Факультет комп’ютерних наук Східноукраїнського національного університету імені Володимира Даля (м

Гончарук О. В., Сищик С. В.

Черкаський державний технологічний університет

Система управління ризиками інформаційних технологій в автоматизованій інформаційній системі

Інформаційні системи розвиваються досить стрімко, перетворюючись на розподілені системи з безліччю об’єктів та суб’єктів з різноманітними інформаційними потоками. Наслідком ускладнення інформаційних систем є зростання множини ризиків, що впливають на інформаційну безпеку автоматизованої інформаційної системи [1]. Під ризиком звичайно розуміється ймовірність того, що якісь цілі при реалізації проекту автоматизації діяльності підприємства не будуть досягнуті. Оскільки кількість подій і умов, які впливають на результат проекту надзвичайно велика, вся їх сукупність, як правило, на практиці не розглядається. Замість цього зі всієї множини звичайно виділяється достатньо обмежений перелік характеристик ухваленого рішення. Ці ознаки можуть стосуватися як технічних рішень, так і організації робіт, пов’язаних з реалізацією рішення, які називаються чинниками ризику.

Мета роботи полягає у дослідженні процесів управління ризиками інформаційних технологій в автоматизованій інформаційній системі, аналізі типів та груп ризиків інформаційної системи та виявлення основних чинників ризику, які необхідно враховувати на різних етапах процесу створення інформаційних систем, що призведе до мінімізації ризиків інформаційної безпеки.

Інформаційна технологія (ІТ) – це сукупність методів, виробничих процесів та програмно-технічних засобів, об'єднаних у технологічний ланцюжок, що забезпечує виконання інформаційних процесів з метою підвищення їхньої надійності та оперативності і зниження трудомісткості ходу використання інформаційного ресурсу.

Автоматизована інформаційна система (АІС) – це взаємозв’язана сукупність даних, обладнання, програмних засобів, персоналу, стандартних процедур, які призначені для збору, обробки, розподілу, зберігання, представлення інформації у відповідності з вимогами, які випливають з цілей організації. Ця сукупність є з'єднувальною ланкою між об'єктами і суб'єктами управління і виконує безліч важливих функцій: сприйняття вихідних даних і запитів, які вводяться користувачами; обробка даних, які введені і зберігаються в системі відповідно до певних алгоритмів; формування необхідної вихідної інформації.

Побудова ефективної системи управління ризиками IT-безпеки - це не разовий проект, а комплексний процес, спрямований на мінімізацію зовнішніх і внутрішніх загроз із врахуванням обмежень на ресурси і час. Для побудови ефективної системи IT-безпеки необхідно спочатку узагальнено описати процеси діяльності і виділити ризики. Потім слід визначити ступінь ризику. Перевищення подібного ступеня означає, що даним ризиком необхідно управляти. Потрібно побудувати таку систему IT-безпеки, яка забезпечить мінімізацію ризиків з високим рівнем небезпеки. Причому ризики, які мають рівень нижче критичного, можна взагалі виключити з аналізу. Аналізу чинників ризику передує планування заходів для зниження впливу чинників ризику, а також ухвалення рішень на різних етапах процесу створення АІС. В сфері оцінки ризиків інформаційної безпеки існує декілька відомих методів: OCTAVE, CRAMM5, PRA, але і вони мають свої недоліки [2]. У роботах, присвячених автоматизації діяльності підприємства, використовуються різні структури чинників ризику, які необхідно враховувати при аналізі і ухваленні рішень. Ризики можна поділити на дві групи: бізнес-ризики і ризики, пов’язані з життєвим циклом системи [3].

Група ризиків, які пов’язані з життєвим циклом системи, може бути поділена на дві підгрупи: технічні ризики, що пов'язані з реалізацією технічних рішень, або ризики робіт під час впровадження технологій. Наприклад: інсталяція програмного забезпечення на будь-яку платформу; ризики, що пов'язані з управлінням процесами створення та підтримки системи, досягнення потрібної якості у визначені терміни за заданих бюджетних обмежень.

Підгрупа технічних ризиків містить велику кількість факторів, а саме: кількість зовнішніх систем, з якими нова система повинна взаємодіяти; наявність нестандартного обладнання; ступінь новизни обладнання для підприємства-замовника; ступінь новизни обладнання для виробника; характер застосувань - мережеві, локальні тощо; рівень знань учасників проекту, виконавців і користувачів щодо обладнання та програмного забезпечення; якість технічної підтримки постачальників компонентів рішення; рівень знань користувачів у сфері інформаційних технологій, які планується застосувати, а також рівень їхніх знань у прикладній галузі; ступінь новизни технічних рішень для системного інтегратора і постачальників окремих компонентів; залежність змін структури бізнес-процесів, організаційної структури підприємства-замовника та умов роботи користувачів від глибини впровадження системи [4].

До підгрупи ризиків, що пов'язана з управлінням процесом розробки системи, входять такі фактори: розмір системи, кількість і географія розміщення користувачів; величина трудовитрат і календарних термінів розробки системи; кількість недостатньо пов'язаних між собою проектів, які доведеться виконати під час створення системи; кількість вендорів, залучених до постачання обладнання і програмного забезпечення; кількість інших проектів, реалізація яких визначає успіх проекту автоматизації, наприклад, буде повністю або частково залежним; ставлення користувачів і, зокрема, вищого управлінського персоналу підприємства до проекту створення системи; наявність системної команди з користувачів і виконавців.

Вибіркова і безсистемна реалізація заходів, спрямованих на підвищення рівня IT-безпеки, не зможе забезпечити необхідного рівня захисту. Щоб сформувати розуміння пріоритетності заходів щодо підвищення рівня безпеки, необхідно розробити механізм управління ризиками IT-безпеки, що дозволить спрямувати всі зусилля на захист від найбільш небезпечних загроз і мінімізацію витрат [5]. Керівництво компанії завжди повинно оцінювати витрати на заходи з мінімізації критичних ризиків, а також чітко уявляти, скільки грошей компанія може втратити внаслідок реалізації загроз, які місця в системі найбільш вразливі, які заходи можна вжити для підвищення рівня безпеки. Таким чином, потрібна повноцінна система управління ризиками. На рисунку 1 представлена модель процесів управління ризиками, де прямокутниками показані процеси, а стрілками - їх взаємозв'язки.

Існує два методи до визначення ризиків [6]. Перший заснований на описі процесів і їх аналізі на предмет знаходження ризиків ІТ- безпеки. Зазвичай його застосування вимагає великих витрат як на опис, так і на аналіз бізнес-процесів, але незаперечною перевагою даного методу є гарантована повнота визначення переліку ризиків.

Другий метод до визначення ризиків базується на експертних знаннях, інформації по інцидентах ІТ-безпеки та завданих компанії збитків від інцидентів. Цей метод має меншу трудомісткість, але не гарантує повноти переліку ризиків і вимагає великого експертного досвіду при виділенні ризиків без аналізу опису процесів.

Рис. 1 – Модель процесів управління ризиками інформаційної безпеки

На перших етапах розгортання процесу управління ризиками ІТ-безпеки можливе використання другого методу, як менш трудомісткого, однак на наступних етапах аналізу ризиків слід перейти до повноцінного визначення ризиків за допомогою опису та аналізу бізнес -процесів. Об’єднавши ці два методи в єдиний процес, ми отримаємо повний перелік усіх потенційних ризиків з їх кількісними та якісними оцінками збитків та можливості реалізації. Також необхідно визначити перелік особливо небезпечних ризиків, які негайно потрібно мінімізувати, що призведе до підвищення рівня безпеки організації.

Таким чином, на різних етапах процесу створення інформаційних систем необхідно провести аналіз типів та груп ризиків інформаційної системи та виявити основні чинники ризиків, а також вибрати найбільш оптимальний для компанії метод управління ризиками, що дозволить мінімізувати ризики інформаційних технологій в автоматизованій інформаційній системі.

Література:

1. Родін Є.С. Процесні підходи до моделювання у сфері управління ризиками інформаційної безпеки / Є. С. Родін // Математичні машини і системи. – 2012. – № 4. – С. 142-148.

2. Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации / Е. А. Козлова // Молодой ученый. — 2013. — №5. — С. 154-161.

3.Страхарчук, А.Я. Інформаційні системи і технології в банках: навч. посібник / А.Я. Страхарчук, В.П. Страхарчук. – К. : УБС НБУ : Знання, 2010. – 515.

4. Информационная безопасность [Електронний ресурс]. – Режим доступу: http://inf-bez.ru.

5. Управление бизнес-процессами и развитием информационных технологий [Електронний ресурс]. – Режим доступу: http://businessprocess.narod.ru

6. Управление информационными рисками [Електронний ресурс]. – Режим доступу: http://www.dissers.ru/avtoreferati-dissertatsii-ekonomika/a565.php