Понятие информационного риска
Понятие информационного риска не имеет четкого и устойчивого определения, на сегодняшний день в теории и на практике пока не выработано единого подхода к их дефиниции. Условно можно выделить следующие подходы к трактовке термина «информационный риск»:
- Информационный риск является тождественным угрозе безопасности информации и трактуется как потенциальное событие, вследствие которого может быть удалена или искажена информация, нарушена ее доступность или конфиденциальность. Управление информационными рисками в данном случае эквивалентно информационной безопасности.
- Информационный риск подразумевает возможность наступления для организации ущерба или убытков. Каждый из двух подходов опирается на негативный характер риска, его связь исключительно с отрицательными последствиями. В то же время нельзя говорить о наличии противоречий описанных подходов между собой.
Информационный риск — это, с одной стороны, вероятность порчи информации как специфического объекта и, с другой стороны, вред, который причиняется специфическими средствами (информацией).
Классификация информационных рисков
В качестве параметра для классификации информационных рисков можно использовать субъект или объект риска, алгоритм рискового поведения, причины и сферу появления рисков, их потенциальные последствия.
Исходя из сущности информационных услуг, можно выделить несколько больших групп информационных рисков:
- риски, связанные с информационной безопасностью;
- риски качества управления информационными услугами;
- проектные риски.
Информационные риски следует учитывать на каждом этапе жизненного цикла информационной системы.
Требования к системе управления информационными рисками
Основной задачей системы управления информационными рисками можно назвать создание методики по информационным рискам инструментария, который может быть использован сотрудниками организации на практике. Типовыми требованиями, выдвигаемыми организацией к этому инструментарию, являются следующие:
- гибкость, настраиваемость и целостность информационной среды для непрерывной регистрации операционных потерь и событий, включая сбор данных от отдельных элементов информационной инфраструктуры.
- возможность анализа и прогнозирования вероятных убытков;
- возможность импорта и экспорта данных, а также сравнения данных в разрезе отдельных отраслей и т.д.;
- гибкость выделения и анализа угроз с возможностью классификации источников угроз и потерь;
- минимальное вмешательство человека на этапе сбора первичных данных;
- риск-менеджмент должен выступать в качестве некоторой основы для мгновенного принятия управленческих решений;
- возможность количественной оценки рисков.
Проблемные аспекты оценки информационных рисков
Основные проблемные моменты при проведении оценки информационных рисков:
- инвентаризация информационных ресурсов и расчет их реальной стоимости;
- выявление угроз и оценка вероятности реализации угроз, определение уязвимости системы;
- определение уязвимости системы и возможности реализации угрозы.
Первую проблему достаточно легко решить с помощью современных программных средств при наличии тесного взаимодействия с владельцем ИТ-ресурсов. Вторая проблема может быть решена путем построения единой сводной таблицы информационных угроз с учетом накопленных знаний, стандартов и лучших практик. Третья проблема подразумевает оценку вероятности реализации конкретной угрозы. Для решения данной задачи целесообразно использовать статистику соответствующих инцидентов с учетом экспертной оценки внедренных инструментов контроля и т.д.
