УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ. ОСНОВНЫЕ ПОНЯТИЯ, АНАЛИЗ И КЛАССИФИКАЦИЯ

В настоящие время особое внимание в любой компании уделяется защите информации. Наличие определенной системы по защите информации – это залог успешного развития и существования конкурентоспособной компании.

В Российской Федерации особое внимание на управление информационными рисками стало уделяться в конце двадцатого века. В тот период активно начало развиваться понятие как информационная безопасность.

Чтобы получить данные о текущем состоянии защищенности информации специалисты различных уровней проверяют такую информацию на физическую доступность, конфиденциальность, полноту, а также достоверность.

Обеспечение информационной безопасности компании – это залог качественного исполнения бизнес-процессов, связанных с основной деятельностью, а также инфраструктурой предприятия в целом.

Любой автоматизированный процесс отливается от ручного процесса тем, что он более стабилен и существует малая вероятность человеческой ошибки.

Но перед тем, как автоматизировать процесс, руководство вводит такие понятия как оценка и управление рисками и производят оценку того, как информационные технологии помогут свести к минимуму информационные риски.

Точного понятия информационных рисков не существует. Данное понятие сравнимо с понятием угрозы безопасности информации. То есть управление информационными рисками сводится к защите информации от несанкционированного доступа.

Сущность информационного риска - это случайное событие, которое приводит к негативному последствию в информационной системе. Воздействуя на информационную систему риски приводят к банкротству предприятия, в чем и заключается экономический смысл понятия «информационный риск».

Минимизацию информационных рисков лучше всего проводить в комплексе: первоначально необходимо выявить всевозможные проблемы, потом решить какими способами их можно предупредить.

Основная задача минимизации – оценка рисков. При оценки рисков используется возможны следующие понятия:

• потери от рисков по одному виду деятельности не должно привести к потерям по другому направлению деятельности;
• максимальный ущерб для компании не должен превышать суммы прибыли этой компании.

Существует большое разнообразие классификаций угроз в сфере информационной безопасности, при изменении одного вида риска, могут измениться и другие. Можно сделать вывод о том, что информационные риски взаимосвязаны и оказывают влияние на деятельность компании.

Для того, чтобы определить к какой группе относится риск, можно использовать критерии, представленные на рисунке 1.

Рисунок 1. Критерии принадлежности рисков к определенной группе

Для того, чтобы правильно разработать систему защиты информации необходимо правильно использовать стратегию по управлению рисками. Анализ проводят с целью получении информации об организационной структуре предприятия, свойствах имеющихся объектах и текущих рисках.

Анализ рисков можно проводить по двум направлениям:

• количественный анализ;
• качественных анализ.

Данные анализы взаимосвязаны, так как для количественного анализа используется информация, полученная в результате проведения качественного анализа.

Качественный анализ можно схематически представить в виде диаграммы. Данная диаграмма представлена на рисунке 2.

Рисунок 2. Качественный анализ рисков

Количественных анализ основывается на различных математических методах и теориях. Спектр этих методов довольно большой. Он представлен на рисунке 3 в виде диаграммы.

Рисунок 3. Методы анализа количественного риска

В статье были определены основные понятия информационных рисков. Из данного определения можно сделать вывод о том, что информационные риски выделяются в отдельную группу и возникают при использовании информационных технологий в компании.

В статье были приведены критерии классификации рисков, а также приведены возможные варианты анализа информационных рисков.

Список литературы:

1. Бабаш, А.В., Баранова, Е.К., Мельников, Ю.Н. Информационная безопасность. – М: Кнорус, 2018. – 132 с.
2. Бирюков, А. Н. Процессы управления информационными технологиями. – М.: Национальный Открытый Университет «ИНТУИТ», 2016. – 264 с.
3. Мельников, В.П., Куприянов, А.И. Информационная безопасность. – М: Кнорус, 2018. – 268 с.
4. Романова, Ю.Д. Экономическая информатика: учебник и практикум для бакалавриата и магистратуры. – М: Юрайт, 2017. – 495 с.
5. Савельев А. И. Комментарий к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» (постатейный). – М.: Статут, 2015. – 320 с.
6. Сердюк, В. А. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: учебное пособие. – М.: Издательский дом Высшей школы экономики, 2015. – 574 с.