СодержаниеВведение.......................... 3
Глава 1.Анализ теоретических основ управления рисками в системе защиты информации и ее построения
1.1.Применение критерия безопасности в системе защиты информации............................
8
1.2.Концепция приемлемого риска ALARA............ 17
1.3.Риск в системе защиты информации............ 24
1.4.Проблемы создания системы защиты информации на предприятии............................
28
1.5.Выявление рисков в системе защиты информации...... 32
1.6.Оценка рисков системы защиты информации......... 45
1.7.Надежность системы защиты информации.......... 51
Глава 2.Управление рисками в системе защиты информации на предприятии ЗАО ПКФ «СИМ»
2.1.Цели, задачи и принципы системы управления рисками......
56
2.2.Организационная структура управления рисками........ 64
2.3.Стратегические карты как инструмент оперативного контроля. 68
Заключение.......................... 78
Список использованных источников и литературы.......... 81
Приложение 1........................ 84
Приложение 2........................ 88ВведениеВ настоящее время проблема защиты от различных угроз выходит на первое место в системе приоритетов человечества, став в один ряд с проблемой повышения производительности труда и применения информационных технологий. В основе этого лежит высокий темп перемен, который оказывает отрицательное воздействие на появление новых опасностей и рост неустойчивости экономической среды. Первопричина столь стремительного роста заключается в увеличении количества и качества технологических показателей, на которые оказывает влияние конкурентная борьба и извлечение прибыли. Термин «защита информации» получает все большее распространение не только применительно к проблемам геополитики, катастроф, защиты от ядерной угрозы, но и экономических последствий реализации угроз в работе предприятий.
Несмотря на наличие огромных технологических и производственных мощностей, управлять ими становится все сложнее в силу их слабой структуризации и системного анализа критических факторов, влияющих на состояние безопасности. Неслучайно, что в 1992 г. в Рио – де-Жанейро была проведена конференция ООН по окружающей среде и устойчивому развитию. По результатам ее работы была подписана Декларация по окружающей среде и устойчивому развитию, содержащая 27 принципов управления экономической деятельностью и поведением в сфере окружающей среды для достижения глобальной устойчивости. Применительно к информационно-технологическому пространству можно выделить следующие опасности:
• недостаточное структурирование информационных ресурсов, что снижает эффективность их применения с точки зрения предсказуемости развития и управления;
• сокращение времени, необходимого для принятия решений и противодействия экономическим опасностям при развитости высокоскоростных электронных коммуникаций и транспортных средств, принятие решений в условиях стресса;
• технологические достижения обладают непредсказуемыми последствиями.
Таким образом, экономическая деятельность предприятий сопровождается значительной неопределенностью и большим числом разнообразных рисков. Менеджеры компаний ежедневно принимают решения о реализации продукции, организации работы производственных и иных подразделений фирмы. При этом внешние условия характеризуются изменениями на рынках, действиями конкурентов, сменой предпочтений потребителей, различными экологическими ограничениями и особенностями законодательства. В процессе своей деятельности компании преследуют различные цели (рост стоимости компании, увеличение прибыли и т.д.), которые могут частично противоречить друг другу, что усиливает степень риска при принятии решений. Более того, усложнение самих хозяйственных процессов делает критически важным учет и управление рисками в любой области бизнеса.
Целью данной дипломной работы является повышение эффективности и совершенствование работы системы защиты информации в Закрытом акционерном обществе Производственно-коммерческой фирме «СИМ» с использованием механизма управления рисками. В рамках реализации этой цели решаются следующие задачи:
• определение роли и места критерия безопасности информации при взаимодействии элементов в сфере управления рисками на предприятии;
• идентификация и комплексная оценка рисков в системе защиты информации рассматриваемого предприятия;
• разработка методики управления рисками в системе защиты информации рассматриваемого предприятия и ее организационная реализация.
Актуальность дипломной работы связана с преодолением разобщенности ведения аналитической работы в области защиты информации на рассматриваемом предприятии, введением новых методов, связанных с управлением рисками в масштабах организации. Исследование содержит методологические положения, системные разработки и рекомендации в области риск-менеджмента, до этого применяемые лишь в области компьютерной безопасности. С помощью представленной в работе методики система защиты информации рассматриваемого объекта выводиться на новый уровень, характеризуемый существенным улучшением качественных показателей управления рисками.
В ходе написания работы были использованы исследования известных российских и зарубежных авторов. К ним относятся работы Л.П.Гончаренко , В.И.Ярочкина . Эти исследования посвящены проблемам защиты информации и организации системы безопасности на предприятии. Работа В.Д. Могилевского рассматривает комплексные процессы в сложных системах и принципы кибернетики, получившие развитие в методологии систем. Из работ в сфере управления и оценки рисков и ведения аналитической работы следует выделить учебные пособия А.Г.Некрасова , Н.В. Хохлова , Э.О. Човушяна и М.А.Сидорова , представляющие собой базовые профессиональные курсы по риск-менеджменту. Данные работы охватывают целый комплекс вопросов управления рисками: финансирование рисков, интегральная оценка рисков, оценка и управление инвестиционными рисками и приводят примеры реализации программ управления рисками, практические рекомендации по организации риск-менеджмента на предприятии. Также было использовано известное исследование Нильс-Горана Ольве, Жан Роя, Магнус Веттера, посвященное концепции стратегических карт . Стратегические карты, построенные на основе системы сбалансированных показателей, дают полное представление о состоянии системы защиты информации компании, отражая не только ее финансовые возможности, но и ее отношения с потребителями, организацию внутренних бизнес-процессов, перспективы развития и обучения. Реализация данной концепции обеспечивает концентрацию усилий менеджеров на достижение успехов в будущем, а, следовательно, являются инструментом управленческого контроля.
Дипломная работа состоит из введения, двух глав, заключения, списка использованной литературы и двух приложений. Во введении отражены цели и задачи дипломной работы, проведен анализ использованной литературы. Глава первая раскрывает организацию аналитической работы с точки зрения приемлемых рисков, определяется понятие «критерий безопасности информации», их роль и место при взаимодействии компонентов системы защиты информации в управлении рисками. Проводиться выявление рисков в системе защиты информации, их классификация и количественная оценка с точки зрения вероятности их возникновения и финансовых потерь компании в целом от их реализации с помощью разработанного комплекса индексных показателей. Кроме того, производиться оценка надежности существующей на предприятии системы защиты.
Во второй главе дано описание системы управления рисками, ее принципов, целей и задач и сформулирована подробная поэтапная методика управления рисками на предприятии. Дается организационная реализация выстраиваемой системы с выделением новой штатной единицы, указаны функции и задачи риск-менеджера. Для оценки эффективности работы системы взята концепция стратегических карт, являющихся инструментом оперативного контроля.
В заключении подводятся общие итоги проведенного исследования.
Приложения содержат разработанную автором должностную инструкцию риск-менеджера (Приложение 1) и бланк стратегической карты (Приложение 2).ЛитератураИСО/ПСК 2 9000:2000. Системы менеджмента качества. Основы и словарь. – М.: ВНИИС, 2001. - 34 с.
Источники неопубликованные:
1.Устав Закрытого акционерного общества Производственно-коммерческой фирмы «СИМ». – М.: 2004, 27 с.
2.Уставной договор Закрытого акционерного общества Производственно-коммерческой фирмы «СИМ». – М.: 2004, 21 с.
Литература:
1. Алексенцев А.И. Сущность и соотношение понятий «защита информации», «безопасность информации», «информационная безопасность» // Безопасность информационных технологий. 1999. №1.
2. Алексенцев А.И. О составе защищаемой информации // Безопасность информационных технологий. 1999. №2.
3. Алексенцев А.И. Понятие и структура угроз защищаемой информации//Безопасность информационных технологий. 2000. № 3.
4. Беляков А.В. Банковские риски: проблемы учета, управления и регулирования. – М.: БДЦ-прес, 2003. -256 с.
5. Гончаренко Л.П. Экономическая безопасность предпринимательства./ Учебно-методическое пособие. - Иваново: Ивановский государственный университет, 1999.- 195 с.
6. Догиль Л.Ф. Управление хозяйственным риском: Учеб. пособие / Л.Ф.Догиль. – Мн.: Книжный Дом, Мисанта, 2005. – 224 с.
7. Могилевский В.Д. Методология систем. - М: Экономика, 1999.- 251 с.
8. Надежность и безопасность технических систем. Серия «Все о качестве. Зарубежный опыт». Выпуск 23, 2001.-М.: НТК «Трек», 2001.- 28 с.
9. Некрасов А.Г. Взаимодействие информационных ресурсов в логистических цепочках поставок (на примере транспортной отрасли)//Монография. – М.: МАДИ (ГТУ), 2002.- 206 с.
10. Некрасов А.Г. Основные положения повышения устойчивости промышленных логистических цепочек./ Известия ВУЗов. Машиностроение. – МГТУ им. Н.Э. Баумана. № 4. –2003.
11. Некрасов А.Г. Управление «приемлемым» риском в интегрированной логистике / Сборник научных трудов МАДИ (ГТУ) «Актуальные проблемы транспортной политики. Наука и образование. - М.: МАДИ (ГТУ), 2002. – 395 с.
12. Некрасова М.А. Аналитические методы снижения рисков в цепи поставок//Прикладная логистика. 2005. №8.
13. Нильс-Горан Ольве, Жан Рой, Магнус Веттер. Оценка эффективности деятельности компании. Практическое руководство по использованию сбалансированной системы показателей: Пер. с англ. – М.: Издательский дом «Вильямс», 2004. – 304 с.
14. Тихомиров Н.П., Поправный И.М., Тихомирова Т.М. Методы анализа и управления эколого-экономическими рисками: Учеб. Пособие для вузов / Под ред. Проф. Н.П.Тихомирова. – М.: ЮНИТИ-ДАНА, 2003. – 350 с.
15. Управление проектами / Перев. с англ. Под ред. В.Н.Фунтова – СПб.: Питер, 2004. – 464 с.
16. Чернова Г.В. Практика управления рисками на уровне предприятия./ Учебное пособие – СПб – М.: – Харьков – Минск, «ПИТЕР», 2000.- 176 с.
17. Хохлов Н.В. Управление риском. – М.: ЮНИТИ-ДАНА, 2001. – 239 с.
18. Чернова Г.В., Кудрявцев А.А. Управление рисками: учеб. пособие. – М.: ТК Велби, Из-во Проспект, 2005. – 160 с.
19. Човушян Э.О., Сидоров М.А. Управление риском и устойчивое развитие. Учебное пособие для экономических вузов. - М.: Изд-во РЭА им. Г.В. Плеханова, 1999.- 528 с.
20. Ярочкин В.И. Информационная безопасность. - М.: Акад. пр.,2005. -544с.
21. Ярочкин В.И., Бузанова Я.В. Аудит безопасности фирмы: теория и практика: Уч. пос. для студ. - М: Акад. пр., 2005. - 352с.
|
|