Главная » 2014»Июнь»27 » Скачать Управление информационными рисками. Завгородний, Виктор Иванович бесплатно
11:54 PM
Скачать Управление информационными рисками. Завгородний, Виктор Иванович бесплатно
Управление информационными рисками
Диссертация
Автор: Завгородний, Виктор Иванович
Название: Управление информационными рисками
Справка: Завгородний, Виктор Иванович. Управление информационными рисками : диссертация доктора экономических наук : 08.00.13 / Завгородний Виктор Иванович; [Место защиты: Финансовая академия] - Москва, 2010 - Количество страниц: 354 с. 1 ил. Москва, 2010 355 c. :
Объем: 355 стр.
Информация: Москва, 2010
Содержание:
Введение
Глава 1 Методологический подход к определению содержания информационных рисков предприятий
11 Анализ содержания и каузальных связей риска, информации, случайности и неопределенности
12 Системный подход к определению понятия "информационный риск"
13 Экономические и информационные риски
14 Информационное управление бизнес-процессами предприятия43 Выводы по главе 1
Глава 2 Информационный риск-менеджмент
21 Концептуальные основы информационного риск-менеджмента
22 Методологические принципы создания системы управления информационными рисками
23 Принципы организации функционирования систем управления информационными рисками
24 Классификация и общая характеристика механизмов управления информационными рисками
25 Управление информационными рисками на государственном уровне
26 Механизмы обеспечения качества информации
27 Механизмы управления безопасностью информации в информационной системе
28 Финансовые механизмы управления информационными рисками
Выводы по главе 2
Глава 3 Методология системного анализа информационных рисков
31 Цели и задачи анализа информационных рисков
32 Таксономия информационных рисков
33 Выбор показателей оценки рисков
34 Выбор методов и средств оценки рисков
35 Методика структурного анализа информационных рисков
36 Моделирование динамических процессов системы управления информационными рисками с помощью нечетких временных сетей Петри
37 Методика использования нечетких сетей Петри для получения нечетких заключений об эффективности системы управления информационными рисками
38 Оценка качества информационных ресурсов на основе иерархической нечеткой модели
Выводы по главе 3
Глава 4 Методический инструментарий выбора механизмов управления информационными рисками и подсистем информационной системы предприятия
41 Метод выбора механизмов управления информационными рисками
42 Метод выбора механизмов управления информационными рисками с помощью генетического алгоритма
43 Сравнительный анализ алгоритмов выбора механизмов управления информационными рисками
44 Модель выбора подсистемы хранения данных
45 Модель оптимизации затрат на управление информационным риском с применением механизмов страхования
46 Модель оптимизации затрат на управление всеми значимыми информационными рисками с применением механизмов страхования
Выводы по главе 4
Глава 5 Оценка и оптимизация расходов на управление информационными рисками
51 Место экономических методов в системе управления информационными рисками
52 Полные расходы на управление информационными рисками
53 Анализ подходов к определению расходов на управление информационными рисками
54 Затраты на разработку и создание системы управления информационными рисками
55 Определение годовых расходов на управление информационными рисками
56 Оптимизация расходов на управление информационными рисками
57 Неформальный подход к распределению денежных средств на управление информационными рисками
Выводы по главе 5
Введение:
Актуальность избранной темы. Процесс повсеместного внедрения новых информационных технологий в бизнес-процессы предприятий является одним из основных факторов существенного повышения эффективности современной экономики. Информатизация экономики требует значительных инвестиций в информационную сферу. По данным исследовательской фирмы International data corporation,1 мировые расходы на информационные технологии в 2009 году даже в условиях экономического кризиса составят 1,8 триллиона долларов.
Возрастание значения информации и информационных технологий для каждого предприятия сопровождается усложнением задач управления информационной сферой. Важнейшими из них являются рациональное использование инвестиций в информационные технологии и снижение рисков, связанных с информационными процессами предприятия. В современной научной литературе, в национальных и международных стандартах уделяется большое внимание проблемам управления рисками, связанными с использованием информации в деятельности предприятий. Вместе с тем остается нерешенным целый ряд проблем.
Главная из них - отсутствие методологий управления информационными рисками предприятий, обеспечивающих системный подход к управлению информационной сферой предприятия, ориентированных на достижение конечного результата бизнес-процессов, согласованное использование методов и моделей.
Как правило, проблемы управления качеством и безопасностью информации не интегрируются в единую проблему управления информационной сферой предприятия, с едиными показателями качества и эффективности, ориентированными на конечные результаты деятельности предприятия. Под управлением информационными рисками понимается только процесс обес
1 http://www.idc.com печения безопасности информации. Такой подход затрудняет создание методического аппарата комплексного решения задачи обеспечения качества и безопасности информации, ведет к снижению эффективности управления рисками всей информационной сферы предприятия.
Недооценка важности комплексного подхода к управлению информационными рисками не позволяет установить взаимосвязи информационных и экономических рисков, сказывается на организационном и технологическом уровнях управления информационными рисками. Управлением занимаются, в основном, специалисты отделов информационной безопасности и отделов информационных технологий. Существующие организационные структуры предприятий и технологии управления не позволяют использовать в полной мере возможности руководства и менеджмента различных уровней в процессе управления информационными рисками.
Степень разработанности проблемы. Различные аспекты управления информационными рисками нашли отражение в работах отечественных и зарубежных ученых. Проблемы, связанные с экономическими рисками, исследованы в работах многих ученых: Балабанов И.Т., Бернстайн П., Бланк И.А., Блек Ф., Дункан Р., Ильенкова Н.Д., Красс М.С., Лаврушин О.И., Jlaro-ша Б.А., Лиис Ф., Луман Н., Маркович Г., Мертон Р., Мильнер Б., Найт Ф.Х., Салин В.Н, Самуэльсон П., Сенчагов В.К., Фомичев А.Н., Чеботарев С.С., Шоулс М. Учеными разработаны общие закономерности и принципы управления экономическими рисками, проведен анализ, классификация и систематизация рисков, а также даются научно-методические и практические рекомендации по управлению рисками в различных областях экономики. Вместе с тем информационные риски как разновидность экономических рисков рассматриваются лишь в работах отдельных ученых. Результатом такого подхода является недооценка важности управления информационными рисками и экономических методов управления информационными рисками.
Современная информатика является теоретическим базисом построения информационных систем, обеспечения качества и безопасности информации.
Основы информатики заложили следующие выдающиеся ученые: Берг А.И., Винер Н., Глушков В.М., Ершов А.П., Канторович JL В., Келдыш М.В., Колмогоров А. Н., Лебедев С.А., Ляпунов А.А., Марчук Г.И., Мочли Д.У., Джон фон Нейман, Семенихин B.C., Соболев С.Л., Трапезников В.А., Экерт Д.П. и другие.
Методологической базой исследования сложных систем, к которым относятся информационные системы, является теория систем и системный анализ. Наибольший вклад в развитие этого научного направления внесли Акофф Р., Берталанфи Л., Волкова В.Н., Денисов А.А., Дрогобыцкий И.Н., Емельянов А.А., Клейнер Г.Б., Макол Р.Е., Месарович М., Оптнер С., Перегудов Ф.И., Поспелов Д.А., Прангишвили И.В., Черняк Ю.И., Черчмен У. и др. Методы и нотации структурного системного анализа, а также поддерживающие их CASE-системы представлены в трудах Буча Г., Гейна К., Йордана Э., Калянова Г.Н., Росса Д., СарсонаТ., Шеера А.-В., Якобсона И. и других.
Проблемы оценки качества информации и надежности аппаратных и программных средств рассматриваются в трудах Байхельта Ф., Липаева В.В., Майерса Г., Ушакова И.А., Франкена П., Ясина Е.Г. и других.
Математические методы, модели и инструментарий анализа и оценки рисков представлены в работах Емельянова А.А., Костогрызова А.И., Куль-бы В.В., Степанова П.В., Хрусталева Е.Ю. и многих других.
Тематика обеспечения информационной безопасности нашла отражение в работах таких ученых как Бородакий Ю.В., Галатенко В.А., Герасименко В.А., Грушо А.А., Зегжда П.Д., Кастельс М., Конявский В.А., Мафтик С., Мун С., Петренко С.А., Росс Г.В., Стенг Д.И., Тимонина Е.Е., Хофф-ман Л.Дж., Щербаков А.Ю. и др.
В настоящее время теория и практика создания аппаратно-программных средств и технологий их применения успешно развиваются. Сложнее решаются вопросы, связанные с обеспечением качества первичной информации, формальным представлением и оценкой эффективности взаимодействия человека с техническими системами. Не решена задача интегральной оценки влияния качества и безопасности информации на развитие других экономических рисков, на конечные результаты деятельности предприятий.
В последние годы особую остроту приобрели проблемы обеспечения безопасности информации. Этим и объясняется внимание к вопросам информационной безопасности со стороны отечественных и зарубежных ученых и специалистов. Наибольшее внимание ученые уделяют развитию механизмов обеспечения информационной безопасности, основанных на использовании аппаратных, программных и криптографических средств защиты. Следует также отметить отдельные исследования в области теории построения систем защиты информации, создания методического и инструментального аппарата анализа отдельных рисков. В то же время не развита методология оценки безопасности информации с позиций достижения конечных целей бизнеса и применения экономических методов управления информационными рисками.
Пока еще не создана концепция управления информационными рисками, в которой бы с системных позиций рассматривались все составляющие качества и безопасности информации, влияющие на эффективность ее использования в бизнес-процессах.
Существующие методы и средства анализа информационных рисков не объединены в рамках единой методологии, и могут применяться, как правило, только для исследования отдельных вопросов безопасности и качества информации. Не уделяется должного внимания использованию методов мягких вычислений для решения проблем анализа и синтеза систем управления информационными рисками.
В целом можно сделать вывод об актуальности и недостаточной степени разработанности проблемы управления информационными рисками на теоретическом, методологическом и методическом уровнях, что и обусловило выбор темы настоящего исследования и определило его цели и задачи.
Целью диссертационной работы является решение научной проблемы развития методологии управления информационными рисками.
В рамках поставленной цели выделено три основные подцели с соответствующими им задачами.
Подцель 1 - системное исследование основных свойств информационных рисков, определение их содержания и места среди экономических рисков.
Для достижения этой цели поставлены и решены следующие основные задачи:
• определение основного содержания информационных рисков, случайности и неопределенности;
• уточнение понятийного аппарата управления информационными рисками;
• определение взаимосвязи информационных и экономических рисков.
Подцель 2 - разработка концепции информационного рискменеджмента.
Для достижения этой цели поставлены и решены следующие основные задачи:
• определение целей и задач информационного риск-менеджмента, обоснование структуры информационного риск-менеджмента;
• обобщение и адаптация методологии системного подхода к исследованию информационных рисков;
•определение целей, задач и стратегий управления информационными рисками, формирование методологических принципов анализа и создания систем управления информационными рисками;
• построение таксономии информационных рисков;
• классификация и характеристика механизмов управления информационными рисками предприятия.
Подцель 3 - разработка методологии управления информационными рисками.
Для достижения этой цели поставлены и решены следующие основные задачи:
• разработка методики системного анализа информационных рисков;
• разработка методов и моделей выбора механизмов управления информационными рисками и подсистем информационной системы с применением экономических методов управления;
• структуризация расходов и определение полных расходов предприятия на управление информационными рисками;
• определение эффективности затрат на управление информационными рисками.
Объект и предмет исследования. Объектом исследования является процесс управления предприятиями и организациями различных отраслей и организационно-правовых форм собственности.
Предметом исследования являются методы и модели управления информационными рисками хозяйствующих субъектов.
Теоретические и методологические основы работы. Проведенные исследования базируются на применении системного структурного анализа, теории множеств, теории нечетких множеств и нечеткой логики, теории графов, нечетких сетей Петри, генетических алгоритмов, марковских процессов, теории вероятностей, теории рисков.
В процессе исследования были проанализированы и использованы нормативные и методические документы, стандарты, специальная и периодическая литература, справочно-статистические материалы, результаты разработок отечественных и зарубежных ученых, материалы периодической печати, информация официальных веб-сайтов, материалы научных и научно-практических конференций, семинаров в области теории информации, информационных систем, информационной безопасности и риск-менеджмента.
Содержание работы соответствует основным положениям п. 1.4. Разработка и исследование моделей и математических методов анализа микроэкономических процессов и систем: отраслей народного хозяйства, фирм и предприятий, домашних хозяйств, рынков, механизмов формирования спроса и потребления, способов количественной оценки предпринимательских рисков и обоснования инвестиционных решений и п. 2.6. Развитие теоретических основ методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии Паспорта специальности ВАК 08.00.13 - "Математические и инструментальные методы экономики".
Научная новизна исследования заключается в разработке теоретико-методологического базиса управления информационными рисками в рамках нового научного направления - информационного риск-менеджмента.
Научную новизну содержат следующие положения работы, которые выносятся на защиту:
1) расширено представление о научной категории "информационный риск":
• под информационным риском понимается возможность наступления случайного события в информационной сфере предприятия, оказывающего негативное влияние не только на безопасность, но и на качество управляющей информации;
• изменение представления об информационном риске позволяет рассматривать управление информационными рисками как системное управление всеми рисками, связанными с получением, обработкой, хранением, передачей и использованием информации в управлении бизнес-процессами;
2) анализ информационного риска как случайного события, позволил обосновать следующие положения:
• наряду с объективной случайностью существует субъективная случайность риска, которая вносится при использовании недостоверной, неактуальной, неполной информации в процессе управления любыми социально-экономическими или человеко-машинными системами (процессами);
• информационный риск рассматривается как мегариск в социально-экономических системах, присутствующий в виде информационной составляющей во всех рисках, в том числе и в экономических;
• понятие "управление информационными рисками" распространяется на область управления информационными рисками в условиях статистической неопределенности;
3) развиты основные теоретико-методологические положения информационного риск-менеджмента, как нового направления в риск-менеджменте:
• сформирована концепция информационного риск-менеджмента, включающая понятийный аппарат, цели, задачи, принципы управления информационными рисками и построения систем управления информационными рисками;
• разработана методика системного анализа информационных рисков, в основу которой положено представление процесса функционирования предприятия с помощью моделей потоков данных и событий. Она включает частные методики и направлена на определение общих расходов на управление информационными рисками, которые складываются из затрат на управление рисками и суммарного ущерба от них;
• особое внимание уделяется получению и обеспечению качества входной информации, взаимодействию с внешней средой, связи информационных рисков с бизнес-процессами, изменению роли менеджмента предприятий в управлении информационными рисками;
4) предложена двухкомпонентная классификация информационных рисков, которая отличается от существующих классификаций:
• наличием индексированной схемы классификации и таблицы, обеспечивающих полноту представления характеристик рисков и удобство использования;
• возможностью автоматизированной обработки характеристик и дополнения таблицы новыми данными о результатах анализа рисков;
5) обобщены принципы построения систем управления информационными рисками и предложены новые принципы, учитывающие особенности целей и задач использования таких систем:
• анализ и создание системы управления информационными рисками (СУИР) осуществляется на основе представления информационной сферы предприятия в виде метасистемы;
• обеспечение возможности активного воздействия информационной системы предприятия на внешнюю среду;
• создание новых информационных технологий, позволяющих специалистам и менеджерам предприятия перейти на системный уровень управления качеством и безопасностью информации;
6) разработан методический инструментарий анализа информационных рисков:
• иерархическая нечеткая модель и инструментальные средства оценки качества информационных ресурсов, основанные на применении лингвистических переменных и отличающиеся повышенной точностью и информативностью;
• модель для исследования динамических процессов систем управления информационными рисками, особенность которой заключается в использовании нечетких временных сетей Петри с ингибиторными связями;
• модель, построенная на основе нечетких сетей Петри, для получения нечетких заключений об эффективности системы управления информационными рисками или ее подсистем;
7) создан методический аппарат выбора механизмов управления информационными рисками и подсистемы хранения данных:
• методы и инструментальные средства выбора механизмов управления информационными рисками, которые отличаются возможностью учета совместимости механизмов и включают два метода, построенные на основе модифицированного жадного алгоритма и генетического алгоритма;
• методы выбора механизмов управления информационными рисками, допускающие совместное использование отдельных и агрегированных механизмов, а также наличие условия об обязательном включении в СУИР определенных механизмов;
• модель выбора подсистемы эффективного хранения данных, основанная на использовании аппарата цепей Маркова;
8) разработано методическое обеспечение определения и оптимизации расходов на управление информационными рисками:
• модель оптимизации затрат на управление значимыми информационными рисками с применением механизмов страхования информационных рисков, которую отличает возможность моделирования без ограничения средств на управление и в условиях лимита денежных средств;
• структурированы расходы и предложена модель определения полных расходов предприятия на управление информационными рисками, которую отличает от известных учет затрат на обеспечение качества информации и системных затрат.
Практическая значимость исследования состоит в возможности широкого использования полученных методических и инструментальных средств в процессе анализа и оценки информационных рисков, а также при построении и совершенствовании систем управления информационными рисками предприятий.
Материалы исследований могут применяться также при подготовке и переподготовке кадров на занятиях по экономическим дисциплинам, при подготовке специалистов по экономической и информационной безопасности в процессе изучения таких дисциплин, как "Информационная безопасность компьютерных систем", "Информационная безопасность", "Информационная безопасность бизнеса", "Управление информационными рисками".
Самостоятельное практическое значение имеют:
1) методика и инструментальные средства выбора механизмов управления информационными рисками;
2) методика и инструментальные средства оценки качества информационных ресурсов;
3) методика получения нечетких заключений об эффективности системы управления информационными рисками;
4) методика исследования динамических процессов системы управления информационными рисками;
5) методика выбора системы хранения данных;
6) предложения по совершенствованию организационной структуры системы управления информационными рисками;
7) практические рекомендации по созданию компьютера защищенной архитектуры.
Апробация и внедрение результатов исследования. Материалы диссертационной работы внедрены в деятельность ряда научно-исследовательских институтов и предприятий: НИИ автоматической аппаратуры им. академика B.C. Семенихина, Московского научно-исследовательского телевизионного института, Военной страховой компании, Горьковского автомобильного завода, Расчетной палаты Московской межбанковской валютной биржи. Результаты внедрения результатов работы подтверждены соответствующими документами.
Материалы исследований используются в образовательном процессе по дисциплинам "Информационная безопасность компьютерных систем", "Информационная безопасность", "Информационная безопасность бизнеса" в Финакадемии. Исследование проводилось в рамках НИР Финакадемии по комплексной теме: "Пути развития финансово-экономического сектора России".
Полученные теоретические и методологические результаты докладывались на 20-ти международных, всероссийских и региональных конференциях и семинарах в том числе на IV Всесоюзном совещании по распределенным вычислительным системам массового обслуживания (Душанбе, 1991), на II научно-технической конференции Московского военного университета радиоэлектроники (Кубинка, 1997), на Международной конференции "Развитие вычислительной техники в России и странах бывшего СССР: история и перспективы" (Петрозаводск, 2006), на II Международной научно-технической конференции "Информационные технологии в науке, образовании и производстве" (Орел, 2006), на Национальном форуме по информационной безопасности "Инфофорум 2007" (Москва, 2007), на Международной конференции "Бизнес информатика" (София, 2007), на XV Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, МИФИ, 2008), на Международной научно-практической конференции "Информационные технологии в образовании, науке и производстве" (Серпухов, 2009).
Публикации. Основные результаты диссертации отражены в 45-ти научных публикациях, авторский объем в которых составляет 54,28 п.л. В число опубликованных работ входят три монографии и 10 статей в периодических изданиях из Перечня ВАК, а также две публикации в зарубежных издательствах.
