В статье рассматриваются понятие и классификация информационных рисков, уточняется целесообразность управления рисками в различных организациях, предлагаются основные мероприятия по управлению рисками в коммерческих организациях. Статья посвящена актуальной теме современности — управлению информационными рисками в организациях. Актуальность темы обусловлена тем, что в последние годы информация стала играть важнейшую роль во всех сферах экономики и производства, что связано с постепенным становлением информационного общества и цифровой экономики.
Ключевые слова:информационные риски, управление рисками, информационные технологии, информационная безопасность, инфраструктура управления рисками.
The article discusses the concept and classification of information risks, as well as clarifies the feasibility of risk management in various organizations, offers the main measures for risk management in IT-companies. The article is devoted to the actual topic of our time — information risk management in the organization. The relevance of the topic is due to the fact that in recent years, information has become an important role in all spheres of economy and production, which is associated with the gradual formation of the information society and the digital economy.
Key words: information risks, risk management, information technology, information security, risk management infrastructure.
Переход через условный рубеж XX века ознаменовал собой смену индустриального мироуклада на информационный. Информационные технологии стали частью большинства политических, экономических, социальных процессов, активно помогая им развиваться. Очевидно, что сектор информационных технологий является локомотивом развития многих национальных экономик, а также является лидером капитализации мировой экономики в условиях глобализма. В то же время, в новом веке ситуация с информационной безопасностью меняется так же быстро, как и цифровизация экономики, общества и всех основных процессов жизнедеятельности. В развитых странах сейчас все более или менее значимые для людей процессы компьютеризированы, а финансовые и информационные системы глобализированы. Таким образом, можно утверждать, что благосостояние населения и, вероятно, выживание будущих поколений оказывается в прямой зависимости от информационных технологий. В свою очередь, поскольку создание, внедрение и использование информационных технологий тесно связано с угрозами информационной безопасности, на первое место выходит задача эффективного управления рисками информационной безопасности [3].
Информационные риски
Риски присущи любой сфере деятельности человека. В области информационной безопасности рассматриваются, соответственно, информационные риски. Согласно определению [1], риск — это возможная опасность чего-либо. Тот же смысл кроется и в понятии «информационный риск». ГОСТ Р ИСО/МЭК 27005–2012 дает следующее толкование риска информационной безопасности: риск информационной безопасности или информационный риск (information security risk) — это возможность того, что данная конкретная угроза сможет использовать уязвимость актива или группы активов и тем самым нанести ущерб организации. Риск измеряется исходя из комбинации вероятности события и его последствия. Управление рисками или менеджмент рисков — это скоординированные действия по управлению организацией с учетом риска. Инфраструктура управления рисками (risk management infrastructure) — это набор компонентов, обеспечивающих основы, организационные меры и структуру для разработки, внедрения, мониторинга, пересмотра и постоянного улучшения управления риска в масштабе всей организации [2].
Риски информационной безопасности непосредственно влияют на активы организации. Успешность ведения рисков информационной безопасности зависит от технических специалистов, организации инфраструктуры, автоматизации. Менеджеру по управлению рисками необходимо выполнять работу по улучшению основных показателей по всем трем областям, что позволяет работникам информационной безопасности быстрее идентифицировать угрозу и с меньшими затратами ее устранять. Как показывает практика крупных коммерческих организаций, основным подходом к успешному решению данных задач являются методы стратегического уровня, а не уровня операционного менеджмента. С учетом растущей интеграции информационных технологий во все сферы деятельности предприятия руководителями уделяется недостаточное внимание анализу рисков информационной безопасности. На каком уровне происходит анализ и оценка традиционных бизнес-рисков, ровно на таком же высоком уровне необходимо управление информационных рисков. Данные меры должны приниматься неукоснительно, поскольку, например, в крупных банках информация является наиболее важным активом и вопросы обеспечения информационной безопасности безусловно выходят на первый план. В случае реализации инцидента информационной безопасности организации будет нанесен ущерб, включающий в себя непредвиденные крупные расходы и возможную потерю клиентов. Для критически важных объектов последствия могут быть куда более серьезными, вплоть до утраты своей доли рынка и потери бизнеса как такового [2].
Успех управления рисками зависит от эффективности инфраструктуры менеджмента, предоставляющей базовые основы и мероприятия, которые должны использоваться во всей организации на всех уровнях. Инфраструктура менеджмента риска способствует эффективному управлению рисками на различных уровнях и в рамках конкретной ситуации в организации. ГОСТ Р ИСО 31000:2018 предлагает принципы инфраструктуры управления рисками, обеспечивающими эффективный и результативный риск-менеджмент.
Этапы управления информационными рисками
Эффективный риск-менеджмент должен соответствовать характеристикам, представленным на рисунке 1.
Рис. 1. Принципы управления рисками
Данные принципы можно дополнительно объяснить следующим образом:
интегрируемый — является неотъемлемой частью деятельности организации;
структурированный и всеобъемлющий — комплексный подход, который приводит к согласующимся и сопоставимым результатам;
адаптируемый — структура и процесс риск-менеджмента настраиваются с учетом деятельности организации;
инклюзивный — своевременное вовлечение заинтересованных сторон, учитывая их знания, мнения и взгляд, приводит к повышению и обоснованности риск-менеджмента;
динамичный — риск-менеджмент предвосхищает, обнаруживает, признает и реагирует на изменения рисков информационной безопасности соответствующим образом и своевременно;
основанный на наилучшей доступности информации — используемая информация должна быть актуальной, ясной и доступной для заинтересованных сторон;
учитывающий человеческие и культурные факторы — человеческое поведение и культурные факторы существенно влияют на все аспекты риск-менеджмента на каждом уровне и этапе;
постоянно улучшаемый — риск-менеджмент постоянно совершенствуется, благодаря обучению и накопленному опыту.
Целью структуры риск-менеджмента является оказание содействия организации во внедрении инфраструктуры управления рисками информационной безопасности во все сферы деятельности компании. Эффективность риск-менеджмента будет зависеть от степени интеграции в систему управления организацией, включая процесс принятия решения. Это требует поддержки со стороны заинтересованных сторон, особенно высшего руководства.
Структура риск-менеджмента включает в себя внедрение (интеграцию), разработку, реализацию, оценку и улучшение риск-менеджмента в организации. Для эффективного управления информационными рисками организация должна оценивать свои существующие методы и процессы, выявлять любые пробелы в структуре и устранять их. Компоненты структуры и их взаимодействие должны быть настроены под потребности организации. На рисунке 2 показаны компоненты структуры риск-менеджмента.
Рис. 2. Структура риск-менеджмента
Процесс риск-менеджмента предполагает систематическое применение политик, процедур и практик для обеспечения обмена информацией и консультирования, определения контекста, а также оценки рисков, воздействия на риски, мониторинга, анализа и документирования рисков, а также ведения отчетности по рискам [2].
На рисунке 3 показан процесс риск-менеджмента.
Рис. 3. Процесс риск-менеджмента
Очень часто в организациях можно видеть разрозненное взаимодействие по информационным рискам между руководством и техническими специалистами, в том числе IT-директором. Каждая сторона преследует свои цели: в подавляющем большинстве случаев руководство заинтересовано в экономии средств, а департамент рисков за возможные критичные риски выдает совершенно не имеющие к этому никакого отношения проблемы информационной безопасности. На решение данных проблем IT-специалисты требуют дополнительного финансирования, однако зачастую данные риски можно принимать без вреда для существования бизнеса.
В таких случаях IT-директор путем постоянного взаимодействия и инициирования диалогов с финансовым директором или советом директоров в целом (для кого риски являются высшим приоритетом) могут увеличить уровень осознания рисков и поспособствовать созданию культуры быстрого выявления рисков. Руководство в свою очередь обязано обеспечить интеграцию управления рисками информационной безопасности в основную деятельность компании.
Итак, подводя итоги, можно констатировать следующее — любая организация осуществляет свою деятельность ради достижения каких-либо коммерческих целей, однако стоит признать тот факт, что в настоящее время становится практически невозможным вести коммерческую деятельность без обеспечения собственной безопасности путем современного эффективного управления рисками. Предложенные авторами рекомендации могут быть использованы менеджерами и специалистами по информационной безопасности, высшим руководством в любой организации на этапе разработки системы управления информационной безопасностью и в процессе управления информационными рисками.
Литература:
- Дмитриев Д. В. Толковый словарь русского языка — Москва: М.: Астрель: АСТ, 2003. — 1578 с.
- ГОСТ Р ИСО 31000–2018 Менеджмент риска. Принципы и руководство.
- Астахов А. М. Искусство управления информационными рисками — М.: ДМК Пресс, 2010. -312 с.