Основа стратегической безопасности

Блок «анализ факторов и оценивание уровня риска» проводит идентификацию внешних и внутренних факторов риска, появление которых может быть обусловлено предлагаемым стратегическим решением, оценивает возможность их проявления, ранжирует их по актуальности и значимости для рассматриваемого периода времени и прогнозируемой хозяйственной ситуации, выявляет возможные цепочки НРС, формирует текущий профиль риска предприятия. Новая информация сопоставляется с содержанием протоколов предыдущих актов анализа риска, а обнаруженные отклонения анализируются и интерпретируются.

Конкретный состав и порядок процедур работы блока «анализ факторов и оценивание уровня риска» могут варьироваться в зависимости от конкретной задачи, реального состояния предприятия и среды функционирования, момента проведения аналитических работ. Тем не менее, можно выделить некоторую типовую последовательность этапов.

На первом этапе создается список потенциально возможных нежелательных финальных событий, к которым может привести реализация пробного стратегического решения на данном предприятии. Для этого списка формируется набор количественных и качественных характеристик цепочек НРС, приводящих к нежелательным финальным событиям.

На втором этапе определяется набор исходных ситуаций – факторов риска и комбинаций факторов риска (профиль риска), возможность реализации которых будет приниматься в расчет при дальнейшем анализе, и описывается степень возможности проявления факторов. Фактически, на этом этапе выбирается математическая модель описания неопределенности ситуации принятия решения.

На третьем этапе на основе ранее выбранных количественных и качественных характеристик цепочек НРС определяются показатели уровня риска.

На четвертом этапе для каждой исходной ситуации определяются цепочки НРС, которые могут быть следствием данной исходной ситуации принятия решения или проявления некоторого фактора риска, а затем оцениваются и интерпретируются полученные значения выбранных показателей риска данного пробного решения.

Отметим, что первые два этапа  могут выполняться при весьма различных уровнях методической и программно-алгоритмической обеспеченности – от исследования «вручную» каждой исходной ситуации группой экспертов до создания математической модели или экспертной системы, автоматизирующей значительную часть работы.

Итак, работы первого и второго  этапов связаны с углубленным  изучением пробного решения, информации о состоянии предприятия и окружающей экономической среды, а также прогнозной и иной релевантной информации. Результатом работ третьего и четвертого этапов должны стать конкретные суждения о наиболее рискованных «критических» элементах пробного решения и общая характеристика изменений в состоянии предприятия в случае принятия пробного решения. Арсенал используемых методов сосредоточен в базах данных блока «нормативно-справочная информация», а состав методик и процедур очередного акта анализа и управления задается блоком «координация процессов управления риском».

На получении характеристик  риска пробного решения собственно работа по анализу риска заканчивается. Теперь на основании разработанных моделей и показателей, значения которых определены при анализе риска, можно ставить и решать задачу о поиске адекватных мер управления уровнем риска. Эта задача реализуется в блоке «разработка управляющих воздействий», который готовит программу «антирисковых» мероприятий по предотвращению нежелательного развития событий или компенсации их отрицательных последствий.

Пробное решение вместе с программой антирисковых мероприятий в совокупности с текущей информацией вновь  подвергается анализу и оценке уровня риска и в случае достижения желаемого эффекта – уменьшения уровня риска до приемлемых значений – решение, дополненное «антирисковой» программой, рекомендуется руководству предприятия для принятия и реализации. В ином случае программа пересматривается до тех пор, пока не будет обеспечен приемлемый уровень риска. Разумеется, возможны случаи, когда не удается подобрать такую антирисковую программу, которая уменьшила бы уровень риска до приемлемых пределов. В таком случае следует пересмотреть, а может быть, и отклонить первоначально предложенное пробное решение.

Результат разработки управляющих  воздействий – антирисковых мероприятий – оформляют по некоторым заранее установленным правилам в виде «протокола риска», куда, кроме оценки финального уровня риска, записывают всю сопутствующую информацию, рассматривавшуюся в ходе аналитической работы. Протокол риска помещают в «архив протоколов риска» и передают руководству предприятия на утверждение.

Следует заметить, что при планировании мероприятий по уменьшению риска в процессе воплощения уже принятого решения (например, реализации инвестиционного проекта) должно быть предусмотрено повторение аналогичного комплекса работ на всех более или менее ответственных стадиях реализации решения, например в узлах сетевого графика внедрения инвестиционного проекта.

Очевидно, что программой мероприятий  по снижению риска должны быть задействованы  ресурсы, соответствующие уровню анализируемого пробного решения. Так, при подготовке тактических и оперативных решений выбор средств уменьшения риска целесообразно начинать с выяснения, может ли тот или иной фактор риска быть предметом страхования. Если риск подлежит страхованию, то готовятся материалы для заключения страховых договоров. При нестрахуемом риске вначале изучается возможность создания собственных резервных фондов и т.д.

Информационная база для выполнения всех названных выше функций сосредоточена в базах данных блока «нормативно-справочная информация» (НСИ). В состав блока входят несколько баз данных: архив результатов мониторинга; каталог факторов риска; каталог профилей риска данного предприятия, включающий типовые для данного предприятия виды профилей; банк методов, моделей и инструментальных программных средств анализа риска; банк методов и алгоритмов управления риском; архив протоколов риска; прогнозная информация.

Основная часть информации, включаемой в состав указанных баз данных и знаний, формируется заблаговременно, а затем в ходе работы постоянно  пополняется и актуализируется. Разработка требований к структуре и содержанию каждой из упомянутых баз данных – самостоятельная и трудоемкая задача. Ограничимся здесь комментарием, касающимся архива протоколов риска.

После завершения очередного акта анализа  риска и разработки управляющих  воздействий результаты оценок начального и финального уровней риска, выбранные антирисковые мероприятия и обоснование выбора, а также исходные данные и другая использованная информация отражаются в документе «Протокол риска». Оформленные и подписанные исполнителями-аналитиками протоколы риска передаются руководству предприятия, сохраняются в архиве протоколов и обязательно принимаются во внимание при последующих актах анализа, пересмотре принятых решений и иных случаях переоценки риска. При этом протоколы прошлых периодов не уничтожаются и не корректируются, так как содержат важную информацию для оценки динамики изменения уровня риска и эффективности применяемых методик анализа риска.

Вероятно, наиболее эффективно данную функцию можно реализовать путем выделения в системе управления предприятием конкретной организационной единицы. Вместе с тем не обязательно ассоциировать ее со структурным подразделением. Эту роль может выполнять отдельный сотрудник – в современной терминологии менеджер по управлению риском или специализированная консультационная фирма, предоставляющая услуги промышленным предприятиям по анализу риска. В любом случае эта деятельность должна быть подкреплена соответствующими регламентами и организационно-распорядительными документами, определяющими для данного предприятия правила и периодичность проведения анализа риска, способ фиксации, хранения и повторного использования результатов мониторинга и анализа риска, порядок представления руководству антирисковых рекомендаций, контроля за их исполнением в случае их одобрения и т.п.

Пример организационной структуры  подразделения, реализующего на производственном предприятии функцию управления риском, представлен на рис. 6, где одинарными стрелками показаны командные связи между структурными элементами, а двойными – информационные. Основные исполнительные группы – мониторинга предприятия и среды его функционирования, аналитиков риска, планирования антирисковых мероприятий и управления в кризисных ситуациях – задействованы в процессе управления риском и связаны информационными потоками. Информационное обеспечение подсистемы поддерживается «службой администрирования и актуализации баз данных НСИ». Достаточный уровень методической и инструментальной базы обеспечивает «группа перспективного развития», которая, выявляя или прогнозируя потребности, заказывает или разрабатывает своими силами методики, модели, программно-алгоритмические и информационные средства.

Ядром подразделения является «служба  координации», которая осуществляет планирование и организацию всей работы. Служба координации выполняет следующий комплекс задач:

- поддержание взаимосвязи с руководством предприятия и другими подсистемами управления предприятием;

- определение периодичности проведения  работ по контролю риска функционирования предприятия;

- определение состава работ  очередного цикла контроля и  управления (выбор «типа» анализа риска, методик, способов фиксации результатов и т.п.);

- определение момента начала  работ по анализу риска пробного  решения;

- организация взаимодействия исполнительных  и информационных групп. 

 

Рис. 6. Организация управления риском на производственном предприятии

 

Установление приемлемого  уровня риска для данного периода  времени, для рассматриваемого пробного решения и т.п., а также оценка (утверждение) приемлемости достигнутого уровня риска для данного пробного решения являются прерогативой руководства предприятия или администратора соответствующей подсистемы, подготовившей предложение. Роль блока координации в этом случае сводится к обеспечению контроля за соблюдением установленных значений приемлемого уровня риска.

Руководству предприятия  вообще принадлежит ключевая роль в  решении проблем управления риском, так как оно утверждает программы мероприятий по снижению риска, принимает решения о начале их реализации в критических ситуациях, принимает предложенные пробные решения вместе с антирисковыми программами либо отвергает их. Заметим в связи с этим, что непосредственная реализация мероприятий по управлению риском зачастую противоречит деятельности основных производственных и управленческих подразделений предприятия, ухудшает их отчетные показатели, так как требует затрат, не приносящих сиюминутных доходов, или омертвления части капитала при создании страховых резервов. Поэтому крайне важно, чтобы окончательные антирисковые решения принимались на высшем уровне управления, где стоящие перед предприятием глобальные цели, связанные с обретением стабильности и устойчивости работы, улучшением финансового положения и ростом масштабов хозяйственной деятельности, не заслоняются промежуточными, «местническими» целями отдельных подразделений и их управляющих.

Разумеется, смягчение  последствий риска потребует  ощутимых затрат на исследование риска (выявление факторов риска, оценка возможности их проявления и т.п.) и заблаговременное принятие мер защиты от риска, т.е. на организацию управления риском на предприятии. Традиционные схемы принятия решений не учитывают затраты на компенсацию риска, которые образуются из двух укрупненных статей: на оценку риска и на реализацию управления риском (компенсирующих мероприятий). Вряд ли всякому предприятию под силу внедрить систему управления риском в том полном объеме, который здесь представлен. Однако это и не всегда необходимо. Во многих случаях достаточно собственных усилий работников предприятия и услуг специализированных консультационных фирм.

Приведенные здесь структуризация и схема процессов управления риском в ходе производственной деятельности позволяют, ориентируясь на реальные условия  функционирования конкретного предприятия, планировать соответствующие организационные мероприятия, калькулировать необходимые затраты.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 3. ОСНОВЫ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Информационные технологии прочно вошли в бизнес, образование, производство, открыв человеку небывалые возможности в достижении высоких скоростей получения и обработки информации, автоматизации производственных, управленческих и иных процессов. Глобальное проникновение информационных технологий в нашу жизнь, постепенный переход к электронным способам ведения бизнеса ставят перед участниками рынка новые задачи по обеспечению информационной безопасности. Всеобщая информатизация сопровождается ростом числа компьютерных преступлений и, как следствие, материальных потерь. Согласно отчетам МВД России за последние три года количество правонарушений в области информационных технологий выросло более чем в 63 раза, а число инцидентов, связанных с несанкционированным доступом к компьютерной информации, увеличилось в 30 раз. Поэтому информационная безопасность стала обязательным условием ведения современного бизнеса.

Информационная безопасность в каждой конкретной компании основывается на принятой политике безопасности, то есть на наборе норм, правил, практических приемов, определяющих порядок передачи и преобразования защищаемой информации. Политика безопасности разрабатывается исходя из определенной модели нарушителя, где конкретизируется кто, какими средствами и с использованием каких знаний может реализовать угрозы и нанести ущерб объекту.

§ 1. Угрозы безопасности автоматизированных систем

 

Основными объектами  обеспечения информационной безопасности в информационных и телекоммуникационных системах являются:

• информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;
• средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
• технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
• помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.