· системный подход базируется на общей теории систем;

· основное внимание при использовании системного подхода уделяется выбору конечных целей использования системы и определению целей применения подсистем;

· при системном подходе все используемые методы и средства должны согласованно применяться в рамках единой методики для достижения поставленных целей процесса или системы;

· системный подход применяется для решения проблем, которые не могут быть поставлены и решены методами отдельных разделов математики;

· системный подход предполагает использование не только формальных методов, но и методов качественного анализа и синтеза, основанных на опыте и интуиции специалиста;

· системный подход позволяет объединять знания специалистов различных областей знаний;

· применение системного подхода может способствовать разработке новых методов исследования, если существующие методы не позволяют решить актуальную проблему;

· методология системного подхода предполагает представление системы или процесса в виде связанных подсистем (вложенных процессов) и их согласованного исследования для достижения конечных общих целей исследования системы (процесса);

· в соответствии с системным подходом в системе или процессе должны быть строго определены границы, а также входные и выходные связи (потоки) с внешней средой или внешними процессами;

· системный подход предполагает целостное представление и исследование системы или процесса, однако масштабы системы (процесса) и внешние связи (потоки) выбираются в соответствии с целями исследования.

Системный подход предполагает, прежде всего, выделение систем в соответствии с целями исследования и уровнем рассмотрения проблем. Для рассмотрения сущности информационных рисков предлагается выделить две взаимосвязанные системы: информационную систему предприятия (внутреннюю среду) и внешнюю среду.

С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов следует рассматривать субъекты и объекты информационных процессов. К субъектам информационных процессов относятся сотрудники предприятия, имеющие отношение к получению, обработке, хранению и передаче информации. Объектами являются информационные ресурсы и материальные средства обеспечения информационного процесса предприятия.

Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.

Во внешней среде выделяются элементы двух типов. К элементам первого типа относятся объекты, субъекты, процессы и явления, которые оказывают влияние на информационную систему предприятия. Эти элементы в свою очередь могут быть разделены на две группы. Первую группу образуют элементы информационного взаимодействия с информационной системой предприятия. Такое взаимодействие определяется лишь информационными ресурсами и характером взаимодействия по обмену информацией. Примерами таких элементов могут служить средства массовой информации; партнеры по бизнесу; потребители продукции или услуг; государственные структуры; злоумышленники, использующие программные средства воздействия и т.д.

Ко второй группе относятся элементы внешней среды, которые оказывают неинформационное воздействие на элементы информационной системы предприятия (ИСП). Это природные явления; техногенные аварии; злоумышленники, оказывающие воздействие на материальные объекты информационной системы и другие элементы. Особенностью элементов этой группы является преимущественное одностороннее воздействие этих элементов на объекты информационной системы.

Объединение этих двух систем позволяет получить системный комплекс или мегасистему. Такую мегасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия и внешней средой. Понятие иррациональности, под которым понимается наличие неупорядоченности, нецелесообразности, во взаимодействии систем.

На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия и систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия.

Системный подход к управлению информационными рисками предполагает рассмотрение их причинно-следственных связей. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.

Под факторами риска понимаются условия, вызывающие риск или способствующие проявлению его причин. Понятие причины риска определяется в этой же работе следующим образом: «Результатом проявления причины риска будет нежелательное развитие событий, последствия которого приведут к отклонению от поставленной стратегической цели предприятия

Для уточнения терминологии обратимся к толковому словарю русского языка. В словаре эти понятия определены следующим образом:

· причина - "явление, вызывающее, обусловливающее возникновение другого явления";

· событие - "то, что произошло, то или иное значительное явление";

· фактор - "момент, существенное обстоятельство в каком-нибудь процессе, явлении".

Если следовать приведенным определениям, то применительно к понятию риска можно сделать следующие заключения:

1) причиной риска служит явление (событие), вызывающее, обуславливающее риск;

2) фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

При исследовании информационных рисков необходимо анализировать причины их возникновения с такой глубиной, которая позволяет рассматривать всю цепочку причин, на которые предприятие имеет возможность влиять, или, по крайней мере, учитывать при анализе риска.

Рассматривая соотношение понятий "причина" и "фактор", необходимо отметить, что причина определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков. Так при исследовании причин информационных рисков, связанных с таким информационным объектом как специалист, необходимо рассматривать мотивацию его поступков. Мотивация в свою очередь определяется целым рядом причин. Если специалист совершил злоумышленное деяние в отношении ИСП по корыстным мотивам, то для этого у него была причина, а возможно и целая цепочка причинно-следственных связей.

Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние ИСП в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется в научных работах по защите информации. Факторы риска непосредственно связаны с информационной системой предприятия. Руководство предприятия может в полной мере влиять на факторы риска, снижая вероятность наступления рисковых событий в ИСП.

Анализ информационных рисков предполагает также исследование источников рисков. Под источником информационных рисков понимается субъект, объект, процесс или явление, в котором реализуются причины информационных рисков.

Источники порождают риски при определенных условиях, в силу определенных причин. Знание источника информационного риска является обязательным для определения причин негативных событий в ИСП.

Так, например, источником информационного риска может быть специалист предприятия. Причем, зная источник риска, мы можем сразу предположить, что порождаемый этим информационным объектом риск может быть непреднамеренным, случайным, или носить преднамеренный злоумышленный характер. Причинами непреднамеренных рисков могут быть события порожденные некомпетентностью, небрежностью, невнимательностью, усталостью, стрессом, склонностью к излишней разговорчивости, браваде и т.п.

Важность знания источника риска можно рассмотреть на примере все того же специалиста. Причины рисков практически не различаются для сотрудников разных специальностей. Но возможности по реализации того или иного информационного риска для специалистов различных категорий изменяются в очень широком диапазоне. Рядовой пользователь информационной системы имеет возможность нанести ущерб предприятию, прежде всего, в пределах своей компетенции. Значительно большую опасность представляют несанкционированные действия сотрудников информационного отдела и особенно службы безопасности.

Во многих работах для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.

Как правило, между информационными рисками существуют связи и взаимное влияние. Часть рисков является причинами других информационных рисков. Так стихийные бедствия могут порождать аварии или отказы технических средств. Другая часть рисков может создавать благоприятные условия для реализации иных информационных рисков, то есть являться факторами риска. Причем новые риски могут быть реализованы, а могут и не получить возможности реализоваться.

Схематично процесс воздействия информационных рисков на информационную систему предприятия представлен на Рис. 1. На рисунке показано, что рисковое событие может произойти, когда существуют одновременно причина и фактор риска. Штриховая линия указывает на возможность взаимного влияния рисков.

Размещено на http://www.allbest.ru/

2

Рис. 2 Схема воздействия информационных рисков на ИСП

2.2 Управление информационными рисками

Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается в согласованном воздействии на объекты и субъекты информационной сферы предприятия для устранения причин и факторов рисков с целью минимизации общей суммы, включающей ущерб от информационных рисков и затраты на управление этими рисками.

Управление информационными рисками организуется в соответствии с политикой управления информационными рисками предприятия. Политика разрабатывается под руководством первых лиц предприятия и принимается в качестве официального документа, который носит название "Программа управления информационными рисками предприятия". В программе приводятся:

· цели и задачи управления информационными рисками;

· особенности информационной системы и внешней системы предприятия, оказывающие влияние на условия управления информационными рисками;

· результаты анализа информационных рисков;

· основные научно-методические принципы создания, организации функционирования и развития системы управления информационными рисками;

· функции системы управления информационными рисками;

· порядок управления, мониторинга и аудита системы управления информационными рисками.

В соответствии с принятой политикой управления информационными рисками на предприятии создается система управления информационными рисками (СУИР).

Под системой управления информационными рисками (СУИР) понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, а также информационных ресурсов, оказывающий воздействие на информационную сферу предприятия с целью обеспечения минимальных суммарных расходов на предотвращение информационных рисков и компенсацию ущерба от них.

Система управления информационными рисками является одной из подсистем информационной системы предприятия. Поэтому она должна создаваться на единых с ИСП научно-методических принципах построения сложных человеко-машинных систем.

Применительно к задаче построения системы управления информационными рисками предлагается использовать следующие научно-методические принципы:

· системный подход к построению системы;

· непрерывность функционирования системы;

· равнозащищенность всех звеньев;

· принцип многоуровневой защиты;

· адаптивность системы;

· централизованное иерархическое управление;

· дружественный интерфейс;

· открытость системы.

Системный подход к задаче создания системы управления информационными рисками предполагает:

· учет всех возможных информационных рисков;

· управление информационными рисками на всех жизненных циклах ИСП;

· управление информационными рисками во всех звеньях и на всех уровнях ИСП;

· учет взаимодействия с другими системами и внешней средой;

· комплексное согласованное использование методов и средств управления информационными рисками;

· использование методик создания и развития систем управления информационными рисками, направленных на достижение конечных целей применения таких систем.

При создании СУИР необходимо анализировать все возможные для конкретной ИСП виды информационных рисков. На основе полученной информации осуществляется выбор адекватных мер и средств предотвращения рисков или снижения вероятности их реализации, а также устранения последствий рисков.

За время своего существования информационная система предприятия и ее отдельные объекты проходят несколько этапов или жизненных циклов: создание, использование, модернизация, утилизация технических средств, ликвидация организационной структуры. Управление информационными рисками ведется на всех этапах постоянно, включая переходные периоды. Каждый из жизненных циклов имеет свои особенности, которые учитываются при организации управления информационными рисками.

Современная ИСП представляет собой многозвенную, многоуровневую систему. Информация получается, хранится, обрабатывается и передается в различных звеньях системы и в различных формах представления. На всем технологическом пути перемещения информации необходимо обеспечивать ее качество на должном уровне. По мере продвижения от источников к верхним уровням управления значимость информации возрастает, что и должно учитываться при создании СУИР.

При построении СУИР исследуются все объекты, с которыми взаимодействует ИСП, как внутри предприятия, так и за его пределами. Связи СУИР с другими объектами должны быть максимально структурированными и по возможности формализованы.

Достижение конечной цели разработки и использования СУИР - минимизации суммарных расходов на противодействие информационным рискам и на ликвидацию последствий рисковых событий в информационной сфере предприятия.

Система управления информационными рисками должна функционировать постоянно. Причем это относится не только к средствам управления, но и к органам управления информационными рисками.

Повышение эффективности системы управления информационными рисками достигается за счет создания многоуровневой защиты. Уровни защиты называются также рубежами защиты. Так, например, для защиты информации от несанкционированного доступа в автономной компьютерной системе могут использоваться следующие рубежи: рубеж контролируемой территории, рубеж здания, рубеж помещения, рубеж технического устройства, программный рубеж, рубеж информационного массива (базы данных).

Система управления информационными рисками должна обеспечивать устойчивость ИСП к воздействию информационных рисков. Требуемую устойчивость может обеспечить только адаптивная система. Для решения этой задачи информационной системе предприятия необходимо иметь определенную избыточность, которая позволяла бы выполнять следующие задачи:

· постоянный мониторинг системы;

· определение и локализация рисков;

· оценка последствий реализации риска;

· реконфигурация системы, включая и человеческие ресурсы;

· обеспечение функционирования системы в условиях реализованного риска, возможно и с ухудшенными характеристиками;

· восстановление объектов, поврежденных или утраченных ресурсов;

· обратная реконфигурация системы, для работы в штатном режиме;

· ликвидация последствий воздействия рисков на бизнес-процессы предприятия.

Естественно, что возможности любой адаптивной системы ограничены, и она может обеспечить работоспособность ИСП только в определенных границах. Возможны ситуации, когда системе наносится такой урон, при котором механизмы адаптации не могут компенсировать нанесенный ущерб.

Преимущество адаптивных систем перед другими системами, в которых достигается высокая живучесть, заключается в том, что они обеспечивают максимально возможное использование всех ресурсов в условиях отсутствия рисков

Одним из наиболее важных принципов, лежащих в основе построения СУИР, является создание централизованного иерархического управления.Иерархический принцип управления позволяет построить оптимальную систему, в которой исключены потоки информации не соответствующие уровню компетентности органа управления. На верхние уровни управления попадает информация прошедшая соответствующую обработку и обобщение на низших уровнях.

Централизация управления информационными рисками имеет и еще один аспект. Многие вопросы управления информационными рисками решаются на отраслевом и государственном уровне. Законы, стандарты и концепции, ведомственные руководящие документы и др. позволяют государству оказывать значительное воздействие на процессы управления информационными рисками на предприятиях с любым видом собственности.

Система управления информационными рисками предполагает выполнение сотрудниками определенных обязанностей, которые требуют регулярного и точного выполнения. Для решения этой проблемы СУИР должна обеспечивать дружественный интерфейс системы с сотрудниками предприятия. Под дружественным интерфейсом понимается безопасное и комфортное взаимодействие человека с системой, при котором достигается максимальная производительность.

Принцип открытости предполагает выбор такой архитектуры системы, которая позволяла бы наращивать возможности системы для парирования вновь появляющихся информационных рисков. Открытая система должна иметь некоторый запас ресурсов, которые могут быть использованы при модернизации системы. Блочный принцип построения с использованием стандартных интерфейсов и правильных конструктивных решений позволяют легко заменять блоки более мощными или подключать дополнительные блоки.

Системный подход к управлению информационными рисками позволяет выйти на качественно новый уровень управления. Представление информационной сферы предприятия в виде мегасистемы позволяет рассматривать проблему управления информационными рисками целостно.

Учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса от получения информации до ее использования в бизнес-процессах. Появляется возможность согласованного применения всего комплекса механизмов управления во всех отраслях предприятия.

Архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками, должна быть адаптирована к управлению рисками на более высоком системном уровне. Развитие архитектуры информационной системы должно быть в первую очередь направлено на создание необходимых условий эффективного использования менеджерами предприятия организационных и экономических механизмов управления.

Заключение

В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования предприятия. Исходя из этого разрабатываются все новые и новые методы защиты информации и информационных систем. Необходимо понять что обеспечить полную защиту информации невозможно, но достигнуть приемлемого уровня защиты возможно при комплексном подходе к созданию системы защиты.

В проделанной курсовой работе представлен системный подход к анализу информационными рисками и построению систем управления информационными рисками и угрозами, а также пердложены методы к управлению данными додходами. Целостный взгляд на проблему управления информационными рисками основан на представлении информационной системы предприятия и его внешней среды в виде мегасистемы. Для достижения конечных целей бизнеса необходимы адаптация архитектуры информационной системы предприятия и активное участие менеджмента в управлении информационными рисками.

Список используемых источников

1. Завгородний В.И. Информация и экономическая безопасность

2. Ожегов С.И. Словарь русского языка. 14 - е изд. стереотип. М.: Русский язык, 1983. 813 с.

3. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: АйТи-Пресс, 2004. 384 с.

4. Прангишвили И.В. Системный подход и общесистемные закономерности. Серия "Системы и проблемы управления". М.: СИНТЕГ, 2000. 528 с.

5. Разумов О.С. Системные знания: концепция, методология, практика / О.С. Разумов, В.В. Благодатских. М.: Финансы и статистика, 2006. 400 с.

6. Бирюков А.А. Информационная безопасность: защита и нападение. М.: ДМК Пресс, 2012. 476 с.: ил.

7. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах: учеб. пособие/ В.Ф. Шаньгин. М.: ИД «Форум»: Инфра - М, 2012. 592 с.: ил. (Высшее образование).

8. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин, - Москва: ДМК Пресс, 2012. 592 с.: ил.

9. 3. Методологические основы построения защищённых автоматизированных систем [Текст]: учеб. пособие / А.В.Душкин, О.В. Ланкин, С.В.Потехецкий [ и др.]; Воронеж. гос.ун -т инж. технол. Воронеж: ВГУИТ, 2013. 257 с.

10. Инструментальный контроль и защита информации [Текст]: учеб. пособие / Н.А. Свинарев, О.В. Ланкин, А.П. Данилкин [ и др.]; Воронеж. гос.ун -т инж. технол. Воронеж: ВГУИТ, 2013. 192 с.

11. М.А.Борисов, И.В.Заводцев, И.В.Чижов.Основы программно - аппаратной защиты информации: Учебное пособие. Изд.4-е, перераб. и доп. М.: ЛЕНАНД, 2015. 416 с.

12. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности. Учебное пособие для вузов. 2-е изд., испр. М.: Горячая линия. Телеком, 2014. 130 с.: ил.- Серия «Вопросы управления информационной безопасностью». Выпуск 2».

13. А.П.Курило, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. Основы управления информационной безопасностью. Учебное пособие для вузов. 2-е изд., испр. М.: Горячая лингия. Телеком, 2014. 244с.: ил.- Серия «Вопросы управления информационной безопасностью. Выпуск 1».

14. Новиков В.К. Организационно - правовые основы информационной безопасности (защиты информации). Юридическая ответственность за правонарушения в области информационной безопасности (защиты информации). Учебное пособие. М.: Горячая линия - Телеком, 2015. 176 с.: ил.

15. Бузов Г.А. Защита информации ограниченного доступа от утечки по техническим каналам. М.: Горячая линия - Телеком,2016. 586 с., ил.

16. Достаточно общая теория управления. Постановочные материалы учебного курса факультета прикладной математики - процессов управления Санкт - Петербургского государственного университета (1997 - 2004 г.г.). М.: Концептуал, 2014г. 416 с.

17. Митник К. Искусство обмана: Пер. с англ. Груздева А.А., Семенова А.В. М.: Компания АйТи, 2004. 360 с.

Размещено на Allbest.ru