Библиографическое описание:

Сингина А. А. Взгляд на управление рисками информационных систем // Молодой ученый. — 2011. — №6. Т.1. — С. 101-105.

Информационно-технологический прогресс последних десятилетий оказал значительное влияние на все сферы жизни, в том числе информационные технологии (далее ИТ) значительно увеличили возможности ведения бизнеса. Но возможность повышения работы в тех или иных сферах деятельности за счет современных передовых ИТ сопряжена с возникновением и дополнительных рисков и значительных трудностей, связанных с угрозами появления таких проблем, как вирусы, утечка важных данных, отказы оборудования и систем. Данные проблемы неизбежны при отсутствии должного внимания к эксплуатации информационных систем. Поэтому эффективное решение и прогнозирование проблем, связанных с ИТ, становится одной из важнейших задач при организации работы бизнес структур.

Применительно к совокупности ситуаций, которые могут привести к финансовому ущербу, упущенной выгоде или невозможности достичь поставленной цели [5], мы используем экономическое понятие риска. Мы считаем, что риск, возникающий при неправильной эксплуатации информационных технологий, обладает теми же характерными чертами, что и риск экономический и также приводит к различного рода ущербу для организации, а верное управление ситуациями угрозы в бизнес организации также позволяет увеличить эффективность от инвестиций в ИТ-инфраструктуру, обеспечивая динамичное и планомерное развитие. В связи с этим мы далее используем применяемое в науке понятие риска в информационных технологиях или ИТ-риска.

Решение задач, связанных с появлением ИТ-рисков, т.е. управление рисковыми ситуациями включает в себя перечень необходимых мер: своевременное реагирование на возникающие ситуации, управление рисками, оценка их угрозы и поддержка осведомленности о них, что и стало объектом нашего рассмотрения.

В ходе нашего исследования мы делим ИТ-риски на три категории. Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов. Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества. Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков. Данная классификация используется далее при разработке автоматизированной системы управления ИТ-рисками.

Процесс управления ИТ-рисками заключается в выработке системы действий: периодической идентификации, оценке рисков и выработке мероприятий по их снижению. Опираясь на рекомендации NIST (National Institute of Standards and Technology), в частности NIST SP800-30 Risk Management Guide for Information Technology Systems, мы выделили следующие этапы управления ИТ-рисками [1]:

1. Инвентаризация информационных активов и оценка их критичности;

2. Идентификация угроз и уязвимостей;

3. Определение вероятностей и воздействий;

4. Анализ угроз и уязвимостей;

5. Определение рисков;

6. Анализ рисков;

7. Выбор приоритетных для защиты активов и утверждение плана мероприятий по их защите;

8. Оценка и контроль рисков.

В ходе инвентаризации информационных активов составляется база данных конфигурационных единиц, описывающая инфраструктуру организации. Здесь мы рассматриваем аппаратное обеспечение, программное обеспечение, ИТ-услуги.

Анализ рисков – часть управления ИТ-рисками, в процессе которого оцениваются уязвимости (например, на основе база знаний CERT) информационной инфраструктуры компании к угрозам безопасности, их критичность и вероятность ущерба, разрабатываются мероприятия по снижению рисков до допустимого уровня.

С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов, которые можно представить в виде [3]:

,

(1)

где

DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).

CT – выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.

СС - формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.

СО - формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.

A - выдача управляющих воздействий на объект управления.

Принцип действия системы управления рисками мы представили на рисунке 1.

Рис. 1 - Схема процесса управления ИТ-рисками

Анализ представленной модели функционирования управления рисками на рисунке № 1 приводит к выводу, что для повышения эффективности процесса формирования управлений следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.

Исходным объектом управления являются ИТ-риски, которые с учетом описанной выше методологии управления рисками представляются в виде [2]:

,

(2)

где

It – множество ИТ-ресурсов,

B – множество бизнес-процессов,

I – множество инцидентов,

V – множество уязвимостей,

R – множество рисков,

P – величина ущерба.

It описывает множество ИТ-ресурсов организации:

,

(3)

(4)

описывает величину ущерба от ИТ-рисков.

Фазовый вектор объекта .

, , , а

(5)

описывает бизнес-процессы, опирающиеся на ИТ-ресурсы.

описывает инциденты, происходящие с ИТ-ресурсами.

описывает уязвимости, которые есть в ИТ-ресурсах.

описывает риски, выявленные в ходе анализа статистики

– управляющий фактор, им является мероприятия по снижению рисков.

Целью управления является выполнение следующего действия:

,

(6)

где - общий ущерб, m – количество ИТ-ресурсов, - уровень значимости каждого ресурса.

При этом показывает экономическую обоснованность и целесообраз­ность мер защиты от ИТ-рисков. После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними. Затраты на предотвращение риска не должны превышать возмож­ный ущерб от него.

На основе данной модели была спроектирована база данных в Microsoft Access 2007. Далее проводилась разработка автоматизированной системы управления ИТ-рисками (АСУ ИТ-рисками).

АСУ ИТ-рисками представляет собой систему, призванную помочь специалистам автоматизировать процессы управления рисками и предназначена для предотвращения рисковых событий, снижения возможных убытков по их нейтрализации [4]. Архитектура АСУ ИТ-рисками представлена на рисунке 2.


Рис.2. Архитектура АСУ ИТ-рисками

Функциональный состав данных подсистем представлен в таблице №1.

Таблица № 1. Функциональный состав АСУ ИТ-рисками

Подсистема

Функции

Подсистема описания бизнес-процессов

  • построение дерева бизнес-процессов;

  • описание ИТ-сервисов, используемых для реализации этих бизнес-процессов;

  • описание входных и выходных данных для бизнес-процессов.

Подсистема сбора статистики

  • загрузка информации из файла статистики, полученного при использовании сторонних программ;

  • хранение статистической информации о зарегистрированных инцидентах;

  • передача статистической информации в подсистему оценки рисков и подсистему визуализации

Интегрирующая подсистема управления рисками

  • Формирование оценки

  • загрузка анкет из файла;

  • формирование экспертных оценок рисков посредством анкетирования;

  • сохранение и редактирование анкет.

  • планирование мероприятий по воздействию на риск

База данных конфигурационных единиц

  • описание состава конфигурационных элементов ИТ-инфраструктуры организации.

Подсистема проверки уязвимостей

  • загрузка файла потенциальных уязвимостей

  • поиск в файле потенциальных уязвимостей для элементов базы данных

АРМ операционного менеджера

  • предоставление пользователю возможности координирования работы, отслеживания рисковых событий

Подсистема аналитики и отчетности

  • предоставление ИТ-специалистам статистической информации в удобном виде (таблицы);

В результате нашей работы была спроектирована модель управления ИТ-рисками, которая отражает трехстороннюю подверженность организаций рискам, связанным с эксплуатацией информационных систем: действия персонала, сбои систем, нелицензионность. Также разработана автоматизированная система управления ИТ-рисками в соответствии с выделенными нами категориями рисков.

Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.

В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.

Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.

Таким образом, управление ИТ-рисками мы считаем возможным только при наличии системы определенных действий. Разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления ИТ-рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы.


Литература:

  1. NIST 800-30:2002 Руководство по управлению рисками для ИТ-систем.

  2. Воронин А.А., Губко М.В., Мишин С.П., Новиков Д.А. Математические модели организаций: Уч. пособие. - М.: ЛЕНАНД, 2008. - 360 с.

  3. Глушков В.М. Введение в АСУ. - М.: Техника, 1972. – 312 c.

  4. Легизо Д. Управление ИТ-рисками – дело благородное. [Электронный ресурс]. – Электрон. дан. – Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565.

  5. Уткин Э.А., Фролов Д.А. Управление рисками предприятия: учебно-практическое пособие. – М.: ТЕИС, 2003. - 247 с.

Обсуждение

Социальные комментарии Cackle