Понятие информационного риска

↑

▷ Содержание

Стр 1 из 24Следующая ⇒

Пока еще не сложилось общепринятого толкования категории "информационный риск". Отдельные специалисты в это понятие вкладывают следующий смысл: информационный риск – это возможное событие, в результате которого несанкционированно удаляется, искажается информация, нарушается ее конфиденциальность или доступность. То есть, понятие информационного риска используется как синоним понятия угроза безопасности информации. Управление такими информационными рисками сводится к защите информации. Причем часть авторов такой трактовки информационного риска под защитой информации понимают защиту в основном от злоумышленных действий.

Некоторые специалисты еще в большей степени сужают понятие информационного риска. Они рассматривают информационный риск как угрозу безопасности информации только в компьютерных системах. Сторонниками таких подходов к пониманию категории "информационные риски" являются, как правило, специалисты в области защиты информации.
В некоторых работах рассматриваются только технические средства информационных технологий, исключая такой ключевой элемент информационных систем, как специалист.
Практически отсутствуют подходы к трактовке понятия "информационный риск", в которых в качестве возможных нежелательных событий рассматривались бы события, приводящие к снижению достоверности, полноты и актуальности информации на стадии ее получения и ввода в информационную систему.

В понятие информационный риск не включают также риски, связанные с возможным наличием ошибок в моделях, алгоритмах обработки информации, программах, которые используются для выработки управляющих решений.

Не всегда понятие информационный риск связывают с возможностью снижения качества информации ниже допустимого предела в результате сбоев и отказов программных и технических средств.

Все приведенные подходы к пониманию термина "информационный риск" объединяет два обстоятельства: отсутствие комплексного системного взгляда на проблему и ясности понимания конечных результатов воздействия информационных рисков на предприятие.

Другая группа специалистов рассматривает информационные риски как экономическую категорию. Они понимают информационные риски как возможность возникновения убытков, неполучение прибыли и другие негативные последствия для предприятия. Примером одного из таких подходов может служить следующее определение: "Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи"[2].

Недостатком подобных определений является нечеткое указание на объекты, с которыми связаны возможные события, приводящие к ущербу. В приведенном определении из рассмотрения исключены риски связанные с традиционным документооборотом, с воздействием злоумышленников на информационные ресурсы методами шпионажа и диверсий.
Нам представляется, что определение понятия "информационный риск" должно показывать сущность информационного риска, связь его с информационной системой предприятия, последствия воздействия на информационную систему и предприятие в целом.

Под информационной системой предприятия будем понимать систему взаимосвязанных информационных объектов, которые реализуют информационный процесс в целях эффективного функционирования предприятия. Сущность информационного процесса состоит в получении, обработке, хранении и передаче необходимой информации.

В качестве информационных объектов (ИО) рассматриваются специалисты, имеющие отношение к информационному процессу, вычислительные машины, системы, комплексы и сети, информационные ресурсы, коммуникационные системы, системы ввода, хранения, передачи и представления информации. К информационным ресурсам относятся идентифицируемые данные на машинных носителях, бумажные документы, базы данных, файлы и сообщения в электронных устройствах.

То есть, к информационным объектам относятся все специалисты, технические устройства, другие материальные средства и информационные ресурсы предприятия, которые задействованы в информационном процессе.

Сущность информационного риска заключается в том, что это случайное событие, приводящее к негативным последствиям в информационной системе. Воздействуя на информационную систему, в конечном итоге риски приводят к ущербу или убыткам предприятия, в чем и заключается экономический смысл понятия "информационный риск".

С учетом приведенных рассуждений определение информационного риска может быть представлено в следующем виде. Информационный риск – это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации ниже допустимого уровня, в результате которых наносится ущерб предприятию.

Качество информации определяется следующими показателями:

• достоверность;
• актуальность;
• конфиденциальность;
• полнота;
• своевременность получения;
• форма представления;
• избыточность.

Понятие "информационная система" включает в себя все ресурсы предприятия, в том числе и сотрудников, которые используются для получения, хранения, обработки, передачи и применения информации. Поэтому понятие "информационный риск" включает в себя все возможные события, которые могут воздействовать на любые ресурсы информационной системы и вызывать ущерб или убытки предприятия.

Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам, как проблему системную. Решение ее возможно с привлечением специалистов всех уровней управления при непосредственном участии первых лиц предприятия.

Понятие "информационный риск" можно трактовать и в более широком смысле. Приведенное выше определение информационного риска не затрагивает негативных явлений, которые непосредственно не связаны с информационной системой предприятия. К ним относятся нарушение авторских прав на использование и распространение продукции интеллектуального труда, распространение заведомо ложных сведений о предприятии (дезинформация), незаконное использование торговой или производственной марки. То есть, к информационным рискам относятся также события, связанные с незаконным использованием информации или искажением информации, имеющей отношение к предприятию, но возникающие во внешней среде и оказывающие воздействие на внешнюю среду, непосредственно не воздействуя на информационную систему. В результате изменений внешней среды бизнес-процессам предприятия наносится ущерб.

Тогда информационный риск – это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия (ИСП), а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию.
Информационный риск оказывает отрицательное воздействие на результаты функционирования предприятия по определенной схеме (Рис. 1).

Информационный риск вызывается внутренними или внешними причинами. Если причины информационного риска порождаются внутри предприятия, то такой риск относится к внутренним. Внешним информационным риском считается риск, причины возникновения которого находятся за пределами предприятия.

Анализируя причинно-следственные связи информационных рисков многие авторы не различают понятия "причина" и "фактор" риска. Если следовать определениям, приведенным в толковых словарях, то применительно к понятию риска можно сделать следующие заключения:

• причиной риска служит явление (событие), вызывающее, обуславливающее риск;
• фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

Рассматривая соотношение понятий "причина" и "фактор", необходимо отметить, что причина определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков.

Рис. 1. Схема воздействия информационных рисков на процесс функционирования предприятия

Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние ИСП в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется специалстами по защите информации. Для наступления рискового события необходимо одновременное наличие причины и фактора риска.
Информационный риск воздействует на один или несколько информационных объектов ИСП. Реакция ИО на воздействие риска может быть направлена во внешнюю среду или на внутренние объекты. Например, под воздействием некоторого события на ОИ во внешнюю среду несанкционированно передается конфиденциальная информация. Внутренняя реакция ИО на воздействие риска может быть направлена на другие ИО или непосредственно на бизнес-процессы. Если негативное воздействие на ИО не будет заблокировано, то, распространяясь от ИО к ИО, оно отрицательно повлияет на бизнес-процессы. Например, возникшая ошибка в расчетах, если она не будет своевременно обнаружена, попадет в устройство управления автоматизированной линии, что приведет к выпуску бракованной продукции.

Существует три пути причинения ущерба предприятию в результате реализации информационного риска. Ущерб может быть следствием использования в бизнес-процессе управляющей информации, качество которой в результате воздействия информационного риска снизилось до неприемлемого уровня. Например, применение недостоверной информации, нарушение доступности информации в течение времени, превышающего предельно допустимое, приведут к ущербу предприятия.
Предприятия несут убытки за счет прямого воздействия информационных рисков на объекты информационной системы, в результате которого объекты приходят в неработоспособное состояние. Такие риски будем называть прямыми информационными рисками. Для восстановления их работоспособности предприятие вынуждено расходовать ресурсы. Примерами таких рисков являются уничтожение технических средств в результате аварий и стихийных бедствий, утраты программных средств, информационных баз данных и т. п.

Третьим путем причинения ущерба предприятию в результате реализации информационных рисков является изменение внешней среды, которое сказывается на эффективности функционирования предприятия. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия. Большой ущерб предприятию наносится при попадании во внешнюю среду сведений об имевших место информационных рисках, касающихся предприятия. В некоторых случаях деловой репутации предприятия наносится такой ущерб, который может привести к банкротству предприятия.

Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду, будем называть косвенными информационными рисками.

Таким образом, информационные риски воздействуют на информационные объекты ИСП, вызывая изменение внутренних и внешних условий функционирования предприятия. В результате этих изменений предприятию терпит убытки, ему наносится определенный ущерб. Внешние информационные риски могут непосредственно воздействовать на внешнюю среду, в результате чего внешняя среда непосредственно воздействует на бизнес-процессы предприятия.

Познавательные статьи:



Где возникла философия и почему?

Относительная высота сжатой зоны бетона

Сущность проекции Гаусса-Крюгера и использование ее в геодезии

Тарифы на перевозку пассажиров