В рамках данной статьи рассматривается понятие информационного риска, подходы к его определению. Также в статье будут выделены сходства и различия рисков информационной безопасности от других видов рисков.
В настоящее время практически все предприятия нуждаются в обеспечении защиты информационной безопасности. В России внимание информационным рискам стали уделять в конце прошлого века. Информационные риски связаны с обеспечением компьютерной безопасности и сохранности конфиденциальной информации. Существует большое количество рисков информационной безопасности, таких как потеря доступа к файлам, утечка конфиденциальной информации, технические сбои и т.д. Для того чтобы минимизировать риски информационной безопасности, необходимо предупредить несанкционированный доступ к информации и различные сбои системы. Минимизация предполагает выявление возможных рисков и определение способов их нейтрализации. Способы выявления рисков, относящихся к информационным технологиям такие же, как и у любых других рисков (на основе экспертных оценок и т.п.). Точное определение возможного ущерба, вследствие реализации информационного риска, довольно проблематично, однако можно приблизительно оценить их.
В настоящее время понятие риска информационной безопасности не имеет четкой трактовки. Некоторые ученые придают данному понятию такой смысл, при котором информационный риск понимается как возможный случай, в результате которого происходит несанкционированное удаление, изменение данных, а также нарушается их конфиденциальность.
Главной задачей управления рисками информационной безопасности является защита информации. В этом случае, авторы данной трактовки, подразумевают защиту данных преимущественно от злоумышленных действий и как риск угрозы исключительно в информационных системах.
Однако возможные нежелательные случаи, которые приводят к понижению качества, актуальности и подлинности информации, при внесении ее в базу данных информационной системы, не рассматриваются по отношению к понятию «информационный риск». Так же к данному понятию не относят риски, связанные с наличием ошибок в алгоритмах, моделях и программном обеспечении, применяющихся для разработки управленческих решений.
Вышеперечисленные подходы, определяющие понятие «информационного риска», можно объединить, поскольку в них отсутствует четкое видение итоговых результатов, воздействие рисков информационной безопасности на компанию и отсутствие взгляда на всю проблему в целом.
Определение понятия риска информационной безопасности должно выявлять сущность информационного риска, его связь с информационной системой компании, результат воздействия на нее и компанию в целом.
Выделяя сущность информационного риска, его можно определить как случайное событие, которое приводит к нежелательным последствиям в информационной системе, поскольку воздействуя на нее, риски приводят к убыткам или иному ущербу деятельности предприятия. Таким образом, можно отметить, что риск информационной безопасности предполагает, что возможно наступление такого события, которое приведет к недопустимому понижению качества информации и нарушению функционирования информационной системы.
Информационная система включает в себя все ресурсы организации, использующиеся для различной работы с информацией, поэтому понятие риска информационной безопасности содержит в себе абсолютно все события, которые оказывают воздействие на любые ресурсы информационной системы и могут повлечь за собой понижение прибыли или иной ущерб организации.
Такое определение информационного риска позволяет взглянуть на проблему системно, но оно не учитывает негативные реалии, напрямую не связанные с информационной системой организации. К таким реалиям относятся несоответствия требованиям законодательства, нарушение сохранности частной информации, незаконное использование торговой марки предприятия. Такие события напрямую воздействуют на информационную систему, в результате чего бизнес-процессам организации наносится значительный ущерб.
Отсюда следует, что риск информационной безопасности подразумевает вероятность наступление такого события, которое приведет к сбоям в функционировании информационной системы и понижению качества самой информации в ней, а также к нарушению сохранности конфиденциальной информации.
Существует различие между информационным риском и риском при внедрении информационных технологий, которое заключается в том, что последний необходимо рассматривать скорее как инвестиционный риск. В качестве особенности инвестиционного риска, при внедрении информационных технологий, можно выделить полное или частичное неполучение ожидаемой прибыли вследствие не надежности информации, которая используется в процессе реализации новшеств. В конкретном случае, причиной рисков в сфере информационной безопасности является недостаточность и отсутствие достоверности информации, использующейся в процессе принятия решений.
Следует отметить, что в большинстве случаев, обстоятельства, приводящие к финансовому ущербу, потерянной выгоде и отсутствии возможности достичь поставленную цель, используется экономическое понимание риска. Многие полагают, что риск, который возник вследствие неправильной эксплуатации информационных технологии, имеет такие же характерные черты, что и экономический.
В большей степени к предприятиям с высоким уровнем рисков информационной безопасности относятся следующие:
банки;
интернет-магазины;
расчетные системы;
телекоммуникационные предприятия;
финансовые институты и др.
В заключение важно отметить, что ущерб от информационных рисков может превысить ущерб от рисков основной деятельности организации. Информационные риски несомненно относятся к экономическим рискам. Выделяя риски информационной безопасности в отдельную подгруппу экономических, необходимо установить их соответствие и взаимосвязь по отношению к прочим экономическим рискам. В данном случае можно использовать классификацию экономических рисков. Однако не существует полной и единой их классификации.
Проведенное исследование показало, что существует несколько подходов к определению понятия информационного риска.
Список литературы:
Мишель М. Управление информационными рисками// Финансовый директор. −2003 г.
Легизо Д. Управление ИТ-рисками – дело благородное[Электронный ресурс] / Режим доступа: http://www.iemag.ru/projects/detail.php?ID=17565, свободный, — Загл. с экрана.
4