Информационные риски

Анализ приведенных  рассуждений позволяет сделать вывод: принципиальных препятствий предсказания субъективных случайностей не существует. Субъективная случайность перейдет в разряд закономерных событий, если человеку удастся своевременно получить информацию, связанную с этим событием, требуемого качества.

Объективную случайность  принципиально невозможно предсказать  в силу ее сущности. Используя методы теории вероятностей возможно лишь получить предположительные сведения о случайном  событии.

Событие не является случайным  для определенного человека, если он своевременно получает качественную информацию. Важной характеристикой события является также интервал времени от момента получения информации о рисковом событии до момента наступления этого события. Если необходимая информация получена в момент времени, когда уже невозможно проанализировать ситуацию, принять решение и выполнить необходимые действия до наступления события, то такое событие относится к случайным.

На практике большинство  рисковых событий относятся к классу субъективных случайных событий. Даже в простых случаях не представляется возможным располагать в полном объеме качественной информацией. Например, имея информацию о дефектной детали, невозможно абсолютно точно предсказать время выхода ее из строя и возможные масштабы ущерба. Для этого потребовалось бы собрать и обработать дополнительную информацию, которую в конкретных условиях получить невозможно или экономически нецелесообразно.

Возможность получения всей информации требуемого качества ограничивается отсутствием соответствующих инструментальных средств и методик, времени на сбор и обработку информации, а также отсутствием полных научных знаний о сущности процесса или явления, противодействием конкурентов и злоумышленников.

Для исследования природы  информационных рисков важно определить сущность и взаимосвязь таких понятий как "источник", "причина" и "фактор" риска. Под источником информационных рисков понимается субъект, объект, процесс или явление, в котором реализуются причины информационных рисков. Примерами источников информационных рисков могут служить: специалист, процесс обработки информации, техническое средство, программа, объекты внешней среды. В зависимости от места расположения и принадлежности источника риска относительно информационной системы риски делятся на внутренние и внешние.

Источники порождают  риски при определенных условиях, в силу определенных причин. Знание источника информационного риска  является обязательным для определения  причин негативных событий в информационной системе.

Анализируя причинно-следственные связи информационных рисков, многие авторы не различают понятия "причина" и "фактор" риска. Если следовать определениям, приведенным в толковых словарях, то применительно к понятию риска можно сделать следующие заключения:

•причиной риска служит явление (событие), вызывающее, обуславливающее риск;

• фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

Рассматривая соотношение  понятий "причина" и "фактор", необходимо отметить, что причина  определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков.

Факторы информационных рисков, в меньшей степени связаны  с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние информационной системы в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется специалистами по защите информации. Для наступления рискового события необходимо одновременное наличие причины и фактора риска.

Информационные риски  могут быть разделены на прямые и косвенные риски. Прямыми будем считать информационные риски, в результате которых объекты информационной системы приходят в неработоспособное состояние. Для восстановления их работоспособности предприятие вынуждено расходовать ресурсы. Примерами прямых рисков являются утрата работоспособности технических средств в результате отказов, аварий и стихийных бедствий, уничтожение или искажение программных средств, информационных баз данных и т. п.

Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия  рисков на бизнес-процессы предприятия  или внешнюю среду, будем называть косвенными информационными рисками. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия.

Таким образом, информационные риски воздействуют на ресурсы информационной системы, вызывая изменение внутренних и внешних условий функционирования предприятия. В результате этих изменений предприятие терпит убытки, ему наносится определенный ущерб. Внешние информационные риски могут напрямую воздействовать на внешнюю среду, в результате чего внешняя среда непосредственно воздействует на бизнес-процессы предприятия.

Информационные  и банковские риски

Информационные риски  приводят к ущербу предприятия. Поэтому  они с полным правом могут быть отнесены к экономическим рискам. При выделении информационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков.

Рассматривая сущность любого экономического риска необходимо отметить информационную природу риска. Как и любое рисковое событие, экономическое рисковое событие является случайным. Причем, экономические рисковые события являются субъективными случайными событиями. Отсюда следует вывод об информационной сущности любого экономического риска.

Целый ряд экономических  рисков по своей сути являются информационными  рисками. К ним относятся управленческий и основные банковские риски: инвестиционный, валютный, кредитный, риск ликвидности. Такие риски определяются в основном качеством информации, которой располагает менеджер на момент принятия решения. Так как современный процесс управления является процессом информационным, то управленческие риски являются по существу информационными рисками.

Для банковской сферы характерны две особенности:

• в банковских информационных системах возможны практически все виды информационных рисков;
• основные банковские риски имеют информационную сущность.

По мере развития информационных технологий осуществляется переход  на безналичный оборот денежных средств, на автоматизированное обслуживание клиентов, на электронные деньги. Бизнес процесс в банках все более приближается к "чистому" информационному процессу сбора, хранения, обработки, передачи и выдачи информации.

Информационным процессам в банковских системах с позиций анализа информационных рисков присущи следующие основные особенности:

• наличие хорошо защищенного внутреннего контура информационной системы, обеспечивающего высокое качество информации и устойчивость системы;
• связь с открытыми системами;
• присутствие большого количества некорпоративных пользователей, действия которых проконтролировать достаточно сложно (пользователи банкоматов, платежи с использованием Интернет);
• слабым звеном таких систем является недостаточная защищенность от неправомочных действий сотрудников банка;
• особая привлекательность банковской сферы для киберпреступников.

Слабыми звеньями современных  банковских информационных систем являются недостаточная защищенность от противоправных действий сотрудников банка (инсайдеров). По статистике до 90% всех инцидентов, имевших место в информационных банковских системах, связаны с участием работающих или уволенных сотрудников.

Причина этого кроется  в недостатках систем разграничения  доступа. Существующие современные технические, программные и криптографические средства позволяют ограничить возможности системных администраторов, операторов систем безопасности информации и тому подобных привилегированных пользователей по доступу к рабочей информации. В комплексе с правовыми и организационными механизмами эти средства позволяют практически исключить несанкционированный доступ к банковской информации.

Серьезной проблемой  для банков остаются мошеннические действия с пластиковыми картами. Сокращение ущерба от таких рисков может быть достигнуто за счет использования смарт-карт, совершенствования алгоритма защищенной удаленной банковской операции и усиления контроля за банкоматами.

Ущерб от нарушения доступности  информации достаточно сложно учесть. Трудно подсчитать сколько клиентов отказались от проведения банковских операций или стали клиентами других банков получив отказ в обслуживании из-за "зависания" информационной системы. Для преодоления этого распространенного информационного риска банкам необходимо повышать устойчивость клиентской части своих информационных систем к сбоям и отказам аппаратных и программных средств, дублировать каналы связи, снижать время восстановления информационного процесса.

Заключение

Информационные системы  существуют с древнейших времен человеческой цивилизации. Действительно, на любой стадии развития общество требует для своего управления систематизированную информацию. Особую важность в общественной жизни занимают экономические информационные системы, связанные с предоставлением и обработкой информации для всех уровней управления экономическими объектами.

Благодаря научно-техническому прогрессу, современные экономические  информационные системы используют новейшие компьютерные технологии по хранению, передаче и обработке информации, необходимые для экономического анализа и принятия управленческих решений. Такие системы, обеспечивая функционирование экономических объектов, оснащены современными техническими и программными средствами обработки информации, телекоммуникационными средствами работы в мировом информационном пространстве. Учитывая специфику и особенности функционирования экономических объектов и систем управления, специалист по работе с экономическими информационными системами должен обладать комплексными знаниями и умениями по ряду смежных областей, связанных с информатикой, экономикой и управлением.

Переход к рыночным отношениям в экономике и научно-технический  прогресс чрезвычайно ускорили темпы внедрения во все сферы социально-экономической жизни российского общества последних достижений в области информатизации. Сфера применения новых информационных технологий на базе ПЭВМ и развитых средств коммуникаций в экономике очень обширна и включает различные аспекты, начиная от обеспечения простейших функций переписки до системного анализа и поддержки сложных задач принятия решений. Персональные компьютеры, средства массовой информации и различного вида коммуникации позволяют учреждениям, предприятиям, фирмам, организациям получать в полном объеме всю необходимую информацию для реализования своих профессиональных, образовательных, культурных и даже бытовых интересов. Информационные процессы как активные силы взаимосвязи внутри и между экономическими объектами хозяйствования строятся на использовании разнообразных информационных технологических решений и дают возможность отнести информацию к разряду наиболее важных, ценных и дорогостоящих ресурсов, экономящих трудовые, материальные и финансовые средства.

Прогресс в экономике  невозможен без применения современных  компьютерных технологий, которые являются основой экономических информационных систем.

Информационные системы  объективно оценивают экономические  отношения, выявляют резервы и обеспечивают успех предпринимательской деятельности за счет принятия стратегически правильных решений.

В современных условиях без полной достоверной информации об экономическом объекте невозможно эффективное принятие решения. Таким образом, на основании всестороннего анализа сущности информационного риска можно сделать главный вывод – информационный риск является экономической категорией, причем, любой экономический риск включает в себя информационную составляющую. Как и другими экономическими рисками, информационными рисками необходимо управлять на всех уровнях менеджмента.

Основные банковские риски являются, по сути, информационными рисками. Информационные риски банковской сферы имеют свои особенности, которые необходимо учитывать при управлении этими рисками.

Литература

1. Завгородний В.И. Концепция создания ЭВМ защищенной структуры// Безопасность информационных технологий (МИФИ). −2006. − № 1.
2. Федеральный закон «О техническом регулировании» от 27.12.2002 №184 – ФЗ.
3. http://www.idc.com
4. http://ru.wikipedia.org
5. http://www.e-college.ru

[]