Анализ информации, циркулирующей в организации

В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации.

Его основная задача — объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. [1]

Анализ информации, циркулирующей на предприятии основывается на рассмотрении:

1. Идентификации и оценки информационных активов (ИА).

2. Идентификации и оценки информационных ресурсов (ИР).

Основной целью этапа идентификации и оценки ИА является получение количественных значений вероятного ущерба при воздействии угроз информационной безопасности и минимально допустимых значений информационных рисков. Наибольшее негативное влияние может оказать нарушение целостности, конфиденциальности и доступности информационным активам.[4]

Итак, под информационными активами организации будем понимать все ценные информационные ресурсы собственника, способные приносить ему экономическую выгоду, в которых аккумулированы знания, умения и навыки персонала, и реализованные с использованием современных информационных технологий. Иначе говоря, информационные активы необходимо рассматривать как неотделимую совокупность самих сведений, средств их обработки и персонала, имеющих к ней доступ и непосредственно их использующие. [2]

Служба доставки зоотоваров «Гав’c» обладает следующими основными информационными активами:

· Электронная информация/данные,

· Информация на бумажных носителях,

· Архивные документы (отчетность за прошлые периоды),

· Аналитические данные для высшего руководства,

· Человеческие ресурсы,

· Персональные данные,

· Физические активы (сервера, АРМ, терминалы, сетевое оборудование, мобильные устройства),

· Сервисные ресурсы (эл. почта, веб-ресурсы),

· Программное обеспечение, включая прикладные программы,

· Имидж компании.

Проведем оценку данных информационных активов:

Каждый актив, в том числе и неинформационный, оценивается по его “участию в прибыли” (O_y). Для выставления оценки необходимо определить значения лингвистических переменных:

- малая степень участия 1;

- средняя степень участия 3;

- высокая степень участия 5;

- очень большая степень участия 7.

Рассчитывается “коэффициент участия” (K_y):

,

Где i – порядковый номер актива.

Значения коэффициента участия для каждого информационного актива отдела представлены в табл.2.

Таблица 2

Расчет коэффициента участия для каждого ИА

Информационный актив	Коэффициент участия (Ky)
Электронная информация/данные
Информация на бумажных носителях
Архивные документы (отчетность за прошлые периоды)
Аналитические данные для высшего руководства
Человеческие ресурсы
Персональные данные
Физические активы (сервера, АРМ, терминалы, сетевое оборудование, мобильные устройства)
Сервисные ресурсы (эл. почта, веб-ресурсы)

Окончание табл.2

Программное обеспечение, включая прикладные программы
Имидж компании

Рассчитывается сумма участия актива в прибыли (S_y).

Чистая прибыльслужбы доставки зоотоваров «Гав’с» по данным финансовой отчетности за 2015 г. составила 2 104 000 руб.

Расчеты в пунктах 2) и 3) проводятся только для информационных ресурсов. Сведем данные в табл. 3

Таблица 3

Анализ информационных активов

№ п.п	Наименование актива	Оценка участия (Оy)	Коэф. участия (Кy)	Сумма участия, руб. (Sy)
	Электронная информация/данные		0,121	133 584
	Информация на бумажных носителях		0,085	93 840
	Архивные документы (отчетность за прошлые периоды)		0,085	93 840
	Аналитические данные для высшего руководства		0,121	133 584
	Человеческие ресурсы		-	-
	Персональные данные		0,052	57 408
	Физические активы (сервера, АРМ, терминалы, сетевое оборудование, мобильные устройства)		-	-
	Сервисные ресурсы (эл. почта, веб-ресурсы)		-	-
	Программное обеспечение, включая прикладные программы		-	-
	Имидж компании		-	-
	Итоговая сумма прибыли ИА (SПИА):			512 256

 

Для оценки важности необходимо выполнить следующие расчеты:

а) определить сумму прибыли, получаемую за счет информационных активов

б) Далее следует оценить важность каждого ИА. Оценка производится экспертами аналогично оценке участия актива в прибыли. В результате каждому активу должен быть присвоен “коэффициент важности”, который должен удовлетворять двум условиям:

 

,

Где n – порядковый номер информационного актива.

Расчет стоимости каждого ИА производится, как произведение прибыльной стоимости информации и коэффициента важности.

Для программного обеспечения:

руб.

Аналогично рассчитаем стоимость для остальных ИА.

Стоимость информационного актива определяет минимально допустимое значением информационных рисков для него.

Сведем полученные данные в табл. 4.

Таблица 4

Анализ стоимости информационных активов

№ п.п	Наименование актива	Коэф. Важности (К)	Стоимость актива (SИА)
	Электронная информация/данные	0,12	61 471
	Информация на бумажных носителях	0,08	40 980
	Архивные документы (отчетность за прошлые периоды)	0,10	51 225
	Аналитические данные для высшего руководства	0,12	61 471
	Человеческие ресурсы	0,12	61 471
	Персональные данные	0,05	25 613
	Физические активы (сервера, АРМ, терминалы, сетевое оборудование, мобильные устройства)	0,10	51 225
	Сервисные ресурсы (эл. почта, веб-ресурсы)	0,13	66 593
	Программное обеспечение, включая прикладные программы	0,11	56 348
	Имидж компании	0,07	35 587

В отделе продаж предприятия работают 6 сотрудников.

Необходимо рассчитать стоимость информационных ресурсов, необходимых для формирования соответствующих документов:

1. Бумажные документы (договора, акты, деловые письма, протоколы совещаний, методики обучения персонала, система организации труда);

2. Электронные документы, находящиеся на АРМ работников отдела (документы, поступающие из подконтрольных отделов: бухгалтерия, материально-техническая служба, техническая документация, инструкции по эксплуатации терминалов);

3. Аналитические отчеты;

4. Архивы документов по работе автосервиса (отчетность за прошлые периоды);

5. Коммуникационный сервер, использующийся для принятия и передачи электронных сообщений (электронная почта, мгновенные сообщения в коммуникаторе);

6. Файловый сервер, использующийся как сетевой ресурс общего доступа сотрудников.

Стоимость ИР определяется как сумма всех фактических расходов на приобретение, приведение и поддержании их в состоянии, в пригодном для использования в запланированных целях. Расчет стоимости информационных ресурсов произведен в таблице 5.

 

Таблица 5

Расчет стоимости информационных ресурсов

№ИР	Наименование параметра	Единица измерения	Значение
	Заработная плата сотрудникам за месяц	Руб.
Расход бумаги (затраты на бумагу)	Руб.
Расход тонера	Руб.
Итого (SИРз1):	Руб.
	Обслуживание ЭВМ	Руб.
Заработная плата сотрудникам за месяц
Оплата Internet	Руб.
Обслуживание ИС	Руб.
Прочие расходы	Руб.
Итого (SИРз2):	Руб.
	Заработная плата сотрудникам за месяц	Руб.
Расход бумаги	Руб.
Расход тонера	Руб.
Прочие расходы	Руб.
Итого (SИРз3):
4*	Расходы на хранение(SИРз4):	Руб.
	Обслуживание ЭВМ	Руб.
Прочие расходы	Руб.
Итого (SИРз5):	Руб.
	Обслуживание ЭВМ	Руб.
Прочие расходы	Руб.
Итого (SИРз6):	Руб.

* – для ресурса 4 характерны те же расходы, что и для ресурса 1, но потраченные в прошлые периоды. В текущем периоде, характерны только расходы на хранение.

Под стоимостью информации содержащееся в ИР понимается часть стоимости ИА. ИР является материальным воплощением ИА. Причем каждый актив может быть реализован несколькими ресурсами. В то же время каждый ресурс может содержать информацию нескольких активов. Поэтому в полную стоимость ИР необходимо включить часть стоимости актива, пропорциональную количеству информации этого актива в ресурсе.

Для этого определим перечень информационных ресурсов, которые реализуют активы:

Данные на бумажных носителях:

· договора (трудовые договора, договора на оказание услуг, договора сотрудничества и т.д.),

· акты о приемке выполненных работ и др.,

· деловые письма,

· протоколы совещаний,

· программы обучение персонала;

Электронные данные:

· бухгалтерская отчетность,

· планово-экономическая информация,

· информация об объемах выполненных работ;

Архивные документы:

· информация о сделках за прошлые периоды;

· документы о работе с поставщиками,

· отчетность и результаты работы автосервиса за предыдущие периоды;

Аналитическая отчетность, в этот актив входят следующие ресурсы:

· отчет по проведенным работам,

· отчет о персонале,

· отчет по оборудованию,

· отчет по затратам;

Персональные данные, для этого актива соответствуют следующие ресурсы:

· финансовые ведомости,

· сведения о клиентах,

· банковские реквизиты для осуществления расчетов с клиентами.

Составим матрицу информационных ресурсов. Нулевое значение коэффициента означает, что данный ресурс не участвует в реализации данного актива. Сумма значений коэффициентов в столбцах матрицы должна быть равна 1 (табл. 6).

 

 

Таблица 6

Матрица информационных ресурсов

№ п.п.	Активы Ресурсы	Актив 1	Актив 2	Актив 3	Актив 4	Актив 5
	Договора	0,2	0,1
	Акты	0,1
	Деловые письма					0,1
	Протоколы совещаний	0,1	0,1
	Программы обучения персонала;		0,1			0,1
	Бухгалтерская отчетность	0,2	0,2	0,1
	Планово-экономическая информация	0,1	0,2
	Данные отдела продаж		0,3
	Информация о сделках за прошлые периоды			0,2
	Документы о работе с поставщиками	0,1		0,2
	Отчетность и результаты работы автосервиса за предыдущие периоды			0,4
	Отчет о персонале				0,2
	Отчет по проведению работ (услуг)				0,4
	Отчет по затратам по видам				0,3
	Отчет по оборудованию				0,1
	Финансовые ведомости	0,1			0,	0,2
	Сведения о клиентах			0,1		0,4
	Банковские реквизиты для осуществления расчетов с клиентами	0,1				0,2
Итого:

 

Для определения части стоимости актива, входящую в ресурс, необходимо стоимость актива (S_ИА) умножить на коэффициент.

Определение стоимости части актива представлено в табл. 7.

Таблица 7

Определение стоимости части актива

№ п.п.	Активы Ресурсы	Актив 1	Актив 2	Актив 3	Актив 4	Актив 5	, Руб.
	Договора	628812,8	471609,6				1100422,4
	Акты	314406,4					314406,4
	Деловые письма
	Протоколы совещаний	314406,4	471609,6
	Программы обучения персонала;		471609,6				668113,6
	Бухгалтерская отчетность	628812,8	943219,2
	Планово-экономическая информация	314406,4	943219,2				1257625,6
	Данные отдела продаж		1414828,8				1414828,8
	Информация о сделках за прошлые периоды
	Документы о работе с поставщиками	314406,4					1100422,4
	Отчетность и результаты работы предприятия за предыдущие периоды
	Отчет о персонале				943219,2		943219,2
	Отчет по проведению работ (услуг)				1886438,4		1886438,4
	Отчет по затратам по видам				1414828,8		1414828,8
	Отчет по оборудованию				471609,6		471609,6
	Финансовые ведомости	314406,4					707414,4
	Сведения о клиентах
	Банковские реквизиты для осуществления расчетов с клиентами	314406,4					707414,4
Итого:

Стоимость информации ИР (S_ИРа) определяется, как сумма частей стоимости активов, которые он реализует. Полная стоимость ИР (S_ИР) слагается из суммы затрат на него (S_ИРз) и стоимости информации (S_ИРа), т.е.

S_ИР =S_ИРз + S_ИРа

Эта стоимость является величиной потерь при воздействии УБИ. Стоимость информации, содержащейся в информационном ресурсе (S_ИРа), в свою очередь, является минимально допустимым значением риска для данного ИР.

Рассчитаем стоимость такого ресурса как данные на бумажных носителях:

Рассчитаем стоимость электронных данных:

Рассчитаем стоимость документов, хранящихся в архивах:

Рассчитаем стоимость такого ресурса как аналитическая отчетность:

Рассчитаем стоимость такого ресурса как персональные данные:

Сведем полученные данные в таблицу 8, стоимость информационных ресурсов (табл.7) является максимальной величиной риска.

Результатом анализа информации является перечень информационных ресурсов с полной стоимостью и величиной максимального риска (табл. 8).

Таблица 8

Анализ информации защищаемого объекта

№ п.п.	Наименование ресурса	Полная стоимость ресурса	Максимальный риск
	Данные на бумажных носителях	3158462,4	3 065 462,4
	Электронные данные	4735944,4	4 637 444,4
	Аналитические отчеты		4 716 096
	Архивные документы		3458470,4
	Персональные данные	2692358,8	2593858,8

Т.о., в результате проведенного анализа наибольшим риском обладают электронные данные. Наименьшей степенью риска –персональные данные.