	B	у	П К	б3 б4 б5 б2
Землетрясения	1	B	у	П К	б3 б4 б5 б2
Ураганы	1	B	у	П К	б3 б4 б5 б2
Взрывы	2	A B	у	П К	б3 б4 б5 б2
Аварии в системе электропитания, водоснабжения, отопления	2	A B	у	П К	б3 б4 б5 б2
…	…	…	…	…	…

Средства управления информационными рисками в соответствии с особенностями решаемых задач могут быть разделены на три группы средств: средства сбора и первичной обработки информации; средства обеспечения качества информации в информационной системе; средства обеспечения безопасности информации в информационной системе.

К третьей группе относятся проблемы создания методического аппарата анализа информационных рисков. Центральной проблемой этой группы является разработка методики системного анализа информационных рисков. Методика базируется на использовании системного структурного анализа и предполагает выполнение следующих шагов.

Шаг 1. Уточняются цели и задачи исследования, определяются исполнители и выполняется планирование работ.

Шаг 2. Проводится обследование предприятия.

2.1. Выделяются во внешней среде элементы (объекты, субъекты, процессы и явления), с которыми предприятие взаимодействует в процессе производственной деятельности. Все внешние элементы могут быть распределены по двум группам: элементы взаимодействия и элементы воздействия. К элементам воздействия следует относить те из них, которые оказывают одностороннее влияние на работу информационной системы предприятия.

2.2. Определяются все существенные информационные потоки и их характеристики как между предприятием и внешней средой, так и внутри предприятия.

2.3. Изучаются процессы преобразования, хранения и передачи информации.

2.4. Определяется перечень событий, оказывающих влияние на работу информационной системы предприятия.

Шаг 3. Создается модель потоков данных DFD. Могут использоваться как классические нотации Йордана, Гейна-Сарсона, так и нотации SSADM, ARIS и др. В результате получается иерархическая модель потоков данных, в которую входят диаграммы, словари данных и спецификации процессов.

Шаг 4. На основе построенной модели потоков данных создается модель состояний (рис. 2). Состояния процессов на каждом уровне иерархии рассматриваются в соответствии с принятой нумерацией процессов в модели DFD. В дополнение к нотации ARIS предлагается при отображении события показывать показатели риска.

Шаг 5. Осуществляется определение показателей рисков на каждом уровне модели. Показатели рисков определяются с помощью частных методик, основу которых составляют модели различных видов.

Шаг 6. Анализ результатов моделирования.

Размещено на http://www.allbest.ru/

Рис. 2. Модель состояний

На шаге 5 продвижение по модели осуществляется с нижних уровней к верхним. Для каждого вида рисков выбираются модели, обеспечивающие необходимую точность и возможность получения характеристик, позволяющих вычислять прямые и косвенные ущербы. Данные о событиях, оказывающих воздействие на соответствующий процесс, обобщаются на уровне этого процесса и передаются для учета на верхних уровнях. Например, три события оказывают влияние на непрерывность процесса. Эти события обрабатываются, и на процесс следующего уровня иерархии передается сообщение с обобщенными характеристиками простоя процесса от воздействия всех рассматриваемых событий. Обрабатываются только данные о косвенных рисках. Значения величин прямых ущербов передаются на верхние уровни без изменения для их суммирования. Для этого в прямоугольниках-событиях отображаются величины ущербов от прямых рисков.

Методологии структурного анализа для исследования информационных рисков реализованы в целом ряде инструментальных CASE-систем (ARIS, UML, CASE.Аналитик, BPwin и др.). Динамические процессы в системах моделируются в некоторых CASE-технологиях с помощью аппарата сетей Петри (Design/CPN, CPN-AMI, INCOME Mobile).

В диссертации порядок применения предложенного метода анализа информационных рисков показан на примере создания модели коммерческого банка. На основе типовой структуры бизнес-процессов банка создана модель потоков данных и для выбранной ветви модели выполнена детализация с построением модели событий на уровне банкомата.

Для анализа информационных рисков в условиях нестатистических данных с учетом динамики процессов предложено использовать модифицированные нечеткие временные сети Петри с ингибиторными связями. Формально нечеткая временная сеть Петри с ингибиторными связями может быть представлена следующим образом:

NP_ф = (P, T, I, I_d, O, m₀, Z, S),

где P={p₁, p₂, …, p_N} - конечное множество позиций; T={t₁, t₂, …, t_K} - конечное множество переходов; I- входная функция переходов, определяемая как отображение I: PЧT>R⁰; I_d - бинарная функция ингибиторных связей, которая определяется как отображение I_d: PЧT>{0, 1}; O - выходная функция переходов, определяемая как отображение O: TЧP>R⁰; (, ) - вектор начальной маркировки сети, компонент которого представляет собой некоторую неотрицательную нечеткую величину; Z=(z₁, z₂, …, z_N) - вектор параметров временных задержек маркеров в позициях, компонент которого представляет собой некоторую неотрицательную нечеткую величину; S=(s₁, s₂, …, s_K) - вектор параметров времен срабатывания разрешенных переходов, компонент которого представляет собой некоторую неотрицательную нечеткую величину; R⁰ - множество натуральных чисел и ноль.

Динамика перемещения маркеров по сети определяется следующими правилами П_i, .

П₁ - правило определения текущей маркировки. Любое состояние сети определяется вектором , , компоненты которого задаются с помощью трапецеидальных нечетких интервалов и означают функции принадлежности нечеткого наличия маркера в соответствующей позиции относительно времени с момента запуска данной сети. Начальное состояние сети определяется вектором начальной разметки (маркировки) .

П₂ - правило активности перехода. Переход является активным (разрешенным) при некоторой доступной маркировке m, если выполняются следующие условия:

m_i > 0 .

Причем, .

То есть, во всех входных позициях рассматриваемого перехода в определенный момент времени должны быть маркеры с соответствующей функцией принадлежности, отличной от нуля, и на всех входящих ингибиторных дугах поддерживается режим разрешения срабатывания перехода.

П₃ - правило нечеткого срабатывания перехода. Если переход является активным (выполняется условие П₂) по условиям маркировки, то переход срабатывает за время и маркировка изменяется на маркировку по следующему правилу:

1) для каждой входной позиции при условии

маркировка позиции изменяется на =<0, 0, 0, 0>;

2) все выходные позиции при условии изменяют состояние по формуле:

(примечание: первая строка условий относится к max, а вторая - к min, то есть операция минимум применяется только если );

3) для позиций , не являющихся ни входными, ни выходными по отношению к переходу t_k, маркировка не изменяется:

.

Если позиция является одновременно входной и выходной, то сначала производится расчет для входной позиции, а затем - для выходной.

П₄ - правило нечеткой задержки в позициях. После нечеткого срабатывания активных переходов по правилу П₃ новая разметка устанавливается с задержкой, которая определяется нечетким интервалом для каждой позиции. Доступная маркировка определяется по формуле:

.

Исходные данные для моделирования процесса включают данные о начальной маркировке (разметке), о задержке маркеров в позициях и времени срабатывания переходов, которые представляются множествами трапецеидальных нечетких интервалов. Применение правил срабатывания переходов с учетом исходных данных позволяет получить информацию о времени начала и завершения событий в моделируемом процессе. Вычисленное значение времени в виде трапецеидального интервала при необходимости может быть приведено к обычному четкому значению с помощью одного из правил дефаззификации.

Методика определения нечетких временных характеристик динамических процессов может быть представлена следующей последовательностью шагов:

Шаг 1. Получение исходных данных для моделирования.

Шаг 2. Последовательное применение правил активных переходов, срабатывания переходов и изменений маркировки до достижения финальных состояний.

Шаг 3. Анализ результатов и их преобразование, при необходимости, к четкому виду.

Методика апробирована на примере моделирования динамических процессов работы банкомата.

Для представления правил нечетких продукций может быть использована нечеткая сеть Петри вида:

NP_f=(N, f, л, m⁰),

где N=(P, T, I, O) - структура нечеткой ординарной сети Петри с входной функцией I: PЧT > {0, 1} и выходной функцией O: TЧP > {0, 1}; f=(f₁, f₂, …f_K) - вектор значений функции принадлежности нечеткого срабатывания переходов, при ; л=(л₁, л₂, …л_K) - вектор значений порога срабатывания переходов, при ; - вектор начальной маркировки сети, компонент которого представляет собой значение функции принадлежности нечеткого наличия одного маркера в n - й позиции сети, при .

Маркировка сети меняется в соответствии с правилами.

П₁ - правило определения текущей маркировки. Текущее состояние сети определяется вектором , компонент которого интерпретируется как функция принадлежности нечеткого нахождения одного маркера в позиции . Начальное состояние сети определяется вектором начальной маркировки .

...