Анализ информационных рисков
Анализ сущности информационных рисков и других экономических рисков. Механизм воздействия информационного риска на информационную систему. Пожары, наводнения, землетрясения, ураганы, взрывы, аварии в системе электропитания, водоснабжения, отопления.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 25.08.2020 |
| Размер файла | 18,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Статья по теме:
Анализ информационных рисков
Завгородний В.И.
The analysis of information risk is discussed in the article. The economic sense of information risk is described. The initial stages of information risk analysis are considered. The approach of information risk classification creation is offered.
Понятие "информационный риск" появилось недавно - в середине 90-х годов прошлого столетия. Пока еще не сложилось общепринятого толкования категории "информационный риск". Опуская анализ подходов современных специалистов к понятию "информационный риск", представим его следующее определение: информационный риск - это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию.
Понятие "информационная система" включает в себя все ресурсы предприятия, в том числе и сотрудников, которые используются для получения, хранения, обработки, передачи и применения информации, независимо от формы ее представления. Поэтому понятие "информационный риск" включает в себя все возможные события, которые могут воздействовать на любые ресурсы информационной системы и вызывать ущерб или убытки предприятия.
Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам как проблему системную. Решение ее возможно с привлечением специалистов всех уровней управления при непосредственном участии первых лиц предприятия.
Понятие "информационный риск" можно трактовать и в более широком смысле. Приведенное выше определение информационного риска не затрагивает негативных явлений, которые непосредственно не связаны с информационной системой предприятия и происходят во внешней среде. То есть, к информационным рискам следует относить также события, связанные с незаконным использованием информации или искажением во внешней среде информации, относящейся к предприятию. Такие события наносят ущерб предприятию в результате изменений, которые происходят во внешней среде под воздействием этих событий.
Тогда информационный риск - это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия, а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационные риски приводят к ущербам и убыткам предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам.
Информационные риски, по виду вызываемого ими ущерба, будем делить на прямые и косвенные. Прямые риски приводят к ущербу, непосредственно связанному с необходимостью восстановления работоспособности объектов информационной системы и восстановления информационных ресурсов. К таким рискам относятся повреждение помещений и оборудования, отказы программных и технических средств, требующих ремонта, замены и восстановления утраченной информации.
Косвенные информационные риски вызывают ущерб вследствие использования в основных бизнес-процессах предприятия информации низкого качества. Информация недостоверная, неполная, недоступная в течение времени, превышающего допустимое, информация, утратившая актуальность или конфиденциальность вызывает убытки предприятия.
К косвенным информационным рискам будем относить также риски, наносящие ущерб предприятию в результате изменений внешней среды, которые произошли вследствие реализации информационных рисков в информационной системе.
Анализ сущности информационных рисков и других экономических рисков позволяет сделать заключение о том, что любой экономический риск включает в себя информационную составляющую, то есть является и информационным риском. Соотношение информационного и собственно экономического риска для разных рисков различно и определяется значением информации для определенных видов экономической деятельности предприятий и особенностями бизнес-процессов.
Целью проведения анализа информационных рисков является получение по возможности наиболее полных характеристик тех информационных рисков, которые могут нанести существенный вред предприятию и вероятность наступления которых не позволяет пренебречь ими. Такие риски назовем значимыми.
Для полного и всестороннего анализа информационных рисков необходимо использовать методологию системного исследования явлений. Данный подход применительно к исследованию информационных рисков может быть представлен в виде следующей последовательности действий:
идентификация информационных рисков;
определение механизма воздействия информационных рисков на информационную систему предприятия;
выявление источников, факторов рисков и причин их порождающих;
определение взаимосвязи информационных рисков;
классификация рисков;
выбор показателей оценки рисков;
выбор методов и средств оценки рисков;
оценка рисков;
определение тенденций развития информационных рисков.
Проведение анализа информационных рисков необходимо начинать с построения информационной модели предприятия. Модель должна включать по возможности подробный перечень информационных объектов, выполняемых этими объектами функций, а также связей объектов. В нее необходимо включать также сведения о внутренних и внешних информационных потоках, об особенностях информации, степени ее важности.
В модели должны быть сведения о взаимодействии информационной системы (ИС) с внешними системами и с бизнес-процессами предприятия. Информационная модель предприятия должна отражать особенности всех режимов функционирования ИС, возможные изменения внешней среды, в том числе смежных систем.
Идентификация рисков заключается в определении тех информационных рисков, которые возможны в исследуемой ИС. Составление полного перечня возможных информационных рисков предполагает выполнение следующего комплекса мероприятий. В информационной модели выделяются типовые информационные объекты, такие как рабочее место специалиста, телефонная сеть, технические средства хранения информации, специалист конкретного профиля и уровня компетентности и так далее.
Структурируются информационные процессы информационной системы по стадиям получения, обработки, хранения и передачи информации, по уровням иерархии, по важности информации.
Специалист-аналитик включает в список возможных информационных рисков предприятия те из них, которые потенциально могут иметь место в конкретной ИС для каждого типового информационного объекта и процесса. Полные списки всех возможных информационных рисков специалист получает по результатам собственных исследований и обследований, из научно-технической литературы, стандартов, методических рекомендаций и тому подобного.
Под механизмом воздействия информационного риска на ИС понимаются физический принцип, лежащий в основе явлений и процессов, которые могут привести к реализации риска, алгоритмы, методы и средства реализации риска, а также последствия реализации риска для информационных объектов и процессов. При анализе механизма воздействия информационного риска учитывается зависимость возможного наступления негативного события от режимов функционирования объектов, временных рамок информационных процессов.
Одной из основных задач анализа рисков является установление причинно-следственных связей, лежащих в основе информационных рисков. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.
Во многих работах [1, 2] для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.
При анализе информационных рисков используют их классификацию и данные анализа информационной модели предприятия. Применение классификации позволяет упростить процесс анализа рисков, использовать стандартные методологии управления рисками определенных классов. Классификация позволяет в дальнейшем избежать неоправданного дублирования защитных механизмов.
Нам не известны классификации информационных рисков в том понимании этого термина, которое представлено в данной работе. В то же время специалистами в области защиты информации создано значительное количество различных классификаций угроз безопасности информации [1,2].
Анализ существующих более простых классификаций угроз безопасности информации показывает, что полную классификацию информационных рисков для научно-практических целей в виде плоской схемы создать невозможно. Предлагаемые трехмерные классификации [1] обладают малой наглядностью и практической значимостью.
Чтобы выполнить приведенные требования к построению классификации информационных рисков, предлагается использовать индексированную схему классификации и таблицу. Схема, представленная на рисунке, показывает разделение информационных рисков на группы по одному из пяти классификационных признаков. Каждой группе присваивается свой индекс. В таблицу (представлен только ее фрагмент) сведены все основные риски. С помощью индексов для каждого информационного риска можно определить его место в классификации по всем классификационным признакам.
В таблице информационные риски сгруппированы по механизму воздействия риска. Табличная форма позволяет указывать с помощью индексов на свойства рисков, которые являются альтернативными. Так для определенного риска может быть указано, что его источником может быть как внутренняя, так и внешняя среда.
Практически все информационные риски ухудшают несколько показателей качества информации. При необходимости такая таблица может быть дополнена еще одним столбцом. В него можно было бы помещать индексы тех информационных рисков, наступлению которых способствует соответствующий риск из первого столбца.
Данная классификация обладает еще одним достоинством. Таблицу легко можно дополнять вычисленными значениями вероятности информационного риска, величинами ущерба и другими показателями риска, которые получаются в результате анализа информационных рисков. То есть, таблица классификации, дополненная столбцами с вычисленными показателями отобранных значимых рисков, является таблицей результатов анализа информационных рисков. При желании таблица может включать и другие результаты анализа, например, сведения о причинах, факторах рисков и другую информацию. Размерность таблиц ограничивается лишь соображениями удобства работы с ней.
Таблица 1 - Фрагмент классификационной таблицы информационных рисков
|
Информационный риск |
Индекс |
|||||
|
Механизм воздействия |
Источник риска |
Характер риска |
Вид ущерба |
Результат воздействия |
||
|
Пожары |
1 |
A B |
c |
€ $ |
б в г щ |
|
|
Наводнения |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Землетрясения |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Ураганы |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Взрывы |
2 |
A B |
c d |
€ $ |
б в г щ |
|
|
Аварии в системе электропитания, водоснабжения, отопления |
2 |
A B |
c d |
€ $ |
б в г щ |
|
|
… |
… |
… |
… |
… |
… |
Приведенная таблица классификации может включать большее или меньшее число информационных рисков. Для предприятий одного профиля могут быть разработаны типовые классификации, которые при необходимости корректируются с учетом специфики конкретного предприятия. Более детальное представление информационных рисков возможно, если ввести разделение рисков в группах на подгруппы.
Таким образом, данный подход позволяет создавать гибкую классификацию информационных рисков, обеспечивая требуемую полноту и удобство практического использования. Формализованное табличное представление результатов позволяет выполнять автоматизированную обработку полученных результатов и получать необходимые сведения для управления информационными рисками. Классификация информационных рисков является завершающим этапом первой части алгоритма анализа информационных рисков.
Литература
информационный риск авария пожар
1. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн. М.: Энергоатомиздат, 1994.
2. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос, 2001. - 264 с.
Размещено на Allbest.ru
...Подобные документы
Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.
лабораторная работа [381,2 K], добавлен 20.01.2016Анализ основных недостатков организации бизнес и информационных процессов. Спецификация и обоснование нефункциональных требований. Календарно-ресурсное планирование проекта, анализ бюджетных ограничений и рисков. Обеспечение информационной безопасности.
курсовая работа [711,6 K], добавлен 29.08.2014Информация, хранящаяся в наших компьютерах, главное содержание, принципы построения и требования к ней. Основные методы учета рисков при анализе проектов. Теория Нечеткой Логики (Fuzzy Logic), направления и специфика применения с помощью пакета Matlab.
контрольная работа [2,9 M], добавлен 06.10.2014Разработка требований к информационной системе. Бизнес-процессы "сервисное обслуживание клиентов" и "закупка сырья и материалов", их анализ. Выявление проблемных зон и оценка рисков. Описание доступных на рынке информационных систем для автосервиса.
дипломная работа [2,0 M], добавлен 03.07.2017Разработка самообучающейся интеллектуальной информационной системы для анализа кредитоспособности заемщика и оценки кредитных рисков на основе подхода иммунокомпьютинга. Применение процедур кластеризации, классификации и формирования оценок рисков.
курсовая работа [822,3 K], добавлен 09.06.2012Определение сущности, функций, задач и видов информационных технологий. Характеристика информационных технологий обработки данных, управления, автоматизированного офиса и поддержки принятия решений. Анализ современных видов информационного обслуживания.
презентация [866,0 K], добавлен 30.11.2014Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Построение онтологии предметной области для анализа глобальных процессов на основе информации, получаемой из новостных лент. Средства разработки онтологий, используемых для поиска событий, фактов, извлечённых из СМИ; моделирование экономических рисков.
курсовая работа [3,4 M], добавлен 27.08.2017Понятие облачных вычислений, их преимущества и недостатки; виды облаков. Сравнительный анализ рисков использования облачных сервисов в России и ЕС. Регуляторы в области информационной безопасности, их концепции, особенности и регулирующие органы власти.
курсовая работа [79,1 K], добавлен 14.05.2014Понятие информационных технологий, история их становления. Цели развития и функционирования информационных технологий, характеристика применяемых средств и методов. Место информационного и программного продукта в системе информационного кругооборота.
реферат [318,9 K], добавлен 20.05.2014Организационная структура и структура органов управления Сбербанка России. Математическая модель ипотечного кредитования. Анализ информационных потоков бизнес-процесса. Выбор платформы для реализации программного продукта. Реализация имитационной модели.
дипломная работа [892,2 K], добавлен 22.02.2015Анализ этапов разработки автоматизированной системы учета договоров страхования предпринимательских рисков: постановка задачи, определение системных требований, выбор структуры информационной базы и средств ее реализации, проектирование экранных форм.
дипломная работа [2,6 M], добавлен 02.03.2010Автоматизированная система учёта и регистрации выездов на пожары. Логическая модель данных. Экранная форма "наличие". Инструкция по технике безопасности для диспетчеров-пользователей автоматизированной системы "Пожары". Входная и выходная информация.
курсовая работа [2,8 M], добавлен 27.10.2012Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Понятие и содержание маркетинговой информационной системы. Основные факторы микросреды организации. Подходы к определению роли информации в оценке рисков. Решение проблем функционирования аппаратно-программной среды организации, ожидаемый эффект.
дипломная работа [295,5 K], добавлен 18.07.2014Роль структуры управления в информационной системе. Примеры информационных систем. Структура и классификация информационных систем. Информационные технологии. Этапы развития информационных технологий. Виды информационных технологий.
курсовая работа [578,4 K], добавлен 17.06.2003Схема организационной структуры управления информационных и аналитических технологий аппарата администрации. Математическая постановка задачи классификации информационных сообщений СМИ. Описание информационного обеспечения на примере АИС "Классификатор".
дипломная работа [677,2 K], добавлен 28.07.2009
