Сетевое издание
Международный студенческий научный вестник
ISSN 2409-529X

УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРИ ВНЕДРЕНИИ ИНФОРМАЦИОННЫХ СИСТЕМ

Левина М.И. 1 Петров В.Ю. 1
1 ФГБОУ ВПО «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики»
В статье рассматривается один из актуальных вопросов функционирования современных информационных систем. К таким вопросам относится то, что их информационные ресурсы и объекты могут подвергаться действиям, приводящим к негативным последствиям, которые искажают данные и даже приводят иногда к разрушению таких систем и технологий. Риск этих действий следует учитывать для того, чтобы минимизировать суммарный ущерб от негативных последствий. С появлением новых информационных технологий, методов проектирования и внедрения информационных систем, появляются и новые подходы к расчету и оценке различных характеристик указанных методов, не говоря и о введении новых параметров оценки их функционирования. В связи с этим проблемы оценки рисков, методы и методики качественной и количественной оценки, их возможности, достоинства и недостатки, рассмотренные в статье, могут оказаться полезными руководителям и менеджерам соответствующих служб для оценки целесообразности покупки и внедрения информационных систем и автоматизированных рабочих мест, оценки рисков внедрения и выборе методов этих расчетов.
информационная система
информационные технологии
внедрение информационных систем
риск
информационный риск
уязвимость
ущерб
оценка рисков
1. Завгородний В.И. Информационные риски: сущность, концепция управления /М.: ЗАО «Издательство «Экономика», 2009. - 177 с.
2. Завгородний В.И. Информационные риски и экономическая безопасность предприятия /М.: Финакадемия, 2008. - 160 с.
3. 4. Мишель М. Управление информационными рисками. // Финансовый директор. − 2007. – 64-68с.
4. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, C.B. Симонов. М.: Компания АйТи; ДМК Пресс, 2011. - 384 с.
5. Покровский, П. Оценка информационных рисков / П. Покровский // Журнал LAN. 2010, выпуск № 10.
6. Статья из финансовой газеты Кошелев С. «Управление рисками при внедрении корпоративных информационных систем», 2008, выпуск №29.

Введение

В связи с бурным развитием информатизации и информатизированности общества во всем мире при использовании информационных технологий, создании, внедрении и использовании информационных систем возникают и проблемы, связанные с угрозами для этих процессов и информационных ресурсов. Такие угрозы приводят к ущербу для пользователей и, конечно, должны быть сведены к минимуму. Поэтому эффективная работа в информационной сфере не может выполняться без учета информационных рисков.

Информационные риски в информационных системах

Для хранения, обработки и выдачи информации используют Информационные системы - взаимосвязанную совокупность средств, методов и персонала. Информационные системы (ИС) бывают разного назначения и масштаба, отличаются по степени охвата сфер деятельности предприятия, но обладают рядом свойств, которые являются для них общими. В основе любой информационной системы лежат средства хранения и доступа к данным, они предназначены для конечного пользователя, должны включать в себя клиентские приложения, обеспечивающие интуитивно понятный интерфейс.

Рассматривая функционирование ИС во времени, следует учитывать, что их информационные ресурсы и объекты (ИО) могут подвергаться действиям, приводящим к негативным последствиям, которые искажают данные и могут привести к разрушению информационных систем.

Возможность наступления случайного события в информационной сфере (информационной системе) предприятия, в результате которого предприятию будет нанесен ущерб, называют Информационным риском. Воздействуя на информационную систему риски, в конечном итоге, приводят к ущербу или убыткам предприятия, в чем и заключается экономический смысл понятия "информационный риск". Схема воздействия информационных рисков на процесс функционирования предприятия предоставлена на рис.1.

Если причины информационного риска порождаются внутри предприятия, то такой риск относится к внутренним, за пределами предприятия - внешним.

Целью управления информационными рисками является минимизация суммы расходов предприятия на противодействие информационным рискам и суммарного ущерба от этих рисков. На основании всестороннего анализа возможных стратегий управления информационными рисками предлагаются следующие стратегии управления: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.

           
    Скругленный прямоугольник: Ущерб
   
 
 
 
                   
  Скругленный прямоугольник: Внешний информационный риск   Скругленный прямоугольник: Реакция ИСП во внешнюю среду
      Скругленный прямоугольник: ВНЕШНЯЯ СРЕДА
 
 
    Скругленный прямоугольник: ПРЕДПРИЯТИЕ
    Овал: ИО
 

Скругленная прямоугольная выноска: Внутренняя реакция ИСПСкругленный прямоугольник: Внутренний информационный рискСкругленный прямоугольник: Реакция ИСП во внешнюю средуРис. 1. Схема воздействия информационных рисков на процесс функционирования предприятия

 


Применительно к задаче построения систем управления информационными рисками (СУИР) предлагается использовать методологические принципы, основанные на принципах системного анализа и синтеза систем, а также на принципах разработки информационных систем (принцип соответствия целей создания каждой подсистемы общей цели создания СУИР; принцип создания СУИР как подсистемы информационной системы предприятия; принцип построения адаптивной СУИР и др [2,3].

Общий алгоритм системного анализа применительно к исследованию информационных рисков предполагает [4] определение целей анализа информационных рисков, постановку задачи исследования и построение информационной модели, идентификация информационных рисков, выявление источников, факторов рисков и причин их порождающих, определение взаимосвязи информационных рисков, выбор показателей оценки рисков, выбор методов и средств оценки рисков, построение моделей; определение тенденций развития информационных рисков.

При этом одной из наиболее важных проблем анализа информационных рисков является создание классификации информационных рисков. Если информационные риски группировать в соответствии с их природой и механизмом действия можно использовать индексированную схему классификации, представленную на рис.2. Схема показывает разделение информационных рисков на группы по одному из пяти классификационных признаков[1, 5].

 
 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Рис. 2 - Индексированная схема классификации информационных рисков

 

Этапы управления рисками

Как показывают исследования и практика внедрения информационных систем, правомерность вопроса о необходимости исследовании рисков и этапах по управлению этими рисками можно оценить исходя из алгоритма, представленного на рис.3.

Конечно, тот вариант, когда ущерба не предвидится и рисков нет – фантастика. Как правило, при внедрении ИС всегда присутствует риск и потенциальный ущерб. Поэтому оценив их, следует решить, нужна ли защита информации и ИС от угроз того или другого типа.

 
 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Рис. 3 – Алгоритм выявления необходимости проведения анализа рисков и определения величины потенциального ущерба

Большинство специалистов в области управления рисками пришли к выводу, что управление риском проекта состоит из четырех основных этапов [6]: идентификация риска, его оценка, разработка мероприятий по реагированию, документирование и контроль.

Идентификация риска. Исходя из критериев оценки проекта в первую очередь необходимо идентифицировать (выявить) все риски, способные в значительной мере повлиять на достижение его цели и успех. Часто именно на этом этапе работа над рисками прекращается. Наибольшим препятствием на пути к управлению рисками является интуитивное ощущение того, что риски проекта слишком многочисленны и разнообразны, поэтому главное - определить, какие риски действительно должны привлекать самое пристальное внимание.

Даже если нельзя провести всесторонней идентификации рисков, следует включить в устав четыре существенных риска практически любого проекта, в том числе проекта внедрения ИС:

·                         риск низкого качества результатов проекта - выполнение работ с низким уровнем качества и неспособность удовлетворять разумные требования конечных пользователей;

·                         риск срыва сроков проекта - невыполнение работ в установленные сроки, зависимость выполнения работ от смежных проектов и мероприятий;

·                         риск увеличения затрат - недостаток определенных бюджетом проекта средств, необходимость увеличения бюджета;

·                         риск остановки проекта - изменение условий и масштабов проекта.

Далее следует определить факторы риска - характеристики (события, свойства, факты) проекта, которые существенно влияют на него и качество его результатов. В случае с внедрением ИС наиболее значимыми факторами риска являются: несоответствие фактического статуса проекта в компании; слабый менеджмент проекта; несогласованные или нечеткие формулировки цели и результатов проекта; разрыв проектной деятельности и организационных изменений; недостаточное количество участников проекта и др.

Данные вопросы позволят сконцентрироваться на выявлении действительно значимых факторов и не останавливаться на изучении малозначительных.

Оценка риска. Следует отметить, что качество оценки риска находится в прямой зависимости от опыта людей, выполняющих ее. В состав работ по оценке рисков входит их классификация по типам, силе влияния, вероятности возникновения. Для этого должна быть проведена качественная и количественная оценка рисков.

Цель оценки рисков - всесторонний анализ вероятности каждого риска и влияния его последствий на проект и его результаты.

Существует множество моделей и методов для оценки рисков, но, как показывает практика, в большинстве случаев оценку вероятности неблагоприятного события и степени его влияния делают на основе субъективных суждений. Для обеспечения целей проекта ИС достаточно провести элементарную категоризацию или ранжирование рисков по степени вероятности и последствий по степени серьезности (тяжести последствий). Последующее перемножение этих величин позволит определить статус риска, который может быть минимальным, низким, средним, высоким и чрезвычайно высоким.

Оценка рисков, описанная выше, может считаться необходимой. Однако для достаточной оценки следует провести анализ вероятности с помощью специальных методов, например "дерева распределения" вероятностей, диаграмм влияния, распределения вероятности, профилей чувствительности. Эти методы требуют специального подхода, и их использование должно диктоваться условиями конкретного проекта.

Разработка мероприятий по реагированию. Разработка мероприятий по реагированию на риски, как правило, осуществляется на основании стратегии преодоления выявленных рисков. В случае с рисками хорошо, когда есть не одна, а несколько стратегий реагирования на риски. Тогда одна из стратегий принимается как основная, а остальные - как резервные. Если основная стратегия "не сработает" или окажется малоэффективной, то можно быстро приступить к реализации резервной.

Мероприятия должны быть направлены в первую очередь на исключение условия возникновения рисков (предпосылок), т.е. на обеспечение превентивного отношения к ним со стороны проектной организации.

Методы управления рисками должны основываться на принципе возложения ответственности на тех, кто является источником их возникновения или лучше других может обеспечить контроль над развитием неблагоприятных процессов.

Одним из существенных рисков внедрения КИС является низкое качество первичной информации, которая должна быть введена в информационную систему. Как правило, за основную стратегию, предупреждающую данный риск, принимается реализация методологически рекомендованных мероприятий по организации Миграции на внедренную систему, которым предшествует тестирование системы.

Документирование и контроль. Важно понимать, что заказчик проекта внедрения КИС должен максимально обеспечить неизменность условий, в которых выполняется проект. В частности, он должен предусмотреть свою ответственность перед исполнителем за возникновение крайне неблагоприятных, но маловероятных событий, связанных, например, с вмешательством государства или нехваткой трудовых или финансовых ресурсов. Для этого требуются контроль и документирование.

Следует не забывать, что статус риска может изменяться в ходе проекта. Риски могут расти или снижаться в широких пределах при изменении масштабов и методов работы, поэтому нужно постоянно вести наблюдение за ситуацией и выполнять необходимые корректировки.

 

 

Заключение

Анализ информационных рисков показывает, что их следует разделить в соответствии с пятью классификационными признаками: механизм, результат, источники, характер, вид.

Управление риском проекта включает четыре этапа: идентификация, оценка, разработка мероприятий по реагированию, документирование и контроль.

Учитывая то, что количество рисков огромно, для успешного внедрения информационных систем следует выявить все риски и определить наиболее опасные. Именно на них следует обратить наиболее пристальное внимание.

Основными стратегиями по информационными рисками следует использовать следующие: принятие риска; предотвращение риска; снижение возможного ущерба от риска; предотвращение риска и снижение возможного ущерба от него.


Библиографическая ссылка

Левина М.И., Петров В.Ю. УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРИ ВНЕДРЕНИИ ИНФОРМАЦИОННЫХ СИСТЕМ // Международный студенческий научный вестник. – 2014. – № 2. ;
URL: https://eduherald.ru/ru/article/view?id=11852 (дата обращения: 26.12.2024).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1,674