Управление риском информационных систем

Управление безопасностью информационных систем почти всегда включает анализ рисков в той или иной форме. Анализ рисков может охватывать всю информационную систему или ограничиваться безопасностью компьютерных программ, а может быть менее формальным. Программы безопасности обычно определяют порядок анализов рисков, спецификации мер безопасности, управление мерами безопасности и планы восстановления после сбоев.

Анализ степени риска требует детального рассмотрения всех ресурсов ин-формационных и телекоммуникационных технологий и систем. Каждый отказ оценивается с точки зрения возможных последствий для каждого компонента информационной системы. Затем эти последствия представляются в виде годовых оценок вероятности сбоя и стоимости возможных повреждений. Более изощренные методы анализа степени риска работают с кривыми риска, байесовской статистикой и качественными показателями риска.

Спецификация мер безопасности − это процесс проектирования, который оценивает влияние мер безопасности на риски сбоев, предложенные в анализе степени риска. Разработчики часто используют базу данных или контрольный список мер безопасности, чтобы включить в рассмотрение все возможные меры. Выбираются те меры безопасности, которые должны снизить риск сбоев до приемлемого уровня.

Поддержание мер безопасности − это рабочий процесс проверки работоспособности мер безопасности. Со временем эффективность мер безопасности может снизиться из-за устаревания компонентов, неправильного поведения пользователей, модификации системы или появления новых рисков сбоев. Чрезвычайный план, или план восстановления после сбоев, детализирует программу действий организации в случае катастрофической потери офисов, телекоммуникаций или информационных систем. Сегодня многие организации настолько зависят от информационных технологий, что даже кратковременный отказ может угрожать стабильной работе предприятия. Чрезвычайный план включает варианты альтернативного размещения, источники коммуникаций и компьютерного оборудования, внешнее хранение резервных копий данных и прочее. Такие планы иногда предусматривают и предварительные контракты с фирмами, предоставляющими услуги по восстановлению после сбоев.

Высокая безопасность информационных и телекоммуникационных технологий и систем − это результат тщательно разработанной политики безопасности. Если для офисных технологий зачастую достаточно применения антивирусных программ и операций резервного копирования, то в организациях с развитой современной инфраструктурой кроме элементарных мер безопасности необходима еще и программа управления риском информационных систем.

Контрольные вопросы

1. Что вы понимаете под термином «информационные технологии»?

2. Как возникли и развивались информационные технологии?

3. Какие виды информационных технологий используются в экономике и управлении?

4. Что составляет техническую основу современных информационных технологий?

5. Охарактеризуйте основные элементы современных компьютеров.

6. Какие программные средства обеспечивают функционирование современных информационных технологий?

7. В чем заключается организационно-методическое обеспечение современных информационных технологий?

8. Каковы перспективы развития информационных технологий в экономике и управлении?

9. Каковы состав и назначение базового программного обеспечения информационных технологий?

10. Каковы состав и назначение прикладного программного обеспечения вычислительной техники, используемой для поддержки управленческой деятельности?

11. Какие существуют виды угроз информации?

12. Охарактеризуйте способы защиты информации.

13. В чем заключается управление риском информационных систем?

Список литературы

1. Альтшулер И. Практика бизнеса. Записки консультанта. М., 2003.

2. Бородакий Ю. В., Лободинский Ю. Г. Информационные технологии. Методы, процессы, системы. М.: Радио и связь, 2002.

3. Вайгерс К. Управление разработкой ПО. М., 2003.

4. Вендров А. М. Проектирование программного обеспечения экономических информационных систем: Учебник. М.: Финансы и статистика, 2000.

5. Вендров А.М. CASE-технологии. Современные методы и средства проектирования информационных систем. М.: Финансы и статистика, 1998.

6. Глушаков С. В., Ломотько Д. В. Базы данных: Учебный курс. М.: ООО «Издательство АСТ», 2001.

7. Ивлев В. А., Каменнова М. С., Попова Т. В. Методологический подход к реорганизации деятельности предприятия // Открытые системы. 1996. № 2.

8. Информационные системы и технологии в экономике: Учебник. 2-е изд., доп. и перераб. / Т. П. Барановская, В. И. Лойко и др.; Под ред. В. И. Лойко. М.: Финансы и ста-тистика, 2005.

9. Информационные технологии управления: Учебное пособие для вузов / Под ред. проф. Г. А. Титаренко. 2-е изд., доп. М.: ЮНИТИ-ДАНА, 2003.

10. Калянов Г. Н. CASE-технологии. Консалтинг при автоматизации бизнес-про-цессов. 2-е изд., перераб. и доп. М.: Горячая линия – Телеком, 2000.

11. Калянов Г. Н. Теория и практика реорганизации бизнес-процессов. М.: СИНТЕГ, 2000.

12. Когаловский М. Р. Перспективные технологии информационных систем. Серия «ИТ-Экономика». М.: DMK Press, 2002.

13. Когаловский М. Р. Энциклопедия технологий баз данных. М.: Финансы и статистика, 2002.

14. Мишенин А. И. Теория экономических информационных систем: Учебное пособие. М.: Финансы и статистика, 2002.

15. MSDN Magazine / Русская Редакция. № 11(23). 2003. Ноябрь.

16. Принципы проектирования и разработки программного обеспечения: Учебный курс MCSD Сертификационный экзамен № 70–100. 2-е изд. Microsoft Corporation. М.: Русская редакция, 2002.

17. Создание информационных систем с AllFusin Modelling Suite. М.: Диалог-МИФИ, 2003.

18. Таненбаум Э. Архитектура компьютера. 4-е изд. СПб.: Питер, 2002.

19. Таненбаум Э. Современные операционные системы. 2-е изд. СПб.: Питер, 2002.

20. Хелд Г. Технологии передачи данных. СПб.: Питер; BHV, 2003.