Информационно-технологический прогресс последних десятилетий оказал значительное влияние на все сферы жизни, в том числе информационные технологии (далее ИТ) значительно увеличили возможности ведения бизнеса. Но возможность повышения работы в тех или иных сферах деятельности за счет современных передовых ИТ сопряжена с возникновением и дополнительных рисков и значительных трудностей, связанных с угрозами появления таких проблем, как вирусы, утечка важных данных, отказы оборудования и систем. Данные проблемы неизбежны при отсутствии должного внимания к эксплуатации информационных систем. Поэтому эффективное решение и прогнозирование проблем, связанных с ИТ, становится одной из важнейших задач при организации работы бизнес структур.
Применительно к совокупности ситуаций, которые могут привести к финансовому ущербу, упущенной выгоде или невозможности достичь поставленной цели [5], мы используем экономическое понятие риска. Мы считаем, что риск, возникающий при неправильной эксплуатации информационных технологий, обладает теми же характерными чертами, что и риск экономический и также приводит к различного рода ущербу для организации, а верное управление ситуациями угрозы в бизнес организации также позволяет увеличить эффективность от инвестиций в ИТ-инфраструктуру, обеспечивая динамичное и планомерное развитие. В связи с этим мы далее используем применяемое в науке понятие риска в информационных технологиях или ИТ-риска.
Решение задач, связанных с появлением ИТ-рисков, т.е. управление рисковыми ситуациями включает в себя перечень необходимых мер: своевременное реагирование на возникающие ситуации, управление рисками, оценка их угрозы и поддержка осведомленности о них, что и стало объектом нашего рассмотрения.
В ходе нашего исследования мы делим ИТ-риски на три категории. Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов. Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества. Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков. Данная классификация используется далее при разработке автоматизированной системы управления ИТ-рисками.
Процесс управления ИТ-рисками заключается в выработке системы действий: периодической идентификации, оценке рисков и выработке мероприятий по их снижению. Опираясь на рекомендации NIST (National Institute of Standards and Technology), в частности NIST SP800-30 Risk Management Guide for Information Technology Systems, мы выделили следующие этапы управления ИТ-рисками [1]:
1. Инвентаризация информационных активов и оценка их критичности;
2. Идентификация угроз и уязвимостей;
3. Определение вероятностей и воздействий;
4. Анализ угроз и уязвимостей;
5. Определение рисков;
6. Анализ рисков;
7. Выбор приоритетных для защиты активов и утверждение плана мероприятий по их защите;
8. Оценка и контроль рисков.
В ходе инвентаризации информационных активов составляется база данных конфигурационных единиц, описывающая инфраструктуру организации. Здесь мы рассматриваем аппаратное обеспечение, программное обеспечение, ИТ-услуги.
Анализ рисков – часть управления ИТ-рисками, в процессе которого оцениваются уязвимости (например, на основе база знаний CERT) информационной инфраструктуры компании к угрозам безопасности, их критичность и вероятность ущерба, разрабатываются мероприятия по снижению рисков до допустимого уровня.
С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов, которые можно представить в виде [3]:
|
|
(1) |
где
DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).
CT – выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.
СС - формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.
СО - формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.
A - выдача управляющих воздействий на объект управления.
Принцип действия системы управления рисками мы представили на рисунке 1.
Рис. 1 - Схема процесса управления ИТ-рисками
Анализ представленной модели функционирования управления рисками на рисунке № 1 приводит к выводу, что для повышения эффективности процесса формирования управлений следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.
Исходным объектом управления являются ИТ-риски, которые с учетом описанной выше методологии управления рисками представляются в виде [2]:
|
|
(2) |
где
It – множество ИТ-ресурсов,
B – множество бизнес-процессов,
I – множество инцидентов,
V – множество уязвимостей,
R – множество рисков,
P – величина ущерба.
It описывает множество ИТ-ресурсов организации:
|
|
(3) |
|
|
(4) |
описывает величину ущерба от ИТ-рисков.
Фазовый вектор объекта
.
|
|
(5) |
описывает бизнес-процессы, опирающиеся на ИТ-ресурсы.
описывает инциденты, происходящие с ИТ-ресурсами.
описывает уязвимости, которые есть в ИТ-ресурсах.
описывает риски, выявленные в ходе анализа статистики
– управляющий фактор, им является мероприятия по снижению
рисков.
Целью управления является выполнение следующего действия:
|
|
(6) |
где
- общий ущерб, m – количество ИТ-ресурсов,
- уровень значимости каждого ресурса.
При этом
показывает экономическую обоснованность и целесообразность мер
защиты от ИТ-рисков. После оценки возможного ущерба и вероятности
наступления того или иного риска необходимо выбрать наиболее
серьезные риски и работать с ними. Затраты на предотвращение риска не
должны превышать возможный ущерб от него.
На основе данной модели была спроектирована база данных в Microsoft Access 2007. Далее проводилась разработка автоматизированной системы управления ИТ-рисками (АСУ ИТ-рисками).
АСУ ИТ-рисками представляет собой систему, призванную помочь специалистам автоматизировать процессы управления рисками и предназначена для предотвращения рисковых событий, снижения возможных убытков по их нейтрализации [4]. Архитектура АСУ ИТ-рисками представлена на рисунке 2.
Рис.2.
Архитектура АСУ ИТ-рисками
Функциональный состав данных подсистем представлен в таблице №1.
Таблица № 1. Функциональный состав АСУ ИТ-рисками
|
Подсистема |
Функции |
|
Подсистема описания бизнес-процессов |
|
|
Подсистема сбора статистики |
|
|
Интегрирующая подсистема управления рисками |
|
|
База данных конфигурационных единиц |
|
|
Подсистема проверки уязвимостей |
|
|
АРМ операционного менеджера |
|
|
Подсистема аналитики и отчетности |
|
В результате нашей работы была спроектирована модель управления ИТ-рисками, которая отражает трехстороннюю подверженность организаций рискам, связанным с эксплуатацией информационных систем: действия персонала, сбои систем, нелицензионность. Также разработана автоматизированная система управления ИТ-рисками в соответствии с выделенными нами категориями рисков.
Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.
В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.
Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.
Таким образом, управление ИТ-рисками мы считаем возможным только при наличии системы определенных действий. Разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления ИТ-рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы.
Литература:
NIST 800-30:2002 Руководство по управлению рисками для ИТ-систем.
Воронин А.А., Губко М.В., Мишин С.П., Новиков Д.А. Математические модели организаций: Уч. пособие. - М.: ЛЕНАНД, 2008. - 360 с.
Глушков В.М. Введение в АСУ. - М.: Техника, 1972. – 312 c.
Легизо Д. Управление ИТ-рисками – дело благородное. [Электронный ресурс]. – Электрон. дан. – Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565.
Уткин Э.А., Фролов Д.А. Управление рисками предприятия: учебно-практическое пособие. – М.: ТЕИС, 2003. - 247 с.
