Введение
В связи с бурным развитием информатизации и информатизированности общества во всем мире при использовании информационных технологий, создании, внедрении и использовании информационных систем возникают и проблемы, связанные с угрозами для этих процессов и информационных ресурсов. Такие угрозы приводят к ущербу для пользователей и, конечно, должны быть сведены к минимуму. Поэтому эффективная работа в информационной сфере не может выполняться без учета информационных рисков.
Информационные риски в информационных системах
Для хранения, обработки и выдачи информации используют Информационные системы - взаимосвязанную совокупность средств, методов и персонала. Информационные системы (ИС) бывают разного назначения и масштаба, отличаются по степени охвата сфер деятельности предприятия, но обладают рядом свойств, которые являются для них общими. В основе любой информационной системы лежат средства хранения и доступа к данным, они предназначены для конечного пользователя, должны включать в себя клиентские приложения, обеспечивающие интуитивно понятный интерфейс.
Рассматривая функционирование ИС во времени, следует учитывать, что их информационные ресурсы и объекты (ИО) могут подвергаться действиям, приводящим к негативным последствиям, которые искажают данные и могут привести к разрушению информационных систем.
Возможность наступления случайного события в информационной сфере (информационной системе) предприятия, в результате которого предприятию будет нанесен ущерб, называют Информационным риском. Воздействуя на информационную систему риски, в конечном итоге, приводят к ущербу или убыткам предприятия, в чем и заключается экономический смысл понятия "информационный риск". Схема воздействия информационных рисков на процесс функционирования предприятия предоставлена на рис.1.
Если причины информационного риска порождаются внутри предприятия, то такой риск относится к внутренним, за пределами предприятия - внешним.
Целью управления информационными рисками является минимизация суммы расходов предприятия на противодействие информационным рискам и суммарного ущерба от этих рисков. На основании всестороннего анализа возможных стратегий управления информационными рисками предлагаются следующие стратегии управления: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.
Рис. 1. Схема воздействия информационных рисков на процесс функционирования предприятия
Применительно к задаче построения систем управления информационными рисками (СУИР) предлагается использовать методологические принципы, основанные на принципах системного анализа и синтеза систем, а также на принципах разработки информационных систем (принцип соответствия целей создания каждой подсистемы общей цели создания СУИР; принцип создания СУИР как подсистемы информационной системы предприятия; принцип построения адаптивной СУИР и др [2,3].
Общий алгоритм системного анализа применительно к исследованию информационных рисков предполагает [4] определение целей анализа информационных рисков, постановку задачи исследования и построение информационной модели, идентификация информационных рисков, выявление источников, факторов рисков и причин их порождающих, определение взаимосвязи информационных рисков, выбор показателей оценки рисков, выбор методов и средств оценки рисков, построение моделей; определение тенденций развития информационных рисков.
При этом одной из наиболее важных проблем анализа информационных рисков является создание классификации информационных рисков. Если информационные риски группировать в соответствии с их природой и механизмом действия можно использовать индексированную схему классификации, представленную на рис.2. Схема показывает разделение информационных рисков на группы по одному из пяти классификационных признаков[1, 5].
Рис. 2 - Индексированная схема классификации информационных рисков
Этапы управления рисками
Как показывают исследования и практика внедрения информационных систем, правомерность вопроса о необходимости исследовании рисков и этапах по управлению этими рисками можно оценить исходя из алгоритма, представленного на рис.3.
Конечно, тот вариант, когда ущерба не предвидится и рисков нет – фантастика. Как правило, при внедрении ИС всегда присутствует риск и потенциальный ущерб. Поэтому оценив их, следует решить, нужна ли защита информации и ИС от угроз того или другого типа.
Рис. 3 – Алгоритм выявления необходимости проведения анализа рисков и определения величины потенциального ущерба
Большинство специалистов в области управления рисками пришли к выводу, что управление риском проекта состоит из четырех основных этапов [6]: идентификация риска, его оценка, разработка мероприятий по реагированию, документирование и контроль.
Идентификация риска. Исходя из критериев оценки проекта в первую очередь необходимо идентифицировать (выявить) все риски, способные в значительной мере повлиять на достижение его цели и успех. Часто именно на этом этапе работа над рисками прекращается. Наибольшим препятствием на пути к управлению рисками является интуитивное ощущение того, что риски проекта слишком многочисленны и разнообразны, поэтому главное - определить, какие риски действительно должны привлекать самое пристальное внимание.
Даже если нельзя провести всесторонней идентификации рисков, следует включить в устав четыре существенных риска практически любого проекта, в том числе проекта внедрения ИС:
· риск низкого качества результатов проекта - выполнение работ с низким уровнем качества и неспособность удовлетворять разумные требования конечных пользователей;
· риск срыва сроков проекта - невыполнение работ в установленные сроки, зависимость выполнения работ от смежных проектов и мероприятий;
· риск увеличения затрат - недостаток определенных бюджетом проекта средств, необходимость увеличения бюджета;
· риск остановки проекта - изменение условий и масштабов проекта.
Далее следует определить факторы риска - характеристики (события, свойства, факты) проекта, которые существенно влияют на него и качество его результатов. В случае с внедрением ИС наиболее значимыми факторами риска являются: несоответствие фактического статуса проекта в компании; слабый менеджмент проекта; несогласованные или нечеткие формулировки цели и результатов проекта; разрыв проектной деятельности и организационных изменений; недостаточное количество участников проекта и др.
Данные вопросы позволят сконцентрироваться на выявлении действительно значимых факторов и не останавливаться на изучении малозначительных.
Оценка риска. Следует отметить, что качество оценки риска находится в прямой зависимости от опыта людей, выполняющих ее. В состав работ по оценке рисков входит их классификация по типам, силе влияния, вероятности возникновения. Для этого должна быть проведена качественная и количественная оценка рисков.
Цель оценки рисков - всесторонний анализ вероятности каждого риска и влияния его последствий на проект и его результаты.
Существует множество моделей и методов для оценки рисков, но, как показывает практика, в большинстве случаев оценку вероятности неблагоприятного события и степени его влияния делают на основе субъективных суждений. Для обеспечения целей проекта ИС достаточно провести элементарную категоризацию или ранжирование рисков по степени вероятности и последствий по степени серьезности (тяжести последствий). Последующее перемножение этих величин позволит определить статус риска, который может быть минимальным, низким, средним, высоким и чрезвычайно высоким.
Оценка рисков, описанная выше, может считаться необходимой. Однако для достаточной оценки следует провести анализ вероятности с помощью специальных методов, например "дерева распределения" вероятностей, диаграмм влияния, распределения вероятности, профилей чувствительности. Эти методы требуют специального подхода, и их использование должно диктоваться условиями конкретного проекта.
Разработка мероприятий по реагированию. Разработка мероприятий по реагированию на риски, как правило, осуществляется на основании стратегии преодоления выявленных рисков. В случае с рисками хорошо, когда есть не одна, а несколько стратегий реагирования на риски. Тогда одна из стратегий принимается как основная, а остальные - как резервные. Если основная стратегия "не сработает" или окажется малоэффективной, то можно быстро приступить к реализации резервной.
Мероприятия должны быть направлены в первую очередь на исключение условия возникновения рисков (предпосылок), т.е. на обеспечение превентивного отношения к ним со стороны проектной организации.
Методы управления рисками должны основываться на принципе возложения ответственности на тех, кто является источником их возникновения или лучше других может обеспечить контроль над развитием неблагоприятных процессов.
Одним из существенных рисков внедрения КИС является низкое качество первичной информации, которая должна быть введена в информационную систему. Как правило, за основную стратегию, предупреждающую данный риск, принимается реализация методологически рекомендованных мероприятий по организации Миграции на внедренную систему, которым предшествует тестирование системы.
Документирование и контроль. Важно понимать, что заказчик проекта внедрения КИС должен максимально обеспечить неизменность условий, в которых выполняется проект. В частности, он должен предусмотреть свою ответственность перед исполнителем за возникновение крайне неблагоприятных, но маловероятных событий, связанных, например, с вмешательством государства или нехваткой трудовых или финансовых ресурсов. Для этого требуются контроль и документирование.
Следует не забывать, что статус риска может изменяться в ходе проекта. Риски могут расти или снижаться в широких пределах при изменении масштабов и методов работы, поэтому нужно постоянно вести наблюдение за ситуацией и выполнять необходимые корректировки.
Заключение
Анализ информационных рисков показывает, что их следует разделить в соответствии с пятью классификационными признаками: механизм, результат, источники, характер, вид.
Управление риском проекта включает четыре этапа: идентификация, оценка, разработка мероприятий по реагированию, документирование и контроль.
Учитывая то, что количество рисков огромно, для успешного внедрения информационных систем следует выявить все риски и определить наиболее опасные. Именно на них следует обратить наиболее пристальное внимание.
Основными стратегиями по информационными рисками следует использовать следующие: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.