Взгляд на управление рисками информационных систем
Отправьте статью сегодня! Электронный вариант журнала выйдет 14 августа,печатный экземпляр отправим18 августа.

Взгляд на управление рисками информационных систем

Поделиться в социальных сетях
1501 просмотр
Библиографическое описание

Сингина, А. А. Взгляд на управление рисками информационных систем / А. А. Сингина. — Текст : непосредственный // Молодой ученый. — 2011. — № 6 (29). — Т. 1. — С. 101-105. — URL: https://moluch.ru/archive/29/3284/ (дата обращения: 05.08.2021).

Информационно-технологический прогресс последних десятилетий оказал значительное влияние на все сферы жизни, в том числе информационные технологии (далее ИТ) значительно увеличили возможности ведения бизнеса. Но возможность повышения работы в тех или иных сферах деятельности за счет современных передовых ИТ сопряжена с возникновением и дополнительных рисков и значительных трудностей, связанных с угрозами появления таких проблем, как вирусы, утечка важных данных, отказы оборудования и систем. Данные проблемы неизбежны при отсутствии должного внимания к эксплуатации информационных систем. Поэтому эффективное решение и прогнозирование проблем, связанных с ИТ, становится одной из важнейших задач при организации работы бизнес структур.

Применительно к совокупности ситуаций, которые могут привести к финансовому ущербу, упущенной выгоде или невозможности достичь поставленной цели [5], мы используем экономическое понятие риска. Мы считаем, что риск, возникающий при неправильной эксплуатации информационных технологий, обладает теми же характерными чертами, что и риск экономический и также приводит к различного рода ущербу для организации, а верное управление ситуациями угрозы в бизнес организации также позволяет увеличить эффективность от инвестиций в ИТ-инфраструктуру, обеспечивая динамичное и планомерное развитие. В связи с этим мы далее используем применяемое в науке понятие риска в информационных технологиях или ИТ-риска.

Решение задач, связанных с появлением ИТ-рисков, т.е. управление рисковыми ситуациями включает в себя перечень необходимых мер: своевременное реагирование на возникающие ситуации, управление рисками, оценка их угрозы и поддержка осведомленности о них, что и стало объектом нашего рассмотрения.

В ходе нашего исследования мы делим ИТ-риски на три категории. Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов. Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества. Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков. Данная классификация используется далее при разработке автоматизированной системы управления ИТ-рисками.

Процесс управления ИТ-рисками заключается в выработке системы действий: периодической идентификации, оценке рисков и выработке мероприятий по их снижению. Опираясь на рекомендации NIST (National Institute of Standards and Technology), в частности NIST SP800-30 Risk Management Guide for Information Technology Systems, мы выделили следующие этапы управления ИТ-рисками [1]:

1. Инвентаризация информационных активов и оценка их критичности;

2. Идентификация угроз и уязвимостей;

3. Определение вероятностей и воздействий;

4. Анализ угроз и уязвимостей;

5. Определение рисков;

6. Анализ рисков;

7. Выбор приоритетных для защиты активов и утверждение плана мероприятий по их защите;

8. Оценка и контроль рисков.

В ходе инвентаризации информационных активов составляется база данных конфигурационных единиц, описывающая инфраструктуру организации. Здесь мы рассматриваем аппаратное обеспечение, программное обеспечение, ИТ-услуги.

Анализ рисков – часть управления ИТ-рисками, в процессе которого оцениваются уязвимости (например, на основе база знаний CERT) информационной инфраструктуры компании к угрозам безопасности, их критичность и вероятность ущерба, разрабатываются мероприятия по снижению рисков до допустимого уровня.

С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов, которые можно представить в виде [3]:

,

(1)

где

DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).

CT – выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.

СС - формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.

СО - формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.

A - выдача управляющих воздействий на объект управления.

Принцип действия системы управления рисками мы представили на рисунке 1.

Рис. 1 - Схема процесса управления ИТ-рисками

Анализ представленной модели функционирования управления рисками на рисунке № 1 приводит к выводу, что для повышения эффективности процесса формирования управлений следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.

Исходным объектом управления являются ИТ-риски, которые с учетом описанной выше методологии управления рисками представляются в виде [2]:

,

(2)

где

It – множество ИТ-ресурсов,

B – множество бизнес-процессов,

I – множество инцидентов,

V – множество уязвимостей,

R – множество рисков,

P – величина ущерба.

It описывает множество ИТ-ресурсов организации:

,

(3)

(4)

описывает величину ущерба от ИТ-рисков.

Фазовый вектор объекта .

, , , а

(5)

описывает бизнес-процессы, опирающиеся на ИТ-ресурсы.

описывает инциденты, происходящие с ИТ-ресурсами.

описывает уязвимости, которые есть в ИТ-ресурсах.

описывает риски, выявленные в ходе анализа статистики

– управляющий фактор, им является мероприятия по снижению рисков.

Целью управления является выполнение следующего действия:

,

(6)

где - общий ущерб, m – количество ИТ-ресурсов, - уровень значимости каждого ресурса.

При этом показывает экономическую обоснованность и целесообраз­ность мер защиты от ИТ-рисков. После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними. Затраты на предотвращение риска не должны превышать возмож­ный ущерб от него.

На основе данной модели была спроектирована база данных в Microsoft Access 2007. Далее проводилась разработка автоматизированной системы управления ИТ-рисками (АСУ ИТ-рисками).

АСУ ИТ-рисками представляет собой систему, призванную помочь специалистам автоматизировать процессы управления рисками и предназначена для предотвращения рисковых событий, снижения возможных убытков по их нейтрализации [4]. Архитектура АСУ ИТ-рисками представлена на рисунке 2.


Рис.2. Архитектура АСУ ИТ-рисками

Функциональный состав данных подсистем представлен в таблице №1.

Таблица № 1. Функциональный состав АСУ ИТ-рисками

Подсистема

Функции

Подсистема описания бизнес-процессов

  • построение дерева бизнес-процессов;

  • описание ИТ-сервисов, используемых для реализации этих бизнес-процессов;

  • описание входных и выходных данных для бизнес-процессов.

Подсистема сбора статистики

  • загрузка информации из файла статистики, полученного при использовании сторонних программ;

  • хранение статистической информации о зарегистрированных инцидентах;

  • передача статистической информации в подсистему оценки рисков и подсистему визуализации

Интегрирующая подсистема управления рисками

  • Формирование оценки

  • загрузка анкет из файла;

  • формирование экспертных оценок рисков посредством анкетирования;

  • сохранение и редактирование анкет.

  • планирование мероприятий по воздействию на риск

База данных конфигурационных единиц

  • описание состава конфигурационных элементов ИТ-инфраструктуры организации.

Подсистема проверки уязвимостей

  • загрузка файла потенциальных уязвимостей

  • поиск в файле потенциальных уязвимостей для элементов базы данных

АРМ операционного менеджера

  • предоставление пользователю возможности координирования работы, отслеживания рисковых событий

Подсистема аналитики и отчетности

  • предоставление ИТ-специалистам статистической информации в удобном виде (таблицы);

В результате нашей работы была спроектирована модель управления ИТ-рисками, которая отражает трехстороннюю подверженность организаций рискам, связанным с эксплуатацией информационных систем: действия персонала, сбои систем, нелицензионность. Также разработана автоматизированная система управления ИТ-рисками в соответствии с выделенными нами категориями рисков.

Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.

В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.

Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.

Таким образом, управление ИТ-рисками мы считаем возможным только при наличии системы определенных действий. Разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления ИТ-рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы.


Литература:

  1. NIST 800-30:2002 Руководство по управлению рисками для ИТ-систем.

  2. Воронин А.А., Губко М.В., Мишин С.П., Новиков Д.А. Математические модели организаций: Уч. пособие. - М.: ЛЕНАНД, 2008. - 360 с.

  3. Глушков В.М. Введение в АСУ. - М.: Техника, 1972. – 312 c.

  4. Легизо Д. Управление ИТ-рисками – дело благородное. [Электронный ресурс]. – Электрон. дан. – Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565.

  5. Уткин Э.А., Фролов Д.А. Управление рисками предприятия: учебно-практическое пособие. – М.: ТЕИС, 2003. - 247 с.

Похожие статьи
Сингина Анна Александровна
Управление ИТ-рисками при эксплуатации информационных систем
Технические науки
2011
Коккоз Махаббат Мейрамкызы
Анализ методов управления информационными рисками
Информационные технологии
2017
Белозёрова Ангелина Андреевна
Оценка риска информационной безопасности при использовании ERP-систем
Технические науки
2016
Муханмеджанова Асель Маратовна
Методика оценки рисков информационной безопасности
Информационные технологии
2017
Макеев Андрей Сергеевич
Основные аспекты управления рисками информационной безопасности
Информационные технологии
2016
Козлова Елена Анатольевна
Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации
Информационные технологии
2013
Ломаков Юрий Алексеевич
Методики оценивания рисков и их программные реализации в компьютерных сетях
Технические науки
2013
Крюкова Ольга Алексеевна
Риски разработки web-ориентированных информационных систем
Экономика и управление
2016
Джураев Рустам Хусанович
Методы оценки рисков нарушения целостности информации в сетях передачи данных
Технические науки
2017
публикация
№6 (29) июнь 2011 г.
дата публикации
июнь 2011 г.
рубрика
Технические науки
язык статьи
Русский
Опубликована
Похожие статьи
Сингина Анна Александровна
Управление ИТ-рисками при эксплуатации информационных систем
Технические науки
2011
Коккоз Махаббат Мейрамкызы
Анализ методов управления информационными рисками
Информационные технологии
2017
Белозёрова Ангелина Андреевна
Оценка риска информационной безопасности при использовании ERP-систем
Технические науки
2016
Муханмеджанова Асель Маратовна
Методика оценки рисков информационной безопасности
Информационные технологии
2017
Макеев Андрей Сергеевич
Основные аспекты управления рисками информационной безопасности
Информационные технологии
2016
Козлова Елена Анатольевна
Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации
Информационные технологии
2013
Ломаков Юрий Алексеевич
Методики оценивания рисков и их программные реализации в компьютерных сетях
Технические науки
2013
Крюкова Ольга Алексеевна
Риски разработки web-ориентированных информационных систем
Экономика и управление
2016
Джураев Рустам Хусанович
Методы оценки рисков нарушения целостности информации в сетях передачи данных
Технические науки
2017