Управление ИТ-рисками при эксплуатации информационных систем

В настоящее время все большее распространение получают исследования, ориентированные на управление рисками. В нашей работе мы провели анализ существующих инструментов управления рисками и выявили, что основным подходом к решению данных задач являются методы стратегического уровня, а не уровня операционного менеджмента. Многие компании систематически применяют управление рисками, пытаясь обезопасить свой бизнес путем прогноза факторов риска в финансовых и инвестиционных проектах. Но с учетом растущей интеграции информационных технологий во все аспекты деятельности предприятий недостаточное внимание бизнес-руководителей, с нашей точки зрения, уделено проведению анализа рисков информационных технологий. Данная область требует особого рассмотрения, т.к. нуждается в применении иных методов и средств управления рисками, в отличие от традиционных стратегических подходов. Таким образом, при выработке стратегии управления рисками для организации, важно получать полную информацию об информационных системах.

Целью данной работы является повышение доступности и качества методов управления рисками для операционных менеджеров в части эксплуатации информационных систем. Для достижения поставленной цели в работе решаются следующие задачи:

1. исследование задачи управления рисками информационных технологий (далее - ИТ);

2. разработка модели управления ИТ-рисками;

3. разработка автоматизированной системы управления ИТ-рисками.

При решении поставленных задач используются системный подход и прием функционального моделирования.

Объектом работы стал процесс управления ИТ-рисками. В нашем исследовании по понятием риска понимается вероятность возникновения ситуации, которая может привести к финансовому ущербу, упущенной выгоде или невозможности достичь поставленной цели [4]. В ходе нашего исследования мы делим ИТ-риски на три категории. Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов. Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества. Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков.

С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов, которые можно представить в виде [2]:

где

DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).

CT – Выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.

СС - Формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.

СО - Формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.

A - Выдача управляющих воздействий на объект управления.

Принцип действия системы управления рисками мы представили на рисунке 1.

Рис. 1 - Схема процесса управления ИТ-рисками

Анализ представленной модели функционирования управления рисками на рисунке № 1 приводит к выводу, что для повышения эффективности процесса формирования управлений, следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.

Исходным объектом управления являются ИТ-риски, которые описывается в виде [1]:

где

It – множество ИТ-ресурсов,

B – множество бизнес-процессов,

I – множество инцидентов,

V – множество уязвимостей,

R – множество рисков,

P – убытки/прибыль.

It описывает множество ИТ-ресурсов организации:

описывает прибыль или убытки от ИТ-рисков.

Фазовый вектор объекта .

описывает бизнес-процессы, опирающиеся на ИТ-ресурсы.

описывает инциденты, происходящие с ИТ-ресурсами.

описывает уязвимости, которые есть в ИТ-ресурсах.

описывает риски, выявленные в ходе анализа статистики

– управляющий фактор, им является мероприятия по снижению рисков.

Целью управления является выполнение следующего действия:

где - общие прибыль/убытки, m – количество ИТ-ресурсов, - уровень значимости каждого ресурса.

При этом показывает экономическую обоснованность и целесообраз­ность мер защиты от ИТ-рисков. После оценки возможного ущерба и вероятности наступления того или иного риска необходимо выбрать наиболее серьезные риски и работать с ними. Затраты на предотвращение риска не должны превышать возмож­ный ущерб от него.

На основе данной модели была спроектирована база данных в Microsoft Access 2007. Далее проводилась разработка автоматизированной системы управления ИТ-рисками (АСУ ИТ-рисками).

АСУ ИТ-рисками представляет собой систему, состоящую из следующих элементов [3]:

• Подсистема описания бизнес-процессов;

• Подсистема сбора статистики;

• Интегрирующая подсистема управления рисками;

• База данных конфигурационных единиц;

• Подсистема проверки уязвимостей;

• АРМ операционного менеджера;

• Подсистема аналитики и отчетности.

Функциональный состав данных подсистем представлен в таблице №1.

Таблица № 1. Функциональный состав АСУ ИТ-рисками

В результате нашей работы была спроектирована модель управления ИТ-рисками, которая отражает трехстороннюю подверженность организаций рискам, связанным с эксплуатацией информационных систем: действия персонала, сбои систем, нелицензионность. Также разработана автоматизированная система управления ИТ-рисками в соответствии с выделенными нами категориями рисков.

Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.

В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.

Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.

Таким образом, разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы.

Литература:

1. Воронин А.А., Губко М.В., Мишин С.П., Новиков Д.А. Математические модели организаций: Уч. пособие. - М.: ЛЕНАНД, 2008. - 360 с.

2. Глушков В.М. Введение в АСУ. - М.: Техника, 1972. – 312 c.

3. Легизо Д. Управление ИТ-рисками – дело благородное. [Электронный ресурс]. – Электрон. дан. – Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565.

4. Уткин Э.А., Фролов Д.А. Управление рисками предприятия: учебно-практическое пособие. – М.: ТЕИС, 2003. - 247 с.