Информация и экономическая безопасность предприятия Текст научной статьи по специальности «Экономика и бизнес»

№2 2006

В. И. Завгородний

Информация и экономическая безопасность предприятия

В настоящее время термин «информационный риск» нашел широкое применение. Однако пока не существует принятой большинством ученых и практиков трактовки понятия «информационный риск». Появление данного понятия в середине 90-х годов прошлого столетия объясняется необходимостью использования нового подхода к решению проблемы информационной безопасности бизнеса. Проблема, которой занимался узкий круг специалистов, стала настолько острой, что решаться она должна на всех уровнях управления.

Назрела необходимость осмысления данного понятия как важной экономической категории. Для этого необходимо, прежде всего, проанализировать такие ключевые понятия, как «информационная система» и «риск», определить место информационных рисков в общей системе экономических рисков. Такой подход позволяет подойти к пониманию парадигмы информационного риска.

Сущность понятия «риск»

Слово «риск» произошло от французского слова risque или итальянского risico. Оно означает возможность или вероятность наступления событий с отрицательными последствиями в результате определенных решений или действий1.

1 Примечание редакции: Удачное определение риска существует в России около 250 лет: «Возможность потерь в расчете на счастливый случай», где «потеря» — это ущерб, «возможность» — событие и его вероятность, «расчет на счастливый случай» — субъективная составляющая этого вероятностного процесса. (см. В. И. Даль. Толковый словарь живого великорусского языка. — М.:1955.)

При всем разнообразии подходов к определению рисков все исследователи сходятся в одном: рисковое событие — случайное событие.

В соответствии с сущностью процессов, явлений и объектов, порождающих случайности, различают объективную и субъективную случайности. Объективная случайность связана с природой материи, ее сущностью. В наиболее явной форме объективная случайность проявляется в микромире на уровне молекул, атомов, элементарных частиц. Субъективная случайность определяется неполнотой информации о причинах и сущности случайных событий.

На практике большинство рисковых событий относятся к классу субъективных случайных событий. Получение всей необходимой информации ограничивается отсутствием соответствующих инструментальных средств и методик, времени на сбор и обработку информации, а также отсутствием полных научных знаний о сущности процесса или явления, противодействием конкурентов и злоумышленников.

Таким образом, все риски являются случайными событиями, и случайность определяется их случайной природой и недостатком качественной информации об этих событиях. Информационная неопределенность является либо единственной основой случайности события для человека, либо она сопровождает и дополняет объективную случайность.

Из такого вывода следует информационная парадигма рисков любой природы: информационная неопределенность есть сущность всех рисков.

Информация и экономическая безопасность предприятия

№2 2006

Любой риск связан хотя бы с одним из четырех компонентов, которые являются источниками и причинами рисков. К ним следует отнести следующие компоненты:

• информация;

• человек;

• технические системы;

• природа.

Информационная составляющая риска наиболее весома в случаях использования прогнозной информации, дефицита времени на обработку информации и принятие решения в условиях активного информационного противодействия конкурентов или противника. В отличие от других составляющих риска информационная составляющая обязательно присутствует в каждом рисковом событии. Изменяется лишь ее относительная величина.

Наступлению рискового события могут способствовать сознательные или непреднамеренные действия человека. Даже имея качественную информацию, специалист может принять неправильное решение или выполнить недопустимое действие, которое повлечет за собой реализацию рискового события.

Значительная часть рисковых событий связана с техническими системами, технологическими процессами, полученными человеком веществами и другими объектами, являющимися продуктами человеческой деятельности. Техногенные аварии, сбои и отказы оборудования, экологические катастрофы далеко не исчерпывают полного перечня компонентов этого типа.

Природные явления, животный и растительный мир на сегодняшний день все еще недостаточно хорошо изучены человеком. Человек бессилен перед целым рядом стихийных бедствий. Значительная часть из них пока еще не поддается точному и своевременному прогнозированию.

Понятие информационного риска

Пока еще не сложилось общепринятого толкования категории «информационный риск». Отдельные специалисты в это понятие вкладывают следующий смысл: информационный риск — это возможное событие, в результате которого несанкционированно удаляется, искажается информация, нарушается ее конфиденциальность или доступность. То есть понятие информационного риска используется как синоним понятия «угроза безопасности информации».

Управление такими информационными рисками сводится к защите информации. Причем часть авторов такой трактовки информационного риска под защитой информации понимают защиту в основном от злоумышленных действий.

Некоторые специалисты еще в большей степени сужают понятие информационного риска. Они рассматривают информационный риск как угрозу безопасности информации только в компьютерных системах. Сторонниками таких подходов к пониманию категории «информационные риски» являются, как правило, специалисты в области защиты информации.

В некоторых работах рассматриваются только технические средства информационных технологий, исключая такой ключевой элемент информационных систем, как специалист.

Практически отсутствуют подходы к трактовке понятия «информационный риск», в которых в качестве возможных нежелательных событий рассматривались бы события, приводящие к снижению достоверности, полноты и актуальности информации на стадии ее получения и ввода в информационную систему.

В понятие «информационный риск» не включают также риски, связанные с возможным наличием ошибок в моделях, алгоритмах обработки информации, программах, которые используются для выработки управляющих решений.

№2 2006

Не всегда понятие «информационный риск» связывают с возможностью снижения качества информации ниже допустимого предела в результате сбоев и отказов программных и технических средств.

Все приведенные подходы к пониманию термина «информационный риск» объединяют два обстоятельства: отсутствие комплексного системного взгляда на проблему и ясности понимания конечных результатов воздействия информационных рисков на предприятие.

Другая группа специалистов рассматривает информационные риски как экономическую категорию. Они понимают информационные риски как возможность возникновения убытков, неполучение прибыли и другие негативные последствия для предприятия. Примером одного из таких подходов может служить следующее определение: «Информационные риски — это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, ^-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи» [2].

Недостатком подобных определений является нечеткое указание на объекты, с которыми связаны возможные события, приводящие к ущербу. В приведенном определении из рассмотрения исключены риски, связанные с традиционным документооборотом, с воздействием злоумышленников на информационные ресурсы методами шпионажа и диверсий.

Нам представляется, что определение понятия «информационный риск» должно показывать сущность информационного риска, связь его с информационной системой предприятия, последствия воздействия на информационную систему и предприятие в целом.

Под информационной системой предприятия будем понимать систему взаимосвязанных информационных объектов,

которые реализуют информационный процесс в целях эффективного функционирования предприятия. Сущность информационного процесса состоит в получении, обработке, хранении и передаче необходимой информации.

В качестве информационных объектов (ИО) рассматриваются специалисты, имеющие отношение к информационному процессу, вычислительные машины, системы, комплексы и сети, информационные ресурсы, коммуникационные системы, системы ввода, хранения, передачи и представления информации. К информационным ресурсам относятся идентифицируемые данные на машинных носителях, бумажные документы, базы данных, файлы и сообщения в электронных устройствах.

То есть к информационным объектам относятся все специалисты, технические устройства, другие материальные средства и информационные ресурсы предприятия, которые задействованы в информационном процессе.

Сущность информационного риска заключается в том, что это — случайное событие, приводящее к негативным последствиям в информационной системе. Воздействуя на информационную систему, в конечном итоге риски приводят к ущербу или убыткам предприятия, в чем и заключается экономический смысл понятия «информационный риск».

С учетом приведенных рассуждений определение информационного риска может быть представлено в следующем виде. Информационный риск — это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации ниже допустимого уровня, в результате которых наносится ущерб предприятию.

Качество информации определяется следующими показателями:

• достоверность;

• актуальность;

В. И. Завгородний

Информация и экономическая безопасность предприятия

№2 2006

• конфиденциальность;

• полнота;

• своевременность получения;

• форма представления;

• избыточность.

Понятие «информационная система» включает в себя все ресурсы предприятия, в том числе и сотрудников, которые используются для получения, хранения, обработки, передачи и применения информации. Поэтому понятие «информационный риск» включает в себя все возможные события, которые могут воздействовать на любые ресурсы информационной системы и вызывать ущерб или убытки предприятия.

Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам как проблему системную. Решение ее возможно с привлечением специалистов всех уровней управления при непосредственном участии первых лиц предприятия.

Понятие «информационный риск» можно трактовать и в более широком смысле. Приведенное выше определение информационного риска не затрагивает негативных явлений, которые непосредственно не связаны с информационной системой предприятия. К ним относятся нарушение авторских прав на использование и распространение продукции интеллектуального труда, распространение заведомо ложных сведений о предприятии (дезинформация), незаконное использование торговой или производственной марки. То есть к информационным рискам относятся также события, связанные с незаконным использованием информации или искажением информации, имеющей отношение к предприятию, но возникающие во внешней среде и оказывающие воздействие на внешнюю среду, непосредственно не воздействуя на информационную систему. В результате изменений внешней среды

бизнес-процессам предприятия наносится ущерб.

Тогда информационный риск — это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия (ИСП), а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию.

Информационный риск оказывает отрицательное воздействие на результаты функционирования предприятия по определенной схеме (рис. 1).

Информационный риск вызывается внутренними или внешними причинами. Если причины информационного риска порождаются внутри предприятия, то такой риск относится к внутренним. Внешним информационным риском считается риск, причины возникновения которого находятся за пределами предприятия.

Анализируя причинно-следственные связи информационных рисков, многие авторы не различают понятия «причина» и «фактор» риска. Если следовать определениям, приведенным в толковых словарях, то применительно к понятию риска можно сделать следующие заключения:

• причиной риска (рискового события) служит явление (или другое событие), обуславливающее или порождающее риск;

• фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

Рассматривая соотношение понятий «причина» и «фактор», необходимо отметить, что причина определяет внутренние источники активности процессов или объектов, порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков.

Факторы информационных рисков в меньшей степени связаны с конкретными

№2 2006

Внешний

Реакция ИСП во внешнюю

Реакция ИСП во внешнюю среду

Рис. 1. Схема воздействия информационных рисков на процесс функционирования предприятия

источниками риска, чем причины рисков. Они в основном отражают состояние ИСП в целом и особенно состояние подсистемы противодействия информационным рискам. Понятию «фактор риска» близко понятие «уязвимость системы», которое используется специалистами по защите информации. Для наступления рискового события необходимо одновременное наличие причины и фактора риска.

Информационный риск воздействует на один или несколько информационных объектов ИСП. Реакция ИО на воздействие риска может быть направлена во внешнюю среду или на внутренние объекты. Например, под воздействием некоторого события на ИО во внешнюю среду несанкционированно передается конфиденциальная информация. Внутренняя реакция ИО на воздействие риска может быть направлена на другие ИО или непосредственно на бизнес-процессы. Если негативное воздействие на ИО не будет заблокировано, то, распространяясь от ИО к ИО, оно отрицательно повлияет на бизнес-процессы.

Например, возникшая ошибка в расчетах, если она не будет своевременно обнаружена, попадет в устройство управления автоматизированной линии, что приведет к выпуску бракованной продукции.

Существуют три пути причинения ущерба предприятию в результате реализации информационного риска. Ущерб может быть следствием использования в бизнес-процессе управляющей информации, качество которой в результате воздействия информационного риска снизилось до неприемлемого уровня. Например, применение недостоверной информации, нарушение доступности информации в течение времени, превышающего предельно допустимое, приведут к ущербу предприятия.

Предприятия несут убытки за счет прямого воздействия информационных рисков на объекты информационной системы, в результате которого объекты приходят в неработоспособное состояние. Такие риски будем называть прямыми информационными рисками. Для восстановления их работоспособности предприятие вынуждено

В. И. Завгородний

Информация и экономическая безопасность предприятия

№2 2006

расходовать ресурсы. Примерами таких рисков являются уничтожение технических средств в результате аварий и стихийных бедствий, утраты программных средств, информационных баз данных и т. п.

Третьим путем причинения ущерба предприятию в результате реализации информационных рисков является изменение внешней среды, которое сказывается на эффективности функционирования предприятия. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия. Большой ущерб предприятию наносится при попадании во внешнюю среду сведений об имевших место информационных рисках, касающихся предприятия. В некоторых случаях деловой репутации предприятия наносится такой ущерб, который может привести к банкротству предприятия.

Информационные риски, которые наносят предприятию ущерб, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду, будем называть косвенными информационными рисками.

Таким образом, информационные риски воздействуют на информационные объекты ИСП, вызывая изменение внутренних и внешних условий функционирования предприятия. В результате этих изменений предприятие терпит убытки, ему наносится определенный ущерб. Внешние информационные риски могут непосредственно воздействовать на внешнюю среду, в результате чего внешняя среда непосредственно воздействует на бизнес-процессы предприятия.

Место информационных рисков в таксономии экономических рисков

Информационные риски приводят к ущербу предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам. При выделении ин-

формационных рисков в отдельный вид экономических рисков важно определить соотношение и взаимосвязи информационных и других экономических рисков. Для этой цели удобно воспользоваться классификацией экономических рисков.

Для определения места информационных рисков в классификации экономических рисков необходимо, прежде всего, иметь такую классификацию. Известно достаточно большое количество классификаций экономических рисков. В работе [1] дан обстоятельный анализ существующих классификаций экономических рисков. Главный вывод, вытекающий из проведенного анализа: не существует единой общепризнанной универсальной классификации, имеющей научное обоснование. Это объясняется, прежде всего, большим количеством видов рисков и возможных признаков их классификации.

Единой классификации экономических рисков и не может быть в силу многообразия целей классификации, объектов классификации и масштабов их рассмотрения. Тем не менее информационные риски, как часть экономических рисков, должны присутствовать в классификациях экономических рисков.

Проведенный анализ возможной таксономии экономических рисков с использованием информационных рисков позволяет сделать следующие выводы.

1. Место информационных рисков зависит от вида классификации, который, в свою очередь, определяется целями построения классификации, масштабами рассмотрения объектов и событий. Классификация экономических рисков, включая и информационные, строится для каждого предприятия или, по крайней мере, для предприятий одной отрасли.

2. Информационные риски могут объединяться в отдельные категории, виды, подвиды и так далее. Например, среди внешних рисков оправдано выделение в отдельную категорию информационных рисков.

№2 2006

3. В соответствии с логической схемой классификации и с целью исключения многократного применения названия «информационные риски» на разных уровнях классификации целесообразно включать конкретные информационные риски в состав соответствующих групп экономических рисков.

4. Отдельные информационные риски могут быть отнесены одновременно к нескольким видам (группам) экономических рисков. Так, неисправность компьютерной системы, требующая замены оборудования, может быть отнесена как к производственным, так и к имущественным рискам.

5. Во всех экономических рисках в качестве составляющей присутствует информационный риск. Это проявляется, по крайней мере, на этапе принятия решения, так как процесс управления носит информационный характер.

6. Часть экономических рисков, по существу, является полностью информационными рисками. К ним относятся, например, управленческий и инвестиционный риски.

7. В значительной степени информационными являются такие риски, как банковский, валютный, процентный, производственный риск предприятий, оказывающих информационные услуги, и другие риски, в которых основное место занимает риск принятия управленческого решения или производственные процессы являются информационными процессами.

Управление информационными рисками

Информационными рисками необходимо управлять. Под управлением информационными рисками понимается система согласованных мер, мероприятий и процедур, осуществляемых персоналом предприятия с целью минимизации расходов на противодействие информационным рискам и устранение их последствий.

Управление информационными рисками предполагает решение следующих задач: идентификация рисков; анализ

рисков; выработка политики управления информационными рисками; создание системы управления информационными рисками; оптимизация расходов на управление информационными рисками; устранение причин и факторов значимых рисков; создание механизмов снижения ущерба от возможных рисков; оценка ущерба; ликвидация последствий рисковых событий; постоянный мониторинг и периодический аудит системы управления рисками; анализ эффективности системы управления информационными рисками; совершенствование системы управления информационными рисками.

Решение основных задач управления такими рисками осуществляется в рамках системы управления информационными рисками под руководством первых лиц предприятия.

Таким образом, на основании анализа сущности экономических и информационных рисков можно сделать главный вывод: любой экономический риск включает в себя информационную составляющую. Соотношение информационной составляющей в экономическом риске определяется значением информации для определенных видов экономической деятельности предприятий и особенностями бизнес-процессов.

Управление информационными рисками выходит на одно из первых мест среди проблем обеспечения экономической безопасности предприятия. Придание информационному риску экономического смысла позволяет применять экономические методы управления этим риском. Эти обстоятельства требуют привлечения к управлению информационными рисками специалистов и менеджеров всех уровней, в то числе и менеджеров высшего звена.

Литература

1. Производственный менеджмент/Под ред. С. Д. Ильенковой. М.: ЮНИТИ, 2000.

2. Мишель М. Управление информационными рисками//Финансовый директор. 2003. № 9. С. 64-68.

В. И. Завгородний