Завгородний В. И
Вид материала | Документы |
СодержаниеИнформационные и банковские риски |
- Завгородний В. И. Защита информации в компьютерных системах. Электронное издание, 13.73kb.
- Н. Г. Завгородний, 922.89kb.
- Завгородний Андрей. Работа компьютера. Ускорение, 88.5kb.
- Учебное пособие Краснодар, 2000. Печатается по решению редакционно-издательского совета, 571kb.
Завгородний В. И.
Информационные и банковские риски
Сущность информационных рисков
Пока еще не сложилось общепринятого толкования категории "информационный риск". Представляется, что определение понятия "информационный риск" должно показывать сущность информационного риска, связь его с информационной системой предприятия, последствия воздействия риска на информационную систему и предприятие в целом.
Сущность информационного риска заключается в том, что это случайное событие, приводящее к негативным последствиям в информационной системе. Воздействуя на информационную систему, в конечном итоге риски приводят к ущербу предприятия, в чем и заключается экономический смысл понятия "информационный риск".
С учетом приведенных рассуждений определение информационного риска может быть представлено в следующем виде. Информационный риск – это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию.
Понятие "информационная система" включает в себя все ресурсы предприятия, которые используются для получения, хранения, обработки, передачи и применения информации, а также информационные ресурсы. Информационные системы образуют следующие ресурсы: компьютерные системы, системы передачи информации, оргтехника, базы данных и файлы компьютерных систем, документы в печатной форме, аудио и видеоинформация на носителях различной физической природы. В качестве одного из основных ресурсов информационной системы рассматривается специалист, имеющий отношение к использованию или эксплуатации информационной системы.
К компьютерным системам относятся компьютеры различного назначения, вычислительные системы и комплексы, вычислительные сети. В качестве компьютерных систем рассматриваются также блоки и узлы, входящие в состав других устройств и реализующие программный принцип управления для обработки информации. К таким системам относятся, прежде всего, блоки управления станками, транспортными средствами, средствами автоматизированного доступа на объекты, средствами связи и тому подобными устройствами.
Понятие "информационный риск" включает в себя все возможные события, которые могут воздействовать на любые ресурсы информационной системы и вызывать ущерб предприятия.
Важное место в определении информационного риска занимает положение о том, что причиной ущерба может служить снижение качества информации. Качество информации характеризуется следующими показателями: достоверность; актуальность; конфиденциальность; полнота; своевременность получения; форма представления; избыточность.
Использование категории "качество информации" в определении информационного риска позволяет существенно расширить рамки рисковых событий. В результате этого учитываются события, влияющие на все показатели качества информации на всех этапах ее использования на предприятии, во всех звеньях информационной технологической цепи, включая работу с документами на бумажных носителях, видео и аудио информацией.
При рассмотрении понятия "информационный риск" принимается во внимание наличие в информационной системе такого противоречивого ресурса как специалист предприятия. С одной стороны специалист является одним из основных элементов информационной системы, противодействующим наступлению информационных рисков. С другой стороны специалист является потенциальным источником информационных рисков.
Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам, как проблему системную. Решение ее возможно с привлечением специалистов всех уровней управления при непосредственном участии первых лиц предприятия.
Понятие "информационный риск" можно трактовать и в более широком смысле. Приведенное выше определение информационного риска не затрагивает таких негативных явлений, которые непосредственно не связаны с информационной системой предприятия, как нарушение авторских прав на использование продукции интеллектуального труда, распространение заведомо ложных сведений о предприятии (дезинформация), незаконное использование торговой или производственной марки. То есть, к информационным рискам относятся также события, связанные с незаконным использованием информации или искажением информации, относящейся к предприятию и наносящие ущерб предприятию путем прямого воздействия на внешнюю среду.
Тогда, информационный риск – это возможность наступления случайного события, приводящего к нарушениям функционирования информационной системы предприятия и снижению качества информации, а также к неправомерному использованию, распространению или противодействию распространения информации во внешней среде, в результате которых наносится ущерб предприятию.
Такой подход к пониманию информационного риска позволяет непосредственно связать его с обеспечением конечной цели функционирования предприятия – получением максимальной прибыли и достижением стабильности бизнеса. У руководителя появляется возможность оценить информационный риск и, с учетом его опасности для бизнеса, выработать адекватную политику управления конкретным риском.
По определению информационный риск, как и риск любой природы, является случайным событием. Случайный характер информационного риска необходимо учитывать при рассмотрении его сущности и взаимосвязи информационных и экономических рисков.
В соответствии с сущностью процессов, явлений и объектов, порождающих случайности, различают объективную и субъективную случайности. Объективная случайность связана с природой материи, ее сущностью. В наиболее явной форме объективная случайность проявляется в микромире на уровне молекул, атомов, элементарных частиц. Примерами могут служить броуновское тепловое движение молекул и изменения в генах, приводящие к мутации организмов. Субъективная случайность определяется неполнотой информации о причинах и сущности случайных событий.
Анализ приведенных рассуждений позволяет сделать вывод: принципиальных препятствий предсказания субъективных случайностей не существует. Субъективная случайность перейдет в разряд закономерных событий, если человеку удастся своевременно получить информацию, связанную с этим событием, требуемого качества.
Объективную случайность принципиально невозможно предсказать в силу ее сущности. Используя методы теории вероятностей возможно лишь получить предположительные сведения о случайном событии.
Событие не является случайным для определенного человека, если он своевременно получает качественную информацию. Важной характеристикой события является также интервал времени от момента получения информации о рисковом событии до момента наступления этого события. Если необходимая информация получена в момент времени, когда уже невозможно проанализировать ситуацию, принять решение и выполнить необходимые действия до наступления события, то такое событие относится к случайным.
На практике большинство рисковых событий относятся к классу субъективных случайных событий. Даже в простых случаях не представляется возможным располагать в полном объеме качественной информацией. Например, имея информацию о дефектной детали, невозможно абсолютно точно предсказать время выхода ее из строя и возможные масштабы ущерба. Для этого потребовалось бы собрать и обработать дополнительную информацию, которую в конкретных условиях получить невозможно или экономически нецелесообразно.
Возможность получения всей информации требуемого качества ограничивается отсутствием соответствующих инструментальных средств и методик, времени на сбор и обработку информации, а также отсутствием полных научных знаний о сущности процесса или явления, противодействием конкурентов и злоумышленников.
Для исследования природы информационных рисков важно определить сущность и взаимосвязь таких понятий как "источник", "причина" и "фактор" риска. Под источником информационных рисков понимается субъект, объект, процесс или явление, в котором реализуются причины информационных рисков. Примерами источников информационных рисков могут служить: специалист, процесс обработки информации, техническое средство, программа, объекты внешней среды. В зависимости от места расположения и принадлежности источника риска относительно информационной системы риски делятся на внутренние и внешние.
Источники порождают риски при определенных условиях, в силу определенных причин. Знание источника информационного риска является обязательным для определения причин негативных событий в информационной системе.
Анализируя причинно-следственные связи информационных рисков, многие авторы не различают понятия "причина" и "фактор" риска. Если следовать определениям, приведенным в толковых словарях, то применительно к понятию риска можно сделать следующие заключения:
•причиной риска служит явление (событие), вызывающее, обуславливающее риск;
• фактором риска называется состояние процесса или объекта, которое способствует реализации риска.
Рассматривая соотношение понятий "причина" и "фактор", необходимо отметить, что причина определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков.
Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние информационной системы в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется специалистами по защите информации. Для наступления рискового события необходимо одновременное наличие причины и фактора риска.
Информационные риски могут быть разделены на прямые и косвенные риски. Прямыми будем считать информационные риски, в результате которых объекты информационной системы приходят в неработоспособное состояние. Для восстановления их работоспособности предприятие вынуждено расходовать ресурсы. Примерами прямых рисков являются утрата работоспособности технических средств в результате отказов, аварий и стихийных бедствий, уничтожение или искажение программных средств, информационных баз данных и т. п.
Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду, будем называть косвенными информационными рисками. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия.
Таким образом, информационные риски воздействуют на ресурсы информационной системы, вызывая изменение внутренних и внешних условий функционирования предприятия. В результате этих изменений предприятие терпит убытки, ему наносится определенный ущерб. Внешние информационные риски могут напрямую воздействовать на внешнюю среду, в результате чего внешняя среда непосредственно воздействует на бизнес-процессы предприятия.
Информационные и банковские риски
Информационные риски приводят к ущербу предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам. При выделении информационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков.
Рассматривая сущность любого экономического риска необходимо отметить информационную природу риска. Как и любое рисковое событие, экономическое рисковое событие является случайным. Причем, экономические рисковые события являются субъективными случайными событиями. Отсюда следует вывод об информационной сущности любого экономического риска.
Целый ряд экономических рисков по своей сути являются информационными рисками. К ним относятся управленческий и основные банковские риски: инвестиционный, валютный, кредитный, риск ликвидности. Такие риски определяются в основном качеством информации, которой располагает менеджер на момент принятия решения. Так как современный процесс управления является процессом информационным, то управленческие риски являются по существу информационными рисками.
Для банковской сферы характерны две особенности:
- в банковских информационных системах возможны практически все виды информационных рисков;
- основные банковские риски имеют информационную сущность.
По мере развития информационных технологий осуществляется переход на безналичный оборот денежных средств, на автоматизированное обслуживание клиентов, на электронные деньги. Бизнес процесс в банках все более приближается к "чистому" информационному процессу сбора, хранения, обработки, передачи и выдачи информации.
Информационным процессам в банковских системах с позиций анализа информационных рисков присущи следующие основные особенности:
- наличие хорошо защищенного внутреннего контура информационной системы, обеспечивающего высокое качество информации и устойчивость системы;
- связь с открытыми системами;
- присутствие большого количества некорпоративных пользователей, действия которых проконтролировать достаточно сложно (пользователи банкоматов, платежи с использованием Интернет);
- слабым звеном таких систем является недостаточная защищенность от неправомочных действий сотрудников банка;
- особая привлекательность банковской сферы для киберпреступников.
Слабыми звеньями современных банковских информационных систем являются недостаточная защищенность от противоправных действий сотрудников банка (инсайдеров). По статистике до 90% всех инцидентов, имевших место в информационных банковских системах, связаны с участием работающих или уволенных сотрудников.
Причина этого кроется в недостатках систем разграничения доступа. Существующие современные технические, программные и криптографические средства позволяют ограничить возможности системных администраторов, операторов систем безопасности информации и тому подобных привилегированных пользователей по доступу к рабочей информации [1]. В комплексе с правовыми и организационными механизмами эти средства позволяют практически исключить несанкционированный доступ к банковской информации.
Серьезной проблемой для банков остаются мошеннические действия с пластиковыми картами. Сокращение ущерба от таких рисков может быть достигнуто за счет использования смарт-карт, совершенствования алгоритма защищенной удаленной банковской операции и усиления контроля за банкоматами.
Ущерб от нарушения доступности информации достаточно сложно учесть. Трудно подсчитать сколько клиентов отказались от проведения банковских операций или стали клиентами других банков получив отказ в обслуживании из-за "зависания" информационной системы. Для преодоления этого распространенного информационного риска банкам необходимо повышать устойчивость клиентской части своих информационных систем к сбоям и отказам аппаратных и программных средств, дублировать каналы связи, снижать время восстановления информационного процесса.
Заключение
Таким образом, на основании всестороннего анализа сущности информационного риска можно сделать главный вывод – информационный риск является экономической категорией, причем, любой экономический риск включает в себя информационную составляющую. Как и другими экономическими рисками, информационными рисками необходимо управлять на всех уровнях менеджмента.
Основные банковские риски являются, по сути, информационными рисками. Информационные риски банковской сферы имеют свои особенности, которые необходимо учитывать при управлении этими рисками.
Литература
- Завгородний В.И. Концепция создания ЭВМ защищенной структуры// Безопасность информационных технологий (МИФИ). −2006. − № 1.
СВЕДЕНИЯ ОБ АВТОРЕ
Завгородний Виктор Иванович
Доцент кафедры Информационные технологии, к.т.н., доцент
Финансовая академия при Правительстве Российской Федерации, г. Москва
Тел. 8 (495)-901-70-95
E-mail zvi@rambler.ru