Управление ИТ-рисками при эксплуатации информационных систем
Авторы: Сингина Анна Александровна, Набока Михаил Викторович
Рубрика: 1. Информатика и кибернетика
Опубликовано в
международная научная конференция «Технические науки в России и за рубежом» (Москва, май 2011)
Статья просмотрена: 4685 раз
Библиографическое описание:
Сингина, А. А. Управление ИТ-рисками при эксплуатации информационных систем / А. А. Сингина, М. В. Набока. — Текст : непосредственный // Технические науки в России и за рубежом : материалы I Междунар. науч. конф. (г. Москва, май 2011 г.). — Москва : Ваш полиграфический партнер, 2011. — С. 22-25. — URL: https://moluch.ru/conf/tech/archive/3/722/ (дата обращения: 22.12.2024).
В настоящее время все большее распространение получают исследования, ориентированные на управление рисками. В нашей работе мы провели анализ существующих инструментов управления рисками и выявили, что основным подходом к решению данных задач являются методы стратегического уровня, а не уровня операционного менеджмента. Многие компании систематически применяют управление рисками, пытаясь обезопасить свой бизнес путем прогноза факторов риска в финансовых и инвестиционных проектах. Но с учетом растущей интеграции информационных технологий во все аспекты деятельности предприятий недостаточное внимание бизнес-руководителей, с нашей точки зрения, уделено проведению анализа рисков информационных технологий. Данная область требует особого рассмотрения, т.к. нуждается в применении иных методов и средств управления рисками, в отличие от традиционных стратегических подходов. Таким образом, при выработке стратегии управления рисками для организации, важно получать полную информацию об информационных системах.
Целью данной работы является повышение доступности и качества методов управления рисками для операционных менеджеров в части эксплуатации информационных систем. Для достижения поставленной цели в работе решаются следующие задачи:
исследование задачи управления рисками информационных технологий (далее - ИТ);
разработка модели управления ИТ-рисками;
разработка автоматизированной системы управления ИТ-рисками.
При решении поставленных задач используются системный подход и прием функционального моделирования.
Объектом работы стал процесс управления ИТ-рисками. В нашем исследовании по понятием риска понимается вероятность возникновения ситуации, которая может привести к финансовому ущербу, упущенной выгоде или невозможности достичь поставленной цели [4]. В ходе нашего исследования мы делим ИТ-риски на три категории. Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов. Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества. Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков.
С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов, которые можно представить в виде [2]:
(1) |
где
DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).
CT – Выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.
СС - Формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.
СО - Формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.
A - Выдача управляющих воздействий на объект управления.
Принцип действия системы управления рисками мы представили на рисунке 1.
Рис. 1 - Схема процесса управления ИТ-рисками
Анализ представленной модели функционирования управления рисками на рисунке № 1 приводит к выводу, что для повышения эффективности процесса формирования управлений, следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.
Исходным объектом управления являются ИТ-риски, которые описывается в виде [1]:
(2) |
где
It – множество ИТ-ресурсов,
B – множество бизнес-процессов,
I – множество инцидентов,
V – множество уязвимостей,
R – множество рисков,
P – убытки/прибыль.
It описывает множество ИТ-ресурсов организации:
(3) |
|
(4) |
описывает прибыль или убытки от ИТ-рисков.
(5) |
описывает бизнес-процессы, опирающиеся на ИТ-ресурсы.
описывает инциденты, происходящие с ИТ-ресурсами.
описывает уязвимости, которые есть в ИТ-ресурсах.
описывает риски, выявленные в ходе анализа статистики
– управляющий фактор, им является мероприятия по снижению рисков.
Целью управления является выполнение следующего действия:
(6) |
где - общие прибыль/убытки, m – количество ИТ-ресурсов, - уровень значимости каждого ресурса.
При этом показывает экономическую обоснованность и целесообразность мер защиты от ИТ-рисков. После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними. Затраты на предотвращение риска не должны превышать возможный ущерб от него.
На основе данной модели была спроектирована база данных в Microsoft Access 2007. Далее проводилась разработка автоматизированной системы управления ИТ-рисками (АСУ ИТ-рисками).
АСУ ИТ-рисками представляет собой систему, состоящую из следующих элементов [3]:
Подсистема описания бизнес-процессов;
Подсистема сбора статистики;
Интегрирующая подсистема управления рисками;
База данных конфигурационных единиц;
Подсистема проверки уязвимостей;
АРМ операционного менеджера;
Подсистема аналитики и отчетности.
Функциональный состав данных подсистем представлен в таблице №1.
Таблица № 1. Функциональный состав АСУ ИТ-рисками
Подсистема |
Функции |
Подсистема описания бизнес-процессов |
|
Подсистема сбора статистики |
|
Интегрирующая подсистема управления рисками |
|
База данных конфигурационных единиц |
|
Подсистема проверки уязвимостей |
|
АРМ операционного менеджера |
|
Подсистема аналитики и отчетности |
|
В результате нашей работы была спроектирована модель управления ИТ-рисками, которая отражает трехстороннюю подверженность организаций рискам, связанным с эксплуатацией информационных систем: действия персонала, сбои систем, нелицензионность. Также разработана автоматизированная система управления ИТ-рисками в соответствии с выделенными нами категориями рисков.
Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.
В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.
Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.
Таким образом, разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы.
Литература:
Воронин А.А., Губко М.В., Мишин С.П., Новиков Д.А. Математические модели организаций: Уч. пособие. - М.: ЛЕНАНД, 2008. - 360 с.
Глушков В.М. Введение в АСУ. - М.: Техника, 1972. – 312 c.
Легизо Д. Управление ИТ-рисками – дело благородное. [Электронный ресурс]. – Электрон. дан. – Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565.
Уткин Э.А., Фролов Д.А. Управление рисками предприятия: учебно-практическое пособие. – М.: ТЕИС, 2003. - 247 с.