CC BY
47
УДК 004.89
И. В. Иванова
аспирант, кафедра менеджмента и информационных технологий в экономике,
филиал ФГБОУ ВПО «Национальный исследовательский университет «МЭИ»
в г. Смоленске
МОДЕЛЬ ФОРМИРОВАНИЯ ИНФОРМАЦИОННОГО РИСКА НА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЯХ
Аннотация. В работе рассмотрена актуальность вопросов управления информационными рисками на промышленных предприятиях. Выделены три вида источников риска в зависимости от степени их неопределенности, что позволило обосновать использование различных экономико-математических методов для оценки рисков. Также проведена классификация информационных рисков с точки зрения их последствий, выделены субъекты, действия которых могут приводить к возникновению информационных рисков. В статье рассмотрен процесс зарождения и развития информационных рисков на предприятиях, на основании анализа которого предложены способы оценки риска и методы его снижения.
Ключевые слова: промышленное предприятие, информационный риск, оценка риска, виды неопределенности, нечеткая логика, байесовские сети.
I.V. Ivanova, Smolensk branch of the National Research Institute "MEI"
INFORMATION RISK MODEL AT THE INDUSTRIAL ENTERPRISES
Abstract. The paper considers the relevance of information risk management in industry. It is identified three types of risk sources, depending on the degree of uncertainty, thus justify the use of a variety of economic and mathematical methods for risk assessment. Also, it is proposed the classification of information risk in terms of their implications are highlighted entities whose actions may lead to the emergence of information risks. The article describes the process of the beginning and development of information risks in enterprises, based on an analysis it is provided methods for risk assessment and methods to reduce it.
Keywords: industrial enterprise information risk, risk assessment, types of uncertainty, fuzzy logic, Bayesian networks.
На сегодняшний день информационные технологии находят все более широкое применение во всех сферах деятельности предприятий, являясь одним из главных компонентов значительного увеличения эффективности современной экономики. Актуальность управления информационными рисками (ИР) связана со всевозрастающей величиной среднегодовых потерь от наступления различных неблагоприятных ситуаций в информационном процессе предприятия. Так, по данным Ponemon Institute, средняя мировая величина ущерба, вызванного только нарушением конфиденциальности информации, составляет свыше $3 млн. В то же время ввиду отсутствия классификации информационных рисков на предприятиях и статистики потерь по каждому из них оценить общий уровень ущерба достаточно сложно.
В настоящее время существует достаточно большое количество различных трактовок понятия «информационный риск». По мнению автора, наиболее корректным является использование следующего определения. Под информационным риском будем понимать произведение возможности наступления случайного неблагоприятного события во внешней или внутренней информационной среде предприятия, приводящего к снижению качества корпоративной информации, на величину ущерба, вызван-
ного использованием информации низкого качества. Другими словами, информационные риски связаны с поиском, сбором, передачей, хранением, обработкой и защитой информации, не зависимо от типа носителя, на котором она хранится.
Рисунок - Модель формирования информационного риска на предприятии
Совокупность информационных процессов любого предприятия (поиск, сбор, обработка, хранение, передача и защита) преобразуют входные информационные ресурсы в данные предприятия. При этом внешняя и внутренняя информационные среды являются источниками возникновения различных факторов риска (неопределенных ситуаций). На основании анализа всевозможных возникающих рисковых событий на предприятиях были выделены следующие виды неопределенных ситуаций:
1. Ситуации с известным распределением вероятностей состояния переменных.
Они возникают при наличии большого объема статистического материала, что позволяет определять распределение вероятностей состояний фактора риска (например, вероятность сбоев в работе оборудования).
2. Ситуации с неизвестным распределением вероятностей состояний переменных. Они характеризуется полным незнанием органа управления о поведении фактора риска (например, низкая квалификация персонала).
3. Ситуации с нечеткими возможностями наступления состояний переменных. Данные ситуации характеризуются наличием небольшого объема статистической информации.
На рисунке представлена модель формирования информационного риска на предприятиях.
Представленные типы неопределенных ситуаций снижают качество информационных процессов, что, в свою очередь, приводит к падению характеристик информации предприятия. К основным показателям качества информации, влияющим на эффективность принятия управленческих решений, относятся: полнота, достоверность, актуальность, конфиденциальность. Падение качества информации приводит к возникновению информационных рисков.
На основании всего вышеизложенного были выделены следующие виды информационных рисков:
1. Риск конфиденциальности информации, который предполагает разглашение ценной секретной информации.
2. Риск утраты информации, который предполагает безвозвратную потерю доступа к данным.
3. Риск недостоверности информации, связанный с использованием некорректных данных.
4. Риск неполноты информации, связанный с отсутствием необходимых данных.
5. Риск несвоевременного поступления информации, когда она становится неактуальной для принятия решений.
6. Риск инвестиций в сферу информатизации, определяемый ухудшением бизнес-показателей в результате неправильно выбранной ИТ-стратегии или некачественного внедрения программных решений.
Эффективная оценка информационных рисков должна быть основана на выявлении и анализе причинно-следственных связей, поскольку это позволяет построить несколько вариантов сценариев развития рисков и повысить оперативность принятия решений, анализируя наиболее вероятные сценарии. На основе вышеизложенного, для оценки риска предлагается использование байесовских сетей, которые служат для описания условных зависимостей между понятиями некой предметной области [1]. В то же время, байесовские сети в чистом виде не могут быть использованы для решения задачи оценки информационного риска, обусловленного неопределенными ситуациями трех видов, выделенных выше. В связи с этим возникает целесообразность применения комбинированного подхода на основе байесовских и нечетких байесовских сетей, что позволит повысить эффективность принятия управленческих решений в условиях неопределенности различного типа [2, 3].
Таким образом, можно сделать вывод, что информационный риск на предпри-
ятии является обособленным объектом управления, особенность которого заключается в принятии решений в условиях различных видов неопределенностей. Выявление классов рисковых ситуаций в зависимости от степени неопределенности поступающей информации, а также видов информационных рисков служит теоретической базой и обоснованием построения математической модели управления информационными рисками на предприятии на основе байесовских сетей. Использование данной модели позволит повысить оперативность принятия управленческих решений, снизить потери (ущерб) от возникновения рисковых ситуаций, а также повысить эффективность всех бизнес-процессов на предприятии за счет организации их надежного информационного обеспечения.
Список литературы:
1. Белозерский А.Ю., Борисов В.В. Мониторинг рисков инвестиционных решений на основе нечетких байесовых сетей // Нейрокомпьютеры: разработка и применение. 2009. № 6. С. 23-29
2. Ren J., Wang J., Jenkinson I., Xu D. L., Yang J. B. An offshore risk analysis method based on fuzzy Bayesian networks//EPSRC report. 2005. Р. 251-257.
3. Гимаров В.А., Дли М.И., Круглов В.В. Задачи распознавания нестационарных образов // Известия Российской академии наук. Теория и системы управления. 2004. №3. С.13
List of references:
1. Belozersky A.Yu., Borisov V.V. Monitoring of investment decision risk based on the fuzzy Bayesian networks // Neurocomputers: Development and Application. 2009. № 6. P. 23-29.
2. Ren J., Wang J., Jenkinson I., Xu D. L., Yang J. B. An offshore risk analysis method based on fuzzy Bayesian networks//EPSRC report. 2005. Р. 251-257.
3. Gimarov V.A., Dli M.I., Kruglov V.V. The Problem of Recognizing Nonstandard Patterns // Journal of Computer and Systems Sciences International. 2004. №3. P.13
