Дія інформаційних ризиків на процес функціонування підприємства.

Інформаційний ризик - це можливість настання випадкової події, що призводить до порушень функціонування і зниження якості інформації в інформаційній системі підприємства (ИСП), а також до неправомірного використання або поширення інформації в зовнішньому середовищі, в результаті яких наноситься збиток підприємству. Інформаційний ризик чинить негативну дію на результати функціонування підприємства за певною схемою (Мал. 1). Інформаційний ризик викликається внутрішніми або зовнішніми причинами. Якщо причини інформаційного ризику породжуються усередині підприємства, то такий ризик відноситься до внутрішніх. Зовнішнім інформаційним ризиком вважається ризик, причини виникнення якого знаходяться за межами підприємства. Аналізуючи причинно-наслідкові зв'язки інформаційних ризиків багато авторів не розрізняють поняття " причина" і " чинник" ризику. Якщо наслідувати визначення, приведені в тлумачних словниках, то стосовно поняття ризику можна зробити наступні висновки:

- причиною ризику служить явище(подія), що викликає, обумовлює ризик;

- чинником ризику називається стан процесу або об'єкту, який сприяє реалізації ризику.

Розглядаючи співвідношення понять " причина" і " чинник", необхідно відмітити, що причина визначає внутрішні джерела активності процесів або об'єктів що породжують ризики. Чинники ж розглядаються як обставини, сприяючі реалізації ризиків. Чинники інформаційних ризиків, у меншій мірі пов'язані з конкретними джерелами ризику, чим причини ризиків. Вони в основному відбивають стан ИСП в цілому, і особливий стан підсистеми протидії інформаційним рискам. Поняттю "Чинник ризику" близьке поняття "Уразливість системи", яке використовується специалстами по захисту інформації. Для настання ризикової події потрібна одночасна наявність причини і чинника ризику. Інформаційний ризик впливає на один або декілька інформаційних об'єктів ИСП. Реакція ИО на дію ризику може бути спрямована в зовнішнє середовище або на внутрішні об'єкти. Наприклад, під впливом деякої події на ОИ в зовнішнє середовище несанкціоновано передається конфіденційна інформація. Внутрішня реакція ИО на дію ризику може бути спрямована на інші ИО або безпосередньо на бізнес-процеси. Якщо негативна дія на ИО не буде заблокована, то, поширюючись від ИО до ИО, воно негативно вплине на бізнес-процеси. Наприклад, виникла помилка в розрахунках, якщо вона не буде своєчасно виявлена, потрапить в облаштування управління автоматизованої лінії, що приведе до випуску бракованої продукції.

Існує три шляхи спричинення збитку підприємству в результаті реалізації інформаційного ризику. Збиток може бути наслідком використання у бізнес-процесі інформації, що управляє, якість якої в результаті дії інформаційного ризику знизилося до неприйнятного рівня. Наприклад, застосування недостовірної інформації, порушення доступності інформації, впродовж часу, що перевищує гранично допустиме, приведуть до збитку підприємства.

Підприємства зазнають збитки за рахунок прямої дії інформаційних ризиків на об'єкти інформаційної системи, в результаті якого об'єкти приходять в непрацездатний стан. Такі риски називатимемо прямими інформаційними рисками. Для відновлення їх працездатності підприємство вимушене витрачати ресурси. Прикладами таких ризиків є знищення технічних засобів в результаті аварій і стихійних лих, втрати програмних засобів, інформаційних баз даних і т. п.

Третім шляхом спричинення збитку підприємству в результаті реалізації інформаційних ризиків є зміна зовнішнього середовища, яка позначається на ефективності функціонування підприємства. Так, наприклад, при порушенні конфіденційності інформації погіршується кон'юнктура ринку, можливий зрив переговорів з партнерами і інші наслідки, що приносять збиток матеріальним або інтелектуальним ресурсам підприємства. Великий збиток підприємству наноситься при попаданні в зовнішнє середовище відомостей про тих, що мали місце інформаційних рисках, що стосуються підприємства. В деяких випадках діловій репутації підприємства наноситься такий збиток, який може привести до банкрутства підприємства.

Інформаційні риски, які завдають збитку підприємству, що є наслідком дії ризиків на бізнес-процеси підприємства або зовнішнє середовище, називатимемо непрямими інформаційними

 

Рис. 1. Схема воздействия информационных рисков на процесс функционирования предприятия

Інформаційні ризики.

Забезпечення інформаційної безпеки - одне з головних завдань сучасного підприємства. Загрозу можуть представляти не лише технічні збої, але і неузгодженість даних в різних облікових системах, яка зустрічається чи не у кожної другої компанії, а також необмежений доступ співробітників до інформації.

Окрім цього ще більше серезную загрозу можуть представляти будь-які форс-мажорні обставини(пожежі, затоплення), що несуть катастрофічні наслідки для існування бізнесу. Як виявити і мінімізувати інформаційні риски(IT- риски)? Інформаційні риски - це небезпека виникнення збитків або збитку в результаті застосування компанією інформаційних технологій. Іншими словами, IT- риски пов'язані із створенням, передачею, зберіганням і використанням інформації за допомогою електронних носіїв і інших засобів зв'язку.

IT- риски можна розділити на дві категорії:

1) риски, викликані просочуванням інформації і використанням її конкурентами або співробітниками в цілях, які можуть пошкодити бізнесу;

2) риски технічних збоїв роботи апаратного і програмного забезпечення, каналів передачі інформації, які можуть привести до збитків.

Мінімізація ІТ - ризиків.

Робота по мінімізації IT- ризиків полягає в попередженні несанкціонованого доступу до даних, а також аварій і збоїв устаткування і програмного забезпечення. Процес мінімізації IT- ризиків слід розглядати комплексно:

1. Спочатку виявляються можливі проблеми, а потім визначається, якими способами їх можна вирішити.

2. Чи зможе компанія в короткий термін інтегрувати існуючі технології роботи з інформацією в системи підприємства, що є об'єктом злиття або придбання?

Наприклад, в компанії встановлена одна або декілька облікових систем, за допомогою яких фінансисти отримують дані для складання консолідованої звітності. При купівлі нового підприємства з'ясовується, що у нього встановлена інша облікова система. Тому у компанії має бути чіткий план трансформації такої звітності в стандарти, прийняті на головному підприємстві. Інакше вона може втратити оперативний контроль над ситуацією.

3. Чи дозволяє організація документообігу компанії в існуючих системах продовжити її діяльність в колишньому режимі у разі відходу ключових співробітників?

4. Ця проблема надзвичайно актуальна для українських компаній, оскільки навіть фінансова і бухгалтерська інформація частенько вводиться і зберігається в довільному виді, не кажучи вже про відомості, що стосуються клієнтів і т. п. Це веде до додаткових витрат часу нових співробітників на " входження" в курс справи і підвищує вірогідність виникнення помилок.

5. Чи забезпечений захист інтелектуальної власності компанії і її клієнтів?

6. Чи має компанія чіткий алгоритм дій в критичній ситуації, наприклад у разі збоїв в роботі комп'ютерних мереж або вірусної атаки?

7. Чи відповідає спосіб роботи інформаційних систем загальним завданням компанії? (Якщо перед компанією стоїть завдання мати загальний центр управління грошовими потоками, а облікові системи, встановлені в різних філіях, не пов'язані між собою, то поставлене завдання не буде вирішено).

Точно визначити можливий збиток від більшості IT- ризиків досить складно, але приблизно оцінити їх цілком можливо.

Як мінімізувати IT- риски?

Як показує досвід багатьох компаній, найбільш успішні стратегії попередження IT- ризиків базуються на трьох основних правилах.

Правило № 1. Доступ співробітників до інформаційних систем і документів компанії має бути різний залежно від важливості і конфіденційності змісту документу.

Правило № 2. Компанія повинна контролювати доступ до інформації і забезпечувати захист вразливих місць інформаційних систем.

Правило № 3. Інформаційні системи, від яких безпосередньо залежить діяльність компанії(стратегічно важливі канали зв'язку, архіви документів, комп'ютерна мережа), повинні працювати безперебійно навіть у разі кризової ситуації або мати можливість оперативного розгортання форс-мажорних обставин на іншому майданчику.

 

 

Якість інформації.

Якість інформації є складним поняттям, його основу складає базова система показників, що включає показники трьох класів:

· - клас видачі(своєчасність, актуальність, повнота, доступність і інші);

· - клас обробки(достовірність, адекватність і інші);

· - клас захищеності(фізична цілісність інформації, логічна цілісність інформації, безпека інформації).

Якість інформації

Якість інформації є одним з найважливіших параметрів для споживача інформації. Воно визначається наступними характеристиками:

1. репрезентативність - правильність відбору інформації в цілях адекватного відображення джерела інформації. Наприклад, в цілях більшої репрезентативності даних про себе абітурієнти прагнуть представити в приймальну комісію якомога більше свідчень, дипломів, посвідчень і іншої інформації, що підтверджує їх високий рівень підготовки, що враховується при зарахуванні у ВНЗ;

2. змістовність - семантична місткість інформації. Розраховується як відношення кількості семантичної інформації до її кількості в геометричній мірі. Це характеристика сигналу, про який говорять, що "думкам в нім тісно, а словам просторо". В цілях збільшення змістовності сигналу, наприклад, використовують для характеристики успішності абітурієнта не повний перелік його атестаційних оцінок, а середній бал по атестату;

3. достатність (повнота) - мінімальний, але достатній склад даних для досягнення цілей, які переслідує споживач інформації. Ця характеристика схожа на репрезентативність, проте різниця полягає в тому, що в даному випадку враховується мінімальний склад інформації, який не заважає ухваленню рішення. Наприклад, абітурієнт - золотий медаліст може не представляти в приймальну комісію свій атестат: диплом, що підтверджує отримання золотої медалі, свідчить про повний набір відмінних оцінок в атестаті;

4. доступність - простота(чи можливість) виконання процедур отримання і перетворення інформації. Ця характеристика застосована не до усієї інформації, а лише до тієї, яка не є закритою. Для забезпечення доступності паперових документів використовуються різні засоби оргтехніки для їх зберігання, а для полегшення їх обробки використовуються засоби обчислювальної техніки;

5. актуальність - залежить від динаміки зміни характеристик інформації і визначається збереженням цінності інформації для користувача у момент її використання. Очевидно, що стосується інформації, яка використовується при зарахуванні, вона актуальна, оскільки саме навчання вже закінчилося, і його результати змінені бути не можуть, а, означає, залишаються актуальними;

6. своєчасність - вступ не пізніше заздалегідь призначеного терміну. Цей параметр також очевидний недавнім абітурієнтам: запізнення з уявленням позитивної інформації про себе при вступі може бути багате незарахуванням;

7. точність - міра близькості інформації до реального стану джерела інформації. Наприклад, неточною інформацією є медична довідка, в якій відсутні дані про перенесені абітурієнтом захворювання;

8. достовірність - властивість інформації відбивати джерело інформації з необхідною точністю. Ця характеристика вторинна відносно точності. У попередньому прикладі отримувана інформація недостовірна;

Одним з найбільш суттєвих показників якості інформації є її безпека.

 

Загрози безпеки інформації.

Під загрозою безпеки інформації розуміється потенційно можлива подія, процес або явище, яке може привести до знищення, втрати цілісності, конфіденційності або доступності інформації. Уся безліч потенційних загроз безпеки інформації в автоматизованих інформаційних системах(АИС) або в комп'ютерних системах(КС) може бути розділена на два класи: випадкові загрози і умисні загрози. Загрози, які не пов'язані з умисними діями зловмисників і реалізуються у випадкові моменти часу, називаються випадковими або неумисними. До випадкових загроз відносяться: стихійні лиха і аварії, збої і відмови технічних засобів, помилки при розробці АИС або КС, алгоритмічні і програмні помилки, помилки користувачів і обслуговуючого персоналу. Реалізація загроз цього класу призводить до найбільших втрат інформації(за статистичними даними - до 80% від збитку, що наноситься інформаційним ресурсам КС будь-якими загрозами). При цьому може відбуватися знищення, порушення цілісності і доступності інформації. Рідше порушується конфіденційність інформації, проте при цьому створюються передумови для зловмисної дії на інформацію. Згідно з тими ж статистичними даними тільки в результаті помилок користувачів і обслуговуючого персоналу відбуваються до 65% випадків порушення безпеки інформації. Слід зазначити, що механізм реалізації випадкових загроз вивчений досить добре і накопичений значний досвід протидії цим загрозам. Сучасна технологія розробки технічних і програмних засобів, ефективна система експлуатації автоматизованих інформаційних систем, що включає обов'язкове резервування інформації, дозволяють значно понизити втрати від реалізації загроз цього класу. Загрози, які пов'язані із зловмисними діями людей, а ці дії носять не просто випадковий характер, а, як правило, є непередбачуваними, називаються умисними.

До умисних загроз відносяться:

традиційне або універсальне шпигунство і диверсії, несанкціонований доступ до інформації, електромагнітні випромінювання і наведення, несанкціонована модифікація структур, шкідницькі програми.

В якості джерел небажаної дії на інформаційні ресурси як і раніше актуальні методи і засоби шпигунства і диверсій. До методів шпигунства і диверсій відносяться: підслуховування, візуальне спостереження, розкрадання документів і машинних носіїв інформації, розкрадання програм і атрибутів систем захисту, підкуп і шантаж співробітників, збір і аналіз відходів машинних носіїв інформації, підпали, вибухи, озброєні напади диверсійних або терористичних груп.