Оценка расходов на управление информационными рисками прикладных систем Текст научной статьи по специальности «Экономика и бизнес»

В. И. Завгородний, докт. экон. наук, доцент, Финансовый университет при Правительстве Российской Федерации, г. Москва, zvi@rambler.ru

Оценка расходов на управление информационными рисками прикладных систем

Изложен новый подход к определению сущности прикладных систем, обоснована актуальность анализа их эффективности, определены цели и задачи управления информационными рисками прикладных систем . Информационные риски связываются не только с безопасностью информации, но и с ее качеством . Рассматриваются стратегии управления информационными рисками . Сформированы модели определения расходов на управление информационными рисками прикладных систем . Расходы рассматриваются как сумма затрат на управление информационными рисками и ожидаемого суммарного ущерба предприятия в результате негативных событий .

Ключевые слова: прикладная система, информационные риски, управление информационными рисками, ущерб предприятия, расходы на управление информационными рисками, стратегии и принципы управления информационными рисками

Введение

При рассмотрении вопросов информационной безопасности, а затем и проблем управления информационными рисками во главу угла ставится комплексный подход к организации безопасности информационных ресурсов. Соответственно и оценка безопасности информационных систем предполагает учет всех значимых угроз, анализ уязвимостей всех компонент системы во всех режимах работы и на всех жизненных циклах информационных систем [1; 2; 6].

С возникновением ИТ-аутсорсинга и особенно с появлением облачных технологий появилась большая потребность в оценке эффективности и безопасности отдельных информационных сервисов, которые могут быть реализованы по различным схемам. Руководство учреждения или предприятия теперь имеет возможность обоснованного выбора реализации прикладных процессов по облачной технологии или на базе собственных ресурсов, не использующих об-

лачные технологии. Если учесть, что существует несколько вариантов облачных решений и возможны различные комбинации частичной передачи в облака прикладных процессов, то задача выбора оптимального решения достаточно сложна.

В этих условиях становится актуальной проблема оценки расходов на управление информационными рисками, связанных с выбором конкретной схемы реализации отдельных прикладных процессов предприятия. Особую значимость данная проблема имеет для предприятий с развитой собственной инфраструктурой. Переход к облачным технологиям в этом случае целесообразно проводить поэтапно по мере выработки ресурсов собственной информационной системы, а также появления новых прикладных задач или безальтернативных облачных технологий.

Таким образом, наряду с интегральной оценкой эффективности и безопасности информационной системы необходимо оценивать отдельные прикладные процессы как для выявления узких мест в систе-

vi3

Vol. 10. No. 5 (59). 2015

ме, так и для выбора оптимальных методов и средств реализации этих процессов.

Понятие прикладной системы

Для оценки эффективности и защищенности отдельных прикладных процессов предприятия предлагается использовать понятие «прикладная система» [3].

В настоящее время понятие «прикладная система» трактуется по-разному. Часто под прикладной системой понимается прикладная программа (или комплекс прикладных программ), предназначенная для обеспечения решения функциональных задач пользователей. Если на предприятии предполагается использование прикладной программы, то покупатель знакомится с ее характеристиками, полученными разработчиком программы, независимым экспертом или поставщиком. При этом основные характеристики прикладной программы определяются в условиях конкретной информационной системы, на которой проводились испытания этой программы.

Не умаляя важности такой информации для конечного пользователя прикладной программной продукции, следует заметить, что в реальной информационной системе, для которой приобретается (разрабатывается) программный комплекс, условия функционирования, как правило, отличаются от условий испытаний. К этому следует добавить возросшее число вариантов использования прикладных программных комплексов. Программа может выполняться как с применением виртуальных режимов, так и в режимах без использования виртуализации. Появилась возможность выбора реализации прикладной программы на базе только инфраструктуры предприятия или с использованием облачных информационных технологий. Возможны сочетания различных форм реализации прикладных систем в рамках одной информационной системы.

Кроме того, существует множество сочетаний общего программного, информационного и аппаратного обеспечения, а также

режимов их использования, которые сложно учесть при анализе эффективности конкретных прикладных программных комплексов вне реальной информационной системы, для которой предназначается исследуемый программный комплекс.

Эффективность и безопасность использования прикладного комплекса зависит также от профессиональных качеств пользователя и специалистов отделов информатизации. Поскольку подавляющее большинство информационных систем являются автоматизированными, то роль человеческого фактора в обеспечении эффективности и безопасности системы — одна из определяющих.

Отсюда следует вывод о необходимости анализа прикладных программных комплексов в тесной связи с той частью информационной системы, которая обеспечивает выполнение данного прикладного комплекса. Для этого предлагается использовать понятие «прикладная система», под которым следует понимать взаимозависимый комплекс компонент информационной системы, обеспечивающий решение определенной прикладной задачи в условиях конкретного предприятия.

Прикладную систему образуют следующие компоненты информационной системы: пользователи; специалисты; прикладная программа (комплекс прикладных программ); интерфейс «пользователь — информационная система»; разделяемые аппаратно-программные средства информационной системы, задействованные при реализации прикладной программы или комплекса прикладных программ.

К категории «пользователи» относятся все внутренние и внешние пользователи прикладной программы (комплекса прикладных программ). Внутренними пользователями считаются сотрудники предприятия, в интересах которых функционирует прикладная система. Соответственно внешними пользователями являются субъекты, не являющиеся сотрудниками предприятия, но имеющие разрешение на работу с про-

Том 10. № 5 (59). 2015

граммным приложением. В некоторых системах внешние пользователи могут отсутствовать.

Специалисты прикладных систем обеспечивают работу всех остальных компонент прикладной системы, в том числе и безопасность информации.

Прикладная программа (или комплекс прикладных программ) предназначена для решения прикладной задачи в интересах выполнения сотрудниками предприятия своих профессиональных задач, а также для обслуживания клиентов, взаимодействия с сотрудниками других компаний и государственных органов.

Интерфейс «пользователь — информационная система» включает все аппаратно-программные средства, имеющиеся непосредственно в распоряжении пользователя для взаимодействия с прикладными процессами. Состав этих средств может существенно отличаться. Минимальная комплектация должна обеспечивать ввод и отображение информации, а также передачу информации. Интерфейс может быть представлен как полнофункциональным высокопроизводительным ПК, так и простым смартфоном.

Разделяемые аппаратно-программные средства информационной системы представляют собой часть информационной системы предприятия, которая непосредственно задействуется для реализации прикладной программы. В общем случае для выполнения прикладной программы каждый раз могут выделяться различные аппаратные средства хранения и обработки информации.

Выделение прикладных систем в информационных системах предприятий позволяет руководству организовать мониторинг и аудит эффективности и безопасности информационной поддержки определенных бизнес-процессов предприятия. Полученные результаты могут использоваться для проведения анализа эффективности прикладных систем с целью выявления узких мест в информационной системе, оценки перспектив развития бизнес-процессов,

сравнения возможных организационно-технологических вариантов информационной поддержки бизнес-процессов.

Информационные риски прикладных систем

Понятие «информационный риск» в настоящее время широко используется в научных и практических работах в области безопасности информации и риск-менеджмента. Появление термина «информационный риск» в средине 90-х годов XX столетия означало признание значимости проблемы противодействия негативным явлениям в информационной сфере предприятия. При этом информационные риски связывались только с проблемой обеспечения безопасности информации.

Такой подход к пониманию сущности информационного риска остается доминирующим до сегодняшнего дня. Информационный риск рассматривается как угроза безопасности информации. Изменения касаются только понимания результатов реализации таких угроз. Теперь учитываются экономические последствия информационных рисков в виде ущерба предприятию [4].

Переход к управлению информационными рисками позволил использовать экономические методы управления безопасностью информации и перенести уровень ответственности за обеспечение информационной безопасности с уровня специалистов отделов ИТ и безопасности информации на уровень первых лиц предприятия, а также привлекать к управлению информационными рисками менеджеров основных бизнес-процессов от низовых звеньев до топ-менеджеров.

Однако, сделав первый важный шаг по переходу от управления безопасностью информации к управлению информационными рисками на уровне предприятия, второй шаг можно только прогнозировать.

Управление информационными рисками остается в рамках обеспечения информационной безопасности. По-прежнему рас-

Vi5

сматриваются лишь три негативных исхода для информационных ресурсов — нарушение конфиденциальности, доступности и целостности. Не принимается в расчет возможность снижения качества информации в результате наступления негативных событий, не связанных с нарушением безопасности информации.

Качество информации с позиций ее потребителя может определяться следующими характеристиками: достоверность, актуальность, полнота, избыточность, своевременность получения, форма представления, готовность к применению. Этот список может несколько изменяться или расширяться в зависимости от особенностей информации и особых требований к качеству информации.

Алгоритмические и программные ошибки, сбои и отказы технических средств, ошибки субъектов информационных процессов, использование недостоверных и неполных данных, другие причины могут не отражаться на безопасности информации, но приводить к снижению качества информации. В результате применения в бизнес-процессах информации низкого качества предприятию наносится экономический ущерб.

Качество информации обеспечивается в основном в рамках прикладной системы, которая реализует полный цикл прикладных процессов в информационной системе. Значительная часть задач обеспечения безопасности информации также решается в пределах прикладной системы.

Важно подчеркнуть, что управление информационными рисками охватывает не только компьютерные информационные технологии, но и неавтоматизированные процессы ввода, хранения, обработки, передачи, получения и использования информации. Удельный вес неавтоматизированной работы в информационных процессах постоянно сокращается, но значимость ее пока остается существенной.

Объединение задач обеспечения качества и безопасности информации в рамках

единого направления риск-менеджмента позволяет получить качественно новый уровень управления информационными рисками предприятия.

цели и задачи управления информационными рисками прикладных систем

Прежде всего необходимо определить понятие «управление информационными рисками». Под управлением информационными рисками понимается система согласованных действий, операций и процедур, осуществляемых персоналом предприятия с целью минимизации расходов на противодействие информационным рискам и устранение их последствий [5].

Целью управления информационными рисками является минимизация общих расходов предприятия на противодействие информационным рискам и ликвидацию последствий их реализации [6].

Управление информационными рисками предполагает решение следующих задач:

• анализ рисков;

• выработка политики управления информационными рисками;

• оптимизация расходов на управление информационными рисками;

• создание системы управления информационными рисками (СУИР);

• устранение причин и факторов значимых рисков;

• создание механизмов снижения ущерба от возможных рисков;

• оценка ущерба;

• ликвидация последствий рисковых событий;

• постоянный мониторинг и периодический аудит системы управления рисками;

• анализ эффективности системы управления информационными рисками;

• совершенствование системы управления информационными рисками.

Одной из наиболее ответственных задач управления рисками является анализ информационных рисков. Первым этапом

Том 10. № 5 (59). 2015

анализа является идентификация информационных рисков. Идентификация информационных рисков заключается в выявлении всех возможных для рассматриваемой ИСП рисков и создание их перечня. В процессе идентификации используются информационная модель предприятия и классификация информационных рисков. Модель и классификация позволяют определить место конкретного риска в системе информационных рисков, его природу и потенциальную опасность.

В процессе анализа необходимо установить причинно-следственные связи рисков, источники и факторы рисков, механизмы реализации рисков, показатели информационных рисков. По результатам анализа делается заключение о значимости информационного риска для предприятия. Значимым считается информационный риск, которым нельзя пренебречь при управлении информационными рисками [5; 7].

На основе полученных данных об информационных рисках и особенностях информационной системы под руководством первых лиц предприятия разрабатывается и принимается официальный документ — программа управления информационными рисками. Эта программа определяет политику предприятия в области управления информационными рисками, обеспечения безопасности и качества информации.

Реализация программы должна привести к следующему результату: при минимально возможных затратах построена и функционирует система управления информационными рисками, обеспечивающая минимальные расходы на управление информационными рисками.

Из всех задач, стоящих перед разработчиками политики управления информационными рисками, центральной является задача оптимального вложения средств, при котором сумма общих затрат на управление информационными рисками и ущерб от информационных рисков будут минимальными. При решении этой задачи необходимо руководствоваться следующими принципами:

• невозможно создать систему управления информационными рисками, которая позволяла бы обеспечить абсолютную (стопроцентную) защиту от информационных рисков;

• защита от информационных рисков осуществляется по двум направлениям — предотвращение возможных рисков и минимизация ущерба;

• направление предотвращения рисков является приоритетным;

• минимизация ущерба достигается своевременностью определения факта наступления рискового события, максимально возможной локализацией воздействия рисков, осуществлением квалифицированного устранения последствий с использованием созданных заблаговременно механизмов;

• с целью минимизации ущерба от информационных рисков применяются специальные механизмы, основанные на временном, информационном, техническом, программном резервировании и резервировании денежных средств;

• для резервирования денежных средств привлекаются либо собственные ресурсы, либо осуществляется страхование информационных рисков;

• сложной задачей, имеющей большое практическое значение, является оптимальное распределение ресурсов, направляемых на предотвращение информационных рисков и снижение последствий рисковых событий;

• считается, что вложение средств в управление информационными рисками является оптимальным, если сумма затраченных на управление средств и ожидаемых потерь от рисков будет минимальной.

Предотвращение наступления информационных рисков является приоритетным по сравнению с ликвидацией последствий рисков, так как отдельные виды рисков могут привести к катастрофическим последствиям для предприятия. Кроме того, реализация информационных рисков, как правило, наносит ущерб деловой репутации предприятия, который сложно определить

VJ7

Vol. 10. No. 5 (59). 2015

количественно и спрогнозировать его влияние на бизнес в будущем.

Одной из наиболее важных задач управления информационными рисками является воздействие на источники рисков с целью устранения причин рисков. Часть причин находится вне зоны влияния предприятия. К ним относится большинство внешних рисков. Другая часть причин рисков может быть полностью или частично устранена. Необходимо также воздействовать на факторы, способствующие реализации рисков. В отношении факторов у руководства предприятием значительно больше возможностей применения управляющих воздействий.

Сколь совершенной ни была бы система предотвращения рисков, она не может обеспечить стопроцентной защиты от реализации рисковых событий. Поэтому необходимо заблаговременно принимать меры к снижению ущерба от возможных информационных рисков. Основным направлением решения этой задачи является создание резервов и использование адаптивных информационных систем, способных сохранять работоспособность в условиях наступления рисковых событий. На предприятии могут создаваться резервы денежных средств, оборудования и других материальных средств, а также информационных ресурсов (дублирование).

Оценка величины полного ущерба от имевшего место рискового события является достаточно сложной задачей. Особую сложность представляет собой задача выражения в денежной форме ущерба, связанного с внешней средой. Изменения во внешней среде чаще всего проявляются не так явно, как во внутренней. Результаты наступления рискового события могут проявляться во внешней среде только по истечении определенного времени.

Если наступления рискового события не удалось избежать, то необходимо минимизировать результаты его воздействия. Для этого локализуется область воздействия риска с целью ограничения распро-

странения нежелательных процессов или явлений. Затем ликвидируются последствия рисков с привлечением всех механизмов, созданных на предприятии для решения таких задач. Исследуются причины и факторы рискового события, и при необходимости в политику управления информационными рисками вносятся соответствующие коррективы, которые позволят в будущем избежать такого риска или существенно снизить ущерб.

Одной из ключевых задач является организация непрерывного мониторинга состояния системы управления информационными рисками. Постоянный контроль функционирования технических средств и действий исполнителей, а также оперативное реагирование на отклонения от нормального функционирования являются основными направлениями поддержания системы управления информационными рисками в состоянии высокой оперативной готовности. Периодически, а также при изменениях в условиях функционирования и при появлении новых рисков производится аудит системы управления информационными рисками, позволяющий получить полную информацию о фактическом состоянии системы. Для проведения аудита могут привлекаться специалисты аудиторских компаний.

На основе информации, полученной в результате мониторинга и аудита, а также с учетом возможных изменений информационной системы, бизнес-процессов, появления новых или изменения характеристик известных информационных рисков осуществляется всесторонний анализ соответствия системы управления информационными рисками требованиям политики управления информационными рисками.

По результатам анализа может корректироваться политика управления информационными рисками и изменяться система управления информационными рисками. Все изменения в системе управления информационными рисками должны осуществляться либо разработчиками средств системы, либо уполномоченными организаци-

2aL/

Том 10. № 5 (59). 2015

ями, имеющими государственные лицензии на оказание услуг по модернизации таких средств. В документацию вносятся необходимые официальные изменения.

На основании всестороннего анализа информационных рисков к ним могут применяться следующие стратегии управления [6]:

• принятие риска;

• предотвращение риска;

• снижение возможного ущерба от риска;

• предотвращение риска и снижение возможного ущерба от него.

Принятие риска означает, что в отношении соответствующего риска не применяются никакие механизмы предотвращения информационного риска и минимизации ущерба от его реализации. Такая стратегия выбирается в отношении информационных рисков, ожидаемый ущерб от которых незначителен, а также при очень малой вероятности рискового события и ожидаемом ущербе, который не относится к категории катастрофических для предприятия.

Стратегия предотвращения информационных рисков предполагает воздействие на источники рисков с целью снижения вероятности наступления рискового события. Эта стратегия требует также устранения факторов, способствующих реализации рисков.

Величина ущерба от информационного риска может быть снижена, если заблаговременно внедряются и применяются специальные механизмы. Суть принимаемых мер в соответствии с третьей стратегией заключается в придании устойчивости предприятию к воздействию информационных рисков. Основу такой стратегии составляют адаптивная система управления и необходимые резервные ресурсы. В качестве резервов используются аппаратные, программные, информационные и финансовые ресурсы.

Наиболее совершенной является стратегия, предполагающая использование как механизмов предотвращения информаци-

онных рисков, так и механизмов снижения ущерба от информационных рисков.

В составе механизмов управления информационными рисками могут быть выделены следующие экономические методы [5]:

• определения затрат на систему управления информационными рисками;

• оценки ущербов от информационных рисков;

• оптимизации общих расходов на управление информационными рисками;

• страхования информационных рисков;

• создания резервов для минимизации ущербов.

Эти методы объединены в одну группу по целому ряду причин:

• непосредственно связаны с финансовым и материальным обеспечением системы управления информационными рисками;

• реализуются в основном менеджерами финансово-экономических специальностей;

• направлены непосредственно на рациональное вложение финансовых средств в систему управления информационными рисками;

• используются главным образом при создании и модернизации системы управления информационными рисками, а также при наступлении рисковых событий.

Главной целью применения экономических методов является рациональное вложение средств в создание, модернизацию и эксплуатацию информационной системы, а также минимизация ущерба при наступлении рисковых событий.

Методы определения общих расходов на управление информационными рисками с учетом ущерба предприятия от информационных рисков позволяют получить информацию, которая служит основой расчетов для оптимизации общих затрат на систему управления информационными рисками и на устранение последствий рисковых событий.

Ущерб предприятия от информационных рисков в значительной степени зависит от особенностей бизнес-процессов конкретного предприятия. Это относится пре-

VJ9

Vol. 10. No. 5 (59). 2015

жде всего к ущербу от косвенных информационных рисков. Поэтому для подсчета ущерба не может быть создана единая методика, имеющая практическую значимость. Целесообразно ограничиться общими рекомендациями подсчета ущерба предприятия. В нашем понимании такие рекомендации могут быть представлены в следующем виде:

• ущерб разделяется на прямой и косвенный;

• ущерб выражается в денежных единицах;

• для косвенных (экономических) рисков с длительным периодом проявления или действия могут определяться возможные границы окончательного ущерба и временные границы действия риска;

• ущерб необходимо определять для наступивших рисковых событий, а также давать прогноз величин ущербов по возможным рискам;

• для определения эффективности системы управления информационными рисками целесообразно оценивать ущерб, который понесло бы предприятие, если бы не использовалась система управления рисками.

Задача оптимизации общих затрат на управление информационными рисками является самой сложной. Она декомпозируется на несколько подзадач, является многовариантной и решается с применением различных математических методов и различных моделей [6; 7; 8]. Процесс создания системы управления информационными рисками рациональной структуры или ее модернизации, а также проверки оптимальности системы в аспекте минимума общих расходов может быть разбит на этапы:

• выбор целей исследования и постановка задачи;

• получение исходных данных для моделирования;

• построение и/или использование моделей;

• анализ результатов моделирования.

Страхование является одним из основных финансовых методов снижения ущерба

от информационных рисков. Страхование информационных рисков выделилось в отдельную отрасль страхования. Как особый вид страхования страхование информационных рисков появилось в конце прошлого столетия практически одновременно с появлением самого понятия информационный риск.

Важным экономическим механизмом управления информационными рисками является создание и применение собственных резервов. Создаются денежные и материальные ресурсы. Особенности этих ресурсов следующие:

• используются только для снижения последствий рисковых событий в информационной сфере;

• обеспечивают оперативное реагирование на ситуацию после наступления рискового события;

• размеры резервных фондов рассчитываются из потребностей только на выполнение оперативных мер противодействия рискам.

Место экономических методов в общем комплексе механизмов управления информационными рисками определяется их непосредственной связью с конечными целями использования информации на предприятии, решающей ролью в их реализации руководства предприятия и менеджеров финансово-экономических специальностей.

Анализ информационных рисков прикладных систем является частным случаем общего алгоритма анализа информационных рисков всей информационной системы предприятия. Анализируются только те информационные риски, которые непосредственно связаны с конкретной прикладной системой.

Модели определения расходов на управление информационными рисками прикладных систем

Прежде всего необходимо уточнить терминологию, используемую при оценке информационных рисков. Требуется различать затраты и расходы на управление инфор-

30 j

мационными рисками. Структура расходов на управление информационными рисками представлена на рис.1.

Расходы на управление информационными рисками включают затраты на предотвращение информационных рисков, затраты на механизмы снижения возможного ущерба при наступлении рискового события, а также ущерб, который наносится предприятию при наступлении информационных рисков. Ущерб может быть разделен на затраты на ликвидацию последствий информационных рисков, а также невосполнимые потери, понесенные предприятием в результате информационных рисков [5].

Для снижения ущерба при наступлении рискового события используются нефинансовые и финансовые механизмы. К нефинансовым механизмам относятся: создание резервных запасов материальных средств, включая резервное оборудование; резервирование информации; создание средств оперативного обнаружения рисковых событий и локализации их воздействия на информационную систему; создание организационных структур (возможно нештатных) для оценки и устранения последствий информационных рисков; разработка планов действий и инструкций в условиях наступления рисковых событий.

Финансовые механизмы сокращения ущерба, нанесенного информационными рисками, предполагают создание резервов денежных средств и страхование информационных рисков.

Расходы на управление информационными рисками представляют собой сумму расходов на управление всеми информационными рисками, которые учитываются при анализе [5]:

N

С = 1 с,,

I=1

где С — расходы на управление информационными рисками; с1 — расходы на управление ,-м риском; N — количество значимых рисков.

Расходы на управление определенным информационным риском зависят от того, какая стратегия управления риском выбрана для этого риска.

Выражение для вычисления расходов на управление ,-м информационным риском при выборе в отношении него стратегии принятия риска имеет следующий вид:

с1 = ри,

где р1 — вероятность 1-го риска; и 1 — ожидаемая величина ущерба в денежном исчислении при наступлении -го риска.

Рис. 1. Структура расходов на управление информационными рисками Fig. 1. Structure of expenses on management of information risks

Vi1

Если в отношении информационного риска выбрана вторая стратегия, то расходы на управление таким риском могут быть подсчитаны следующим образом:

с2 ^j + р1и1,

где р1 и uj имеют тот же смысл, что и для первой стратегии, а vj — затраты на предотвращение ¡-го информационного риска. Следует отметить, что вероятность наступления рискового события р1 будет меньше, чем при условии выбора первой стратегии в отношении ¡-го информационного риска. Разница определяется степенью эффективности применяемых механизмов предотвращения информационных рисков.

При выборе третьей стратегии выражение для определения расходов на управление информационным риском имеет вид

с3 = %+Ри.

Кроме известных уже обозначений р и и, в выражении используется величина пк, которая обозначает затраты на снижение ущерба от к-го информационного риска.

Если для управления информационным риском выбрана четвертая стратегия, то затраты на управление 1-м риском следует определять следующим образом:

с,4 =vl +п +р,и,.

Все обозначения в выражении совпадают с ранее использованными обозначениями с точностью до индекса.

Если для снижения величины ущерба от к-го информационного риска используются нефинансовые механизмы, а также страхование, то для подсчета затрат на эти механизмы может быть использовано выражение

Пк = ®к + Ьк,

где юк — затраты на нефинансовые механизмы; — страховой взнос при страховании от к-го информационного риска.

При страховании информационных рисков расходы предприятий сокращаются

на величину страховой суммы фк в случае наступления к-го рискового события. Иными словами, ущерб ик уменьшается на величину фк.

Выделение и использование собственных и заемных денежных средств имеет некоторую специфику по сравнению с другими механизмами противодействия информационным рискам. Основной особенностью этого механизма является отсутствие привязки этих средств к конкретному информационному риску. Денежный резерв используется для устранения последствий любого очередного рискового события. Эти средства могут быть оперативно направлены на решение первостепенных задач ликвидации последствий информационного риска.

Денежные резервы являются универсальным механизмом устранения последствий любых рисков. Поэтому на предприятии должен создаваться единый денежный резерв на случай любого возможного риска. При формировании такого резерва учитывается необходимость парирования и информационных рисков. Для расчета затрат на управление информационными рисками необходимо в общем денежном резерве выделять долю резервов на информационные риски. Затратами на использование резерва являются упущенная выгода от вложения собственных средств в бизнес-процессы предприятия, оплата заемных денежных средств, инфляционные процессы.

Если денежные резервы используются не полностью за рассматриваемый период, то расходы на их создание и использование могут вычисляться следующим образом:

где Ае — расходы на создание и использование собственных и заемных денежных резервов; кц > 1 — коэффициент учета затрат на создание и обслуживание резерва; е — сумма резерва; ео — остаток резервного фонда.

Учитывая все введенные обозначения и приведенные соотношения, затраты пред-

aj

приятия на управление всеми значимыми информационными рисками прикладных систем представим следующим образом:

N J К L

С=ХРР 1 к+£(/ -Рф,)+Де, (1)

i=1 j=1 к=1 (=1

где N — общее количество значимых рисков прикладной системы; J — количество информационных рисков, для которых используются механизмы предотвращения рисковых событий; К — количество информационных рисков, для минимизации ущерба от которых применяются нефинансовые механизмы; L — количество страхуемых информационных рисков прикладной системы.

В практике страхования общепринято использование коэффициентов для подсчета страхового взноса от страховой суммы. Поэтому в (1) выполним подстановку hl = к/ф (, где к/ — коэффициент, учитывающий вероятность 1-го риска:

N J К L

С=Х Р,и, 1+Х® к+ж - Р, )ф(+Де. (2)

j=i

1=1

ствующих механизмов предотвращения информационного риска и снижения ущерба от него могут учитываться с помощью коэффициентов. Предположим, что при использовании комплекса антивирусных программ коэффициент снижения вероятности недоступности информации в информационной системе равен 1/3. Тогда при установке пакета антивирусных средств получим значение вероятности недоступности информации

pa

= kavpl = %

Проведем анализ выражения полных расходов на управление информационными рисками прикладного приложения. Для этого представим нефинансовые величины выражения (2) в виде функциональных зависимостей от затрат. Вероятность информационного риска р1 (V,) является функцией от затрат на предотвращение этого информационного риска. Величина ущерба зависит от затрат на нефинансовые механизмы снижения ущерба и затрат на создание и обслуживание резерва собственных денежных средств и(ю,, Де,), где Ае, — часть собственных денежных резервов, используемая для снижения ущерба от (-го информационного риска.

Страховая сумма есть функция от ожидаемого ущерба и зависит от тех же затрат, что и ущерб. Страховой взнос зависит от величины страховой суммы и вероятности наступления страхового события.

Снижение вероятности рискового события, величины ожидаемого ущерба, страхового взноса при использовании соответ-

где рру — вероятность перехода системы в состояние недоступности информации при наличии антивирусной защиты за определенный период времени (например — за год); ка — коэффициент учета эффективности антивирусного средства и доли вирусов в данном информационном риске; р1 — вероятность информационного риска без учета антивирусной защиты.

Зависимость величины ущерба от затрат на механизмы его снижения может быть учтена также с помощью коэффициентов эффективности вводимых механизмов. С использованием системы коэффициентов соотношение (2) принимает вид

С = Х kp (V,. )pkU (ш ,Ле, )U + £v j +

/=1 j=l k=l

+i (kh (V|) -kf (V| )P| k (V|, ш I, Аб| )ф| + Де.

(3)

В этом выражении коэффициенты имеют следующие значения. Коэффициент кр (V,) определяет, как изменится вероятность наступления -го рискового события при использовании механизмов предотвращения риска, затраты на которые составили сумму V,. Коэффициент кр) имеет тот же смысл, что и коэффициент кр (V,), но для (-го риска. Коэффициент кр (ю,, Де,) учитывает зависимость величины ущерба при наступлении /-го рискового события от суммы вложенных средств в механизмы сокращения величины ущерба. Коэффициент кф , ю(, Де()

\ 33

определяет, насколько изменится страховая сумма 1-го информационного риска по сравнению с исходной (ф) после введения в систему управления информационными рисками механизмов предотвращения этого риска и снижения ущерба от него. Коэффициент вычисления страхового взноса к' (V,) выбирается страховщиком в зависимости от эффективности механизмов предотвращения информационных рисков, применяемых страхователем в своей информационной системе. Считаем, что эффективность механизмов зависит от вкладываемых в них средств.

Система управления информационными рисками является подсистемой системы управления предприятием. Полная оценка расходов на информационные риски должна учитывать взаимодействие данной подсистемы с другими подсистемами предприятия.

В выражении (3) не учитываются затраты на интеграцию всех механизмов защиты от информационных рисков прикладных программ в единую систему управления, затраты ресурсов информационной системы и всего предприятия на нужды защиты от информационных рисков. Имеются в виду ресурсы, которые непосредственно не относятся к ресурсам системы управления информационными рисками, но используются для выполнения определенных функций управления информационными рисками. К таким ресурсам следует отнести:

• аппаратные средства обработки, хранения и передачи информации;

• системное программное обеспечение;

• рабочее время пользователей и специалистов, не входящих в организационные структуры системы управления информационными рисками;

• алгоритмическое и методическое обеспечение процессов интегрального управления.

Интеграционные затраты включают затраты на системное согласованное включение компонентов системы управления информационными рисками в единый комплекс информационной системы предприятия и всего предприятия в целом, для выпол-

нения заданных функций в рамках единой системы управления предприятием.

Возможны два подхода к учету затрат на интегрирование механизмов и использование общесистемных ресурсов. Расходы на цели взаимодействия и совместного использования ресурсов подсчитывать отдельно для каждого информационного риска и полученную сумму использовать для определения полной суммы расходов на управление информационными рисками. Второй вариант предполагает включать такие расходы в расходы по каждому информационному риску.

Выбор варианта подсчета зависит от целей анализа расходов. Если необходима обобщенная информация о расходах на взаимодействие СУИР с остальными подсистемами предприятия, то используется первый подход. Если необходимо проанализировать полные расходы по каждому информационному риску, то прибегают ко второму подходу определения расходов на взаимодействие и совместное использование ресурсов. Как вариант второго подхода возможен подсчет расходов на использование каждого элемента системы управления информационными рисками.

Определим затраты на интеграцию и использование общесистемных ресурсов как системные затраты на управление информационными рисками. Если системные затраты обозначить как С8 и использовать первый подход к их учету, то полные расходы на управление информационными рисками С могут быть представлены в виде суммы

Сf = С + С$.

Если системные затраты подсчитывать как сумму по каждому информационному риску, то выражение для подсчета полных расходов на управление информационными рисками примет следующий вид:

N N

С, = 2 С + 2 к (V, )рк к, Де,. )я, +

/=1 ,=1

+2 V +2 «к +2 (к' (V,) - (4)

i=1

=1 l=1

-kp (V| ) p, )кф (V,, Ml, Ae, )ф il + Ae,

Том 10. № 5 (59). 2015

где С, — полные расходы на управление информационными рисками; С — системные затраты на управление /-м информационным риском.

Последовательность действий в процессе оценки расходов на управление информационными рисками прикладных систем зависит от выбранной технологии реализации этих систем. Например, вычисления расходов на управление информационными рисками прикладной системы, реализуемой по облачной технологии, будут отличаться от вычислений расходов для прикладных систем, которые реализованы в информационных системах без использования облачных технологий.

Однако могут быть выделены общие этапы оценки расходов на управление информационными рисками прикладной системы:

• выделяются информационные риски, связанные с прикладной системой;

• определяются значения ожидаемых ущербов, зависящих только от негативных событий в прикладной системе;

• определяются затраты на управление информационными рисками, присущими только анализируемой прикладной системе;

• для анализируемой прикладной системы выделяется соответствующая доля затрат на управление информационными рисками, присущими нескольким прикладным системам и/или общесистемным ресурсам;

• вычисляются общие расходы на управление информационными рисками прикладных систем.

Заключение

Наличие альтернативных путей реализации отдельных прикладных процессов в рамках собственных информационных систем предприятий или с привлечением различных форм аутсорсинга ставит перед руководством предприятий задачу выбора оптимальных вариантов реализации прикладных процессов предприятия.

Для оценки эффективности и безопасности прикладных процессов предприятия необходимо анализировать прикладные системы, определение и состав которых приведены в настоящей работе.

Предлагается понятие информационного риска связывать не только с безопасностью информации, но и с ее качеством. Рассмотрены основы управления информационными рисками прикладных систем, представлены общие модели вычисления расходов на управление информационными рисками прикладных систем.

В качестве критерия оптимальности принятия решения о выборе той или иной технологии реализации прикладного процесса служит минимум величины расходов на управление информационными рисками. Достоинство критерия заключается в объединении затрат на обеспечение управления информационными рисками и величины предполагаемого ущерба предприятия от негативных событий в информационной системе предприятия.

Список литературы

1. Шаньгин В. Ф. Информационная безопасность и защита информации. М.: ДМК Пресс, 2014. — 702 с.

2. Петренко С. А, Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. М.: АйТи-Пресс, 2004. — 384 с.

3. Завгородний В. И., Цветков А. В. Анализ прикладных систем // Сборник научных трудов четырнадцатой международной научно-практической конференции «Применение технологий «1С» для повышения эффективности деятельности организаций образования». 28-29 января 2014 г. Часть 1. М.: 1С-Паблишинг, 2014. С. 347-350.

4. Завгородний В. И. Информация и экономическая безопасность предприятия // Прикладная информатика. 2006. № 2 (2). С. 107-113.

5. Завгородний В. И. Управление информационными рисками предприятия (монография). М.: ИНИОН РАН, 2009. — 174 с.

6. Завгородний В. И. Принципы организации функционирования систем управления информационными рисками // Символ науки. 2015. № 4. С. 75-78.

7. Завгородний В. И. Системное управление информационными рисками. Выбор механизмов защиты от информационных рисков // Проблемы управления. 2009. № 1. С. 53-58.

\ 35

Vol. 10. No. 5 (59). 2015

8. Zavgorodniy V, LukyanovP., NazarovS. The Selection Algorithm of Mechanisms for Management of Information Risks // 2nd International Conference on Information Technology and Quantitative Management, ITQM 2014. Procedia Computer Science. Imprint: ELSEVIER. P. 440-448.

References

1. Shan'gin V. F. Informatsionnaya bezopasnost' i zash-chita informatsii [Information security and information security] Moscow, DMK Press Publ., 2014. 702 p.

2. Petrenko S. A., Simonov S. V. Upravlenie informatsionny-mi risrami. Ekonomicheski opravdannaya bezopasnost' [Management of information risks. Economically justified safety]. Moscow, AyTi-Press Publ., 2004. 384 p.

3. Zavgorodniy V. I., Tsvenkov A. V. Analiz prikladnykh system [Analysis of applied systems]. Sbornik nauch-nykh trudov chetyrnadtsatoy mezhdunarodnoy nauch-no-prakticheskoy konferentsii «Primenenie tekhnologiy «1S» dlya povysheniya effektivnosti deyatel'nosti orga-nizatsiy obrazovaniya». 28-29 yanvarya 2014 g. [Collection of scientific works of the 14th int. scientific-practical conference «The use of technology» 1C «to improve the efficiency of educational organizations.» 28-29 January 2014]. Moscow, 2014, pp. 347-350.

4. Zavgorodniy V. I. Informatsiya i ekonomicheskaya bezopasnost' predpriaytiya [Information and economic security of the enterprise]. Prikladnaya Informati-ka — Journal of Applied Informatics. 2006, no. 2 (2), pp. 107-113.

5. Zavgorodniy V. I. Upravlenie informatsionnymi riskami predpriaytiay (monografiay) [Management of information risks of the enterprise]. Moscow, INION RAN Publ., 2009. 174 p.

6. Zavgorodniy V. I. Printsypy organizatsii funktsionirova-niay system upravleniay informatsionnymi riskami [The organization principles of functioning of control systems of information risks]. Simvol nauki. 2015, no. 4, pp. 75-78.

7. 3aBropoflHUM B. I/. Sistemnoe upravlenie informatsionnymi riskami. Vybor mekhanizmov zashchweH ot infor-matsionnykh riskov [System management of information risks. Choice of mechanisms of protection against information risks] Problemy upravleniya — CONTROL SCIENCES, 2009, no. 1, pp. 53-58.

8. V. Zavgorodniy, P. Lukyanov, S. Nazarov. The Selection Algorithm of Mechanisms for Management of Information Risks. 2nd International Conference on Information Technology and Quantitative Management, ITQM 2014. Procedia Computer Science. Imprint: ELSEVIER. P. 440-448.

V. Zavgorodniy, Financial University under the Government of the Russian Federation, Moscow, Russia, vzavgorodniy@fa.ru

Estimation the costs of risk management of applied systems

Now has the opportunity to make informed choices on the implementation of the applied processes or cloud technology based on its own resources, do not use cloud technologies. There are several options for cloud solutions and different combinations of partial transfer to the cloud applied processes, the problem of choosing the optimal solution becomes quite complicated. The applied system is a set of interrelated components of the information system, which provides a solution specific application in a particular company. Applied system consists of the following components of the information system: users; experts; application (a set of applications); User Interface — information system; shared hardware and software information systems involved in the implementation of an application or set of applications. It is proposed to link the concept of information risk not only the safety of information, but also to its quality. Fundamentals of information risk management applied systems, presents the general model of calculating the costs of information risk management applied systems. The optimality criterion is the decision about the choice of a technology implementation of the applied process is the minimum of the cost of managing information risk. The advantage criterion is to bring the cost of providing information risk management and the amount of the alleged damage to the company from the negative developments in the enterprise information system.

Keywords: applied system, information risks, information risks management, damage of the enterprise, expenditures for information risks management, strategy and the principles of information risks management.

About authors: V. Zavgorodniy, Dr of Economics, Associate Professor For citation: Zavgorodniy V. Estimation the costs of risk management of applied systems. Prikladnaya Informatika — Journal of Applied Informatics, 2015, vol. 10, no. 5 (59), pp. 23-36 (in Russian).

36 J