Тема. Основы управления информационными рисками 1. Основные понятия 2. Управление информационными рисками 3. Механизмы управления информационными рисками.
Актуальность проблемы управления информационными рисками 1. По данным специалистов США, снятие элементов защиты информации приведет к разорению 20% средних компаний в течении нескольких часов, 48% - потерпят крах через несколько дней, 33% банков лопнет через несколько часов, 50% - через несколько дней. 2. Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в $100 млрд. ежегодно. 3. Суммарный ежегодный ущерб от компьютерных преступлений только в странах Западной Европы составляет порядка 30 млрд. долл. 4. Ежегодные потери американской экономики из-за ошибок в компьютерных программах составляют около $60 млрд. Отказ компьютера, используемого в банке, наносит ущерб в среднем в размере $263 тыс.
Информационный риск – это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию. Понятие "информационная система" включает в себя все ресурсы предприятия, которые используются для получения, хранения, обработки, передачи и применения информации, а также информационные ресурсы.
Показатели качества информации достоверность; актуальность; конфиденциальность; полнота; своевременность получения; форма представления; избыточность.
Определение информационного риска в широком смысле Информационный риск в широком смысле – это возможность наступления случайного события в информационной сфере предприятия, в результате которого предприятию будет нанесен ущерб. Под информационной сферой предприятия будем понимать информационные ресурсы, средства и субъекты информационных процессов, а также систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия.
Под управлением информационными рисками будем понимать систему согласованных мер, мероприятий и процедур, осуществляемых персоналом предприятия с целью минимизации расходов на противодействие информационным рискам и устранение их последствий. Противодействие информационным рискам предполагает два направления деятельности: предотвращение информационных рисков и снижение возможного ущерба.
Под системой управления информационными рисками (СУИР) понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, обеспечивающий минимальные суммарные расходы на предотвращение информационных рисков и компенсацию ущерба от них.
Управление информационными рисками Воздействие на внутреннюю информационную сферу Управление информационными рисками Воздействие на внешнюю информационную сферу Обеспечение информационной безопасности Обеспечение качества информации Защита интеллектуальной собственности Создание благоприятных условий в информационной сфере
Механизмы управления информационными рисками Средства управления Методы управления Средства сбора и первичной обработки информации Средства обеспечения качества информации в информационной системе Средства обеспечения безопасности информации в информационной системе Нормативно-правовые методы Организационные методы Экономические методы
Поиск информации производится с использованием следующих источников информации: компьютерные системы; телекоммуникационные системы; информационно-поисковые компьютерные системы; технические средства учета, измерений и контроля; средства массовой информации; источники аналитической информации; специалисты, эксперты предприятия.
С помощью сети Интернет доступна важная информация, предоставляемая организациями. В качестве примера можно привести организацию Reed Elsevier Group которая пользуется услугами специалистов из 200 регионов мира и ее годовой оборот составляет 7 млрд. евро. Организация предоставляет информационные услуги, которые разделены на четыре раздела: наука и медицина; юриспруденция (5 млрд документов); образование; экономическая информация.
Первичная обработка поступающей информации выполняется для решения следующих задач: проверка достоверности и актуальности информации; устранение информационной избыточности; сортировка информации; подготовка информации к хранению; учет поступившей информации; оповещение заинтересованных лиц о поступлении информации; передача информации для дальнейшей обработки.
Классификация методов контроля достоверности информации 1)счетные методы; 2)математические методы; 3)методы контроля, использующие избыточность информации; 4)логические методы; 5)прочие методы.
Доступность информации достигается за счет использования комплекса аппаратно-программных средств, обеспечивающих: резервирование аппаратных средств и информационных ресурсов; функционирование адаптивных механизмов; помехоустойчивое кодирование информации; защиту от перегрузок разделяемых ресурсов; защиту от ошибок пользователей и обслуживающего персонала.
Создание организационной структуры системы обеспечения информационной безопасности Создание системы технического регулирования и стандартизации Направления деятельности государства по обеспечению информационной безопасности Определение политики информационной безопасности Создание нормативно-правовой базы Управление системой обеспечения информационной безопасности
Базовым федеральным законом Российской Федерации, регулирующим правоотношения в информационной сфере государства, является Федеральный закон "Об информации, информационных технологиях и о защите информации" от ФЗ.
Следующий уровень иерархии законов, которые используются в процессе управления информационными рисками, составляют законы, развивающие и конкретизирующие основной закон информационного права. Эта группа законов регулирует общественные отношения в определенных областях информационной сферы государства. К ним относятся действующие законы: "Об участии в международном информационном обмене" от ФЗ ; "О государственной тайне" от ; "О коммерческой тайне" от ФЗ ; "О связи" от ФЗ ; О лицензировании отдельных видов деятельности от ФЗ ; "О сертификации продукции и услуг" от ; "О средствах массовой информации" от I ; "О рекламе" от ФЗ ; "Об авторском праве и смежных правах" от I, "О персональных данных" от – ФЗ. "Об участии в международном информационном обмене" от ФЗ "О средствах массовой информации"; "Об авторском праве и смежных правах" от I
К третьему самому низкому уровню иерархии законов могут быть отнесены законы, которые регламентируют применение определенного механизма противодействия информационным рискам. Примером такого закона может служить Федеральный закон "Об электронной цифровой подписи" от г. 1-ФЗ [109].
Организационные методы управления информационными рисками могут быть разделены на следующие группы: методы применения средств управления; методы непосредственного управления информационными рисками; методы общего менеджмента.
К экономическим методам управления могут быть отнесены следующие методы : определения затрат на систему управления информационными рисками; оценки ущербов от информационных рисков; оптимизации общих расходов на управление информационными рисками; страхования информационных рисков; создания резервов для минимизации ущербов.
Страхование информационных рисков - одно из направлений снижения ущерба Новый вид страхования. На Западе начал применяться в конце прошлого столетия. В России развит недостаточно. Страховая компания «Ингосстрах» застраховала деятельность по эксплуатации информационной системы межбанковского процессингового центра электронного документооборота Faktura.ru общая сумма ответственности страховой компании по которому составляет более $500 тыс.