Содержание и основные этапы управления рисками

При выведении  системы из эксплуатации управление рисками помогает убедиться в  том, что миграция данных происходит безопасным образом.

Подготовительные  этапы управления рисками

Первые  три этапа процесса управления рисками  можно считать подготовительными. Их суть состоит в следующем.

Выбор анализируемых объектов и уровня детализации их рассмотрения — первый шаг в оценке рисков. Для небольшой  организации допустимо рассматривать  всю информационную инфраструктуру; однако, если организация крупная, всеобъемлющая  оценка может потребовать неприемлемых затрат времени и сил. В таком  случае следует сосредоточиться  на наиболее важных сервисах, заранее  соглашаясь с приблизительностью итоговой оценки. Если важных сервисов все еще  много, выбираются те из них, риски для  которых заведомо велики или неизвестны.

По многим причинам целесообразно создать  карту информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку  она наглядно показывает, какие сервисы  выбраны для анализа, а какими было решено пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые  или существенно изменившиеся сервисы  нуждаются в рассмотрении.

Вообще  говоря, уязвимым является каждый компонент  информационной системы — от куска  сетевого кабеля, который могут прогрызть  мыши, до базы данных, которая может  быть разрушена из-за неумелых действий администратора. Как правило, в сферу  анализа невозможно включить каждый винтик и каждый байт. Приходится останавливаться  на некотором уровне детализации, отдавая  себе отчет в приблизительности  оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.

Очень важно выбрать разумную методику оценки рисков. Целью оценки является получение ответов на следующие  вопросы:

• приемлемы ли существующие риски?
• какие из неприемлемых рисков в первую очередь нуждаются в уменьшении?
• какие защитные средства экономически целесообразно использовать для уменьшения неприемлемых рисков?

Следовательно, оценка рисков должна быть количественной, допускающей сопоставление с  заранее выбранными границами допустимости и расходами на реализацию новых  регуляторов безопасности. Управление рисками — типичная оптимизационная  задача, и существует довольно много  программных продуктов, способных  помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности). Принципиальная трудность, однако, состоит в неточности исходных данных. Можно, конечно, попытаться получить для всех анализируемых  величин денежное выражение, высчитать  все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее будет продемонстрировано, как это делается.

При идентификации  активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть о видимых основных направлениях деятельности, которые желательно (или  необходимо) сохранить в любом  случае. Выражаясь объектно-ориентированным  языком, следует в первую очередь  описать внешний интерфейс организации, рассматриваемой как абстрактный  объект.

Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту  ИС в качестве граней соответствующих  объектов.

Информационной  основой любой сколько-нибудь крупной  организации является сеть, поэтому  в число аппаратных активов следует  включить компьютеры (серверы, рабочие  станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).

К программным  активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), другое базовое и прикладное программное  обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение и из каких узлов используется.

Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и категориям критичности, выявить места их хранения и обработки, способы доступа к ним. Все  это важно для оценки последствий  нарушений информационной безопасности.

Управление  рисками — процесс далеко не линейный. Практически все его этапы  связаны между собой, и по завершении почти любого из них может выявиться  необходимость возврата к предыдущему. Так, при идентификации активов  может появиться понимание, что  выбранные границы анализа следует  расширить, а степень детализации  — увеличить. Особенно труден первичный  анализ, когда многократные возвраты к началу неизбежны.  
 
 
 
 
 
 
 

4.Заключение

На каждом из этапов используются свои методы исследования рисков, каждый из них по отдельности  дает результаты, являющиеся исходными  данным и для последующих этапов, что требует объединения этих этапов в систему. Это позволит максимально  эффективно добиваться целей, поставленных перед организацией, поскольку информация, получаемая на каждом из этапов, позволяет  корректировать не только методы воздействия  на риск, но и переосмысливать цели, ставящиеся перед организацией.  
 
Логическим продолжением работы службы риск-менеджмента должно стать формирование программы мероприятий по управлению рисками, при разработке которой должно быть учтено следующее: 
 
ü                размер возможного ущерба и его вероятность; 
 
ü                существующие механизмы снижения риска, предлагаемые государством и их производственно-экономическая эффективность; 
 
ü                производственно-экономическая эффективность предлагаемых службой мероприятий по снижению рисков; 
 
ü                практическая возможность реализации мероприятий в рамках выделенного лимита средств; 
 
ü                соответствие мероприятий программы существующим нормативным актам, целям долгосрочного и краткосрочного планирования развития предприятия и основным направлениям его финансовой политики; 
 
ü                субъективное отношение к риску разработчиков программы и руководства предприятия. 
 
При разработке программы мероприятий по управлению рисками специалистам службы риск-менеджмента следует ориентироваться на максимальную унификацию формируемых оценок уровня риска, что выражается в формировании универсальных параметров, характеризующих объем возможного ущерба, В качестве таких параметров наиболее целесообразно использовать воздействия рисков на финансовые потоки и финансовое состояние предприятия. 
 
Завершающим этапом разработки программы является формирование комплекса мероприятий по снижению рисков, с указанием планируемого эффекта от их реализации, сроков внедрения, источников финансирования и лиц, ответственных за выполнение данной программы. Программа обязательно должна быть утверждена руководством предприятия и учтена при финансово-производственном планировании. 
 
Исходя из данной работы можно сделать вывод: что управление рисками и ведение риск-менеджмента является важным критерием в управлении предприятия. 
 

5.Список  литературы

1. Круковский Я.В. Методы самоорганизации промышленных предприятий на основе эволюционного подхода: на примере телекоммуникационной отрасли: Дис. канд. экон. наук: 08.00.05 – М.: РГБ, 2003.

2. Колесников А.А. Синергетические методы управления сложными системами. Теория системного синтеза. – М.: КомКнига, 2006.

3. Волкова В.Н. Искусство формализации. От математики – к теории систем, и от теории систем – к математике. – СПб.: Изд-во СПбГТУ, 1999.

4. Хиценко В.Е.  Самоорганизация: элементы теории и социальные приложения. – М.: КомКнига, 2005.

5. Денисенко В.И., Решетов И.В. Задача количественного определения уровня самоорганизации социально-экономической системы//Региональная экономика. Проблемы и перспективы: Материал межд. науч.-прак. конф./Под ред. А.Е. Илларионова, О.Б. Дигилиной, К.В. Хартановича. – Владимир: Собор, 2009.

6. Петров В. Алгоритм решения изобретательских задач: Учебное пособие – Тель-Авив: 1999.

7. Решетов И.В. Алгоритм решения управленческих задач и его применение в инновационном процессе [Текст] / И. В. Решетов. - // Проблемы теории и практики управления. - 2009. - № : 11. - с.83-93. ГРНТИ.