Библиографическое описание:

Сингина А. А., Набока М. В. Управление ИТ-рисками при эксплуатации информационных систем [Текст] // Технические науки в России и за рубежом: материалы Междунар. науч. конф. (г. Москва, май 2011 г.). — М.: Ваш полиграфический партнер, 2011. — С. 22-25. — URL https://moluch.ru/conf/tech/archive/3/722/ (дата обращения: 12.12.2017).

В настоящее время все большее распространение получают исследования, ориентированные на управление рисками. В нашей работе мы провели анализ существующих инструментов управления рисками и выявили, что основным подходом к решению данных задач являются методы стратегического уровня, а не уровня операционного менеджмента. Многие компании систематически применяют управление рисками, пытаясь обезопасить свой бизнес путем прогноза факторов риска в финансовых и инвестиционных проектах. Но с учетом растущей интеграции информационных технологий во все аспекты деятельности предприятий недостаточное внимание бизнес-руководителей, с нашей точки зрения, уделено проведению анализа рисков информационных технологий. Данная область требует особого рассмотрения, т.к. нуждается в применении иных методов и средств управления рисками, в отличие от традиционных стратегических подходов. Таким образом, при выработке стратегии управления рисками для организации, важно получать полную информацию об информационных системах.

Целью данной работы является повышение доступности и качества методов управления рисками для операционных менеджеров в части эксплуатации информационных систем. Для достижения поставленной цели в работе решаются следующие задачи:

  1. исследование задачи управления рисками информационных технологий (далее - ИТ);

  2. разработка модели управления ИТ-рисками;

  3. разработка автоматизированной системы управления ИТ-рисками.

При решении поставленных задач используются системный подход и прием функционального моделирования.

Объектом работы стал процесс управления ИТ-рисками. В нашем исследовании по понятием риска понимается вероятность возникновения ситуации, которая может привести к финансовому ущербу, упущенной выгоде или невозможности достичь поставленной цели [4]. В ходе нашего исследования мы делим ИТ-риски на три категории. Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов. Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества. Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков.

С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов, которые можно представить в виде [2]:

,

(1)

где

DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).

CT – Выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.

СС - Формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.

СО - Формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.

A - Выдача управляющих воздействий на объект управления.

Принцип действия системы управления рисками мы представили на рисунке 1.

Рис. 1 - Схема процесса управления ИТ-рисками

Анализ представленной модели функционирования управления рисками на рисунке № 1 приводит к выводу, что для повышения эффективности процесса формирования управлений, следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.

Исходным объектом управления являются ИТ-риски, которые описывается в виде [1]:

,

(2)

где

It – множество ИТ-ресурсов,

B – множество бизнес-процессов,

I – множество инцидентов,

V – множество уязвимостей,

R – множество рисков,

P – убытки/прибыль.

It описывает множество ИТ-ресурсов организации:

,

(3)

(4)

описывает прибыль или убытки от ИТ-рисков.

Фазовый вектор объекта .

, , , а

(5)

описывает бизнес-процессы, опирающиеся на ИТ-ресурсы.

описывает инциденты, происходящие с ИТ-ресурсами.

описывает уязвимости, которые есть в ИТ-ресурсах.

описывает риски, выявленные в ходе анализа статистики

– управляющий фактор, им является мероприятия по снижению рисков.

Целью управления является выполнение следующего действия:

,

(6)

где - общие прибыль/убытки, m – количество ИТ-ресурсов, - уровень значимости каждого ресурса.

При этом показывает экономическую обоснованность и целесообраз­ность мер защиты от ИТ-рисков. После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними. Затраты на предотвращение риска не должны превышать возмож­ный ущерб от него.

На основе данной модели была спроектирована база данных в Microsoft Access 2007. Далее проводилась разработка автоматизированной системы управления ИТ-рисками (АСУ ИТ-рисками).

АСУ ИТ-рисками представляет собой систему, состоящую из следующих элементов [3]:

  • Подсистема описания бизнес-процессов;

  • Подсистема сбора статистики;

  • Интегрирующая подсистема управления рисками;

  • База данных конфигурационных единиц;

  • Подсистема проверки уязвимостей;

  • АРМ операционного менеджера;

  • Подсистема аналитики и отчетности.

Функциональный состав данных подсистем представлен в таблице №1.

Таблица № 1. Функциональный состав АСУ ИТ-рисками

Подсистема

Функции

Подсистема описания бизнес-процессов

  • построение дерева бизнес-процессов;

  • описание ИТ-сервисов, используемых для реализации этих бизнес-процессов;

  • описание входных и выходных данных для бизнес-процессов.

Подсистема сбора статистики

  • загрузка информации из файла статистики, полученного при использовании сторонних программ;

  • хранение статистической информации о зарегистрированных инцидентах;

  • передача статистической информации в подсистему оценки рисков и подсистему визуализации

Интегрирующая подсистема управления рисками

  • Формирование оценки

  • загрузка анкет из файла;

  • формирование экспертных оценок рисков посредством анкетирования;

  • сохранение и редактирование анкет.

  • планирование мероприятий по воздействию на риск

База данных конфигурационных единиц

  • описание состава конфигурационных элементов ИТ-инфраструктуры организации.

Подсистема проверки уязвимостей

  • загрузка файла потенциальных уязвимостей

  • поиск в файле потенциальных уязвимостей для элементов базы данных

АРМ операционного менеджера

  • предоставление пользователю возможности координирования работы, отслеживания рисковых событий

Подсистема аналитики и отчетности

  • предоставление ИТ-специалистам статистической информации в удобном виде (таблицы);


В результате нашей работы была спроектирована модель управления ИТ-рисками, которая отражает трехстороннюю подверженность организаций рискам, связанным с эксплуатацией информационных систем: действия персонала, сбои систем, нелицензионность. Также разработана автоматизированная система управления ИТ-рисками в соответствии с выделенными нами категориями рисков.

Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.

В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.

Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.

Таким образом, разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы.


Литература:

  1. Воронин А.А., Губко М.В., Мишин С.П., Новиков Д.А. Математические модели организаций: Уч. пособие. - М.: ЛЕНАНД, 2008. - 360 с.

  2. Глушков В.М. Введение в АСУ. - М.: Техника, 1972. – 312 c.

  3. Легизо Д. Управление ИТ-рисками – дело благородное. [Электронный ресурс]. – Электрон. дан. – Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565.

  4. Уткин Э.А., Фролов Д.А. Управление рисками предприятия: учебно-практическое пособие. – М.: ТЕИС, 2003. - 247 с.

Основные термины (генерируются автоматически): управления рисками, управления ИТ-рисками, автоматизированной системы управления, процесс управления, рамках управления, системы управления рисками, системы управления ИТ-рисками, система управления ИТ-рисками, состоянием объекта управления, автоматизированная система управления, задачи управления, управления рисками информационных, инструментов управления рисками, цели управления, видом рисков, методов управления рисками, стратегии управления рисками, средств управления рисками, процесс управления рисками, управления рисками АСУР.

Обсуждение

Социальные комментарии Cackle
Задать вопрос