В настоящее время проблема защиты от различных угроз выходит на первое место в системе приоритетов человечества, став в один ряд с проблемой повышения производительности труда и применения информационных технологий. В основе этого лежит высокий темп перемен, который оказывает отрицательное воздействие на появление новых опасностей и рост неустойчивости экономической среды. Первопричина столь стремительного роста заключается в увеличении количества и качества технологических показателей, на которые оказывает влияние конкурентная борьба и извлечение прибыли. Термин «защита информации» получает все большее распространение не только применительно к проблемам геополитики, катастроф, защиты от ядерной угрозы, но и экономических последствий реализации угроз в работе предприятий.
Несмотря на наличие огромных технологических и производственных мощностей, управлять ими становится все сложнее в силу их слабой структуризации и системного анализа критических факторов, влияющих на состояние безопасности. Неслучайно, что в 1992 г. в Рио – де-Жанейро была проведена конференция ООН по окружающей среде и устойчивому развитию. По результатам ее работы была подписана Декларация по окружающей среде и устойчивому развитию, содержащая 27 принципов управления экономической деятельностью и поведением в сфере окружающей среды для достижения глобальной устойчивости. Применительно к информационно-технологическому пространству можно выделить следующие опасности:
• недостаточное структурирование информационных ресурсов, что снижает эффективность их применения с точки зрения предсказуемости развития и управления;
• сокращение времени, необходимого для принятия решений и противодействия экономическим опасностям при развитости высокоскоростных электронных коммуникаций и транспортных средств, принятие решений в условиях стресса;
• технологические достижения обладают непредсказуемыми последствиями.
Таким образом, экономическая деятельность предприятий сопровождается значительной неопределенностью и большим числом разнообразных рисков. Менеджеры компаний ежедневно принимают решения о реализации продукции, организации работы производственных и иных подразделений фирмы. При этом внешние условия характеризуются изменениями на рынках, действиями конкурентов, сменой предпочтений потребителей, различными экологическими ограничениями и особенностями законодательства. В процессе своей деятельности компании преследуют различные цели (рост стоимости компании, увеличение прибыли и т.д.), которые могут частично противоречить друг другу, что усиливает степень риска при принятии решений. Более того, усложнение самих хозяйственных процессов делает критически важным учет и управление рисками в любой области бизнеса.
Целью данной дипломной работы является повышение эффективности и совершенствование работы системы защиты информации в Закрытом акционерном обществе Производственно-коммерческой фирме «СИМ» с использованием механизма управления рисками. В рамках реализации этой цели решаются следующие задачи:
• определение роли и места критерия безопасности информации при взаимодействии элементов в сфере управления рисками на предприятии;
• идентификация и комплексная оценка рисков в системе защиты информации рассматриваемого предприятия;
• разработка методики управления рисками в системе защиты информации рассматриваемого предприятия и ее организационная реализация.
Актуальность дипломной работы связана с преодолением разобщенности ведения аналитической работы в области защиты информации на рассматриваемом предприятии, введением новых методов, связанных с управлением рисками в масштабах организации. Исследование содержит методологические положения, системные разработки и рекомендации в области риск-менеджмента, до этого применяемые лишь в области компьютерной безопасности. С помощью представленной в работе методики система защиты информации рассматриваемого объекта выводиться на новый уровень, характеризуемый существенным улучшением качественных показателей управления рисками.
В ходе написания работы были использованы исследования известных российских и зарубежных авторов. К ним относятся работы Л.П.Гончаренко , В.И.Ярочкина . Эти исследования посвящены проблемам защиты информации и организации системы безопасности на предприятии. Работа В.Д. Могилевского рассматривает комплексные процессы в сложных системах и принципы кибернетики, получившие развитие в методологии систем. Из работ в сфере управления и оценки рисков и ведения аналитической работы следует выделить учебные пособия А.Г.Некрасова , Н.В. Хохлова , Э.О. Човушяна и М.А.Сидорова , представляющие собой базовые профессиональные курсы по риск-менеджменту. Данные работы охватывают целый комплекс вопросов управления рисками: финансирование рисков, интегральная оценка рисков, оценка и управление инвестиционными рисками и приводят примеры реализации программ управления рисками, практические рекомендации по организации риск-менеджмента на предприятии. Также было использовано известное исследование Нильс-Горана Ольве, Жан Роя, Магнус Веттера, посвященное концепции стратегических карт . Стратегические карты, построенные на основе системы сбалансированных показателей, дают полное представление о состоянии системы защиты информации компании, отражая не только ее финансовые возможности, но и ее отношения с потребителями, организацию внутренних бизнес-процессов, перспективы развития и обучения. Реализация данной концепции обеспечивает концентрацию усилий менеджеров на достижение успехов в будущем, а, следовательно, являются инструментом управленческого контроля.
Дипломная работа состоит из введения, двух глав, заключения, списка использованной литературы и двух приложений. Во введении отражены цели и задачи дипломной работы, проведен анализ использованной литературы. Глава первая раскрывает организацию аналитической работы с точки зрения приемлемых рисков, определяется понятие «критерий безопасности информации», их роль и место при взаимодействии компонентов системы защиты информации в управлении рисками. Проводиться выявление рисков в системе защиты информации, их классификация и количественная оценка с точки зрения вероятности их возникновения и финансовых потерь компании в целом от их реализации с помощью разработанного комплекса индексных показателей. Кроме того, производиться оценка надежности существующей на предприятии системы защиты.
Во второй главе дано описание системы управления рисками, ее принципов, целей и задач и сформулирована подробная поэтапная методика управления рисками на предприятии. Дается организационная реализация выстраиваемой системы с выделением новой штатной единицы, указаны функции и задачи риск-менеджера. Для оценки эффективности работы системы взята концепция стратегических карт, являющихся инструментом оперативного контроля.
В заключении подводятся общие итоги проведенного исследования.
Приложения содержат разработанную автором должностную инструкцию риск-менеджера (Приложение 1) и бланк стратегической карты (Приложение 2).
|