Финансовые методы управления информационными рисками предприятия

Варназов Л.А.
выпускник группы CSO-01
Школы IT-менеджмента
РАНХиГС при Президенте РФ.
Начальник группы по ИБ

Оценка информационных рисков (ИР) одна из наиболее сложных процедур. Как процесс анализа рисков не возможен без применения методических материалов и инструментальных средств, хотя для успешного внедрения данного процесса этого недостаточно; еще одна наиболее важная его составляющая — это «верхний» документ предприятия, который  регламентирует управление рисками. Как правило, такой документ является самодостаточным и затрагивать только риски информационной безопасности, но также может быть интегрирован с общий процесс управления рисками на предприятии.

Анализ ИР предприятия, можно проводить, как собственными силами, так и с участием внешних аудиторов. В течение всего процесса анализа ИР задействуются многие структурные подразделения предприятия такие как: подразделения, ведущие основные направления ее деятельности, подразделение управления информационной инфраструктурой, подразделение управления ИБ. Помимо этого, для успешного проведения анализа рисков и эффективного использования его результатов необходимо привлечь топ-менеджмент компании, обеспечивая, таким образом, взаимодействие между структурными подразделениями каждой группы.

Использование финансовых методов анализа информационных рисков для управления информационной безопасностью требует от организации достаточного уровня зрелости, на котором можно будет реализовать все необходимые в рамках анализа рисков процессы.

Управление ИР позволяет структурировать деятельность подразделения  информационной безопасности, общаться на одном языке с топ-менеджментом компании, оценить эффективность подразделения информационной безопасности, а также обосновывать решения по выбору конкретных технических и организационных мер защиты.

Если компания приняла решение о прохождении сертификации по стандарту ISO/IEC 27001:2005, то построение и реализация процесса анализа ИР является необходимым требованием для этого.

Помимо решения задач собственными силами, так же возможно привлекать сторонние организации для уменьшения потери связанных с информационными рисками.

Одним из таких способов является страхование предприятия от информационных рисков, несмотря на дополнительные расходы на страховые премии, данный вид пользуется популярностью у крупных финансовых учреждений.

Оценка страховой премии происходит на основе анализа следующих данных:

• прямая выгода, которая может быть обеспечена в результате получения информации;
• прямые убытки, которые могут быть нанесены в результате утраты информации;
• минимальная стоимость затрат на восстановление информации.

Заметим, что только владелец информации при страховании может продекларировать ее стоимость (т.е. не объективно определить, а именно продекларировать)Для согласования страховой суммы страховая компания вынуждена проводить аудит информационной безопасности для комплексной оценки. То есть речь идет об оценке информационных рисков.

Страховая премия составляет по разным оценкам от 1 до 10 %. Информация страхуется исходя из стоимости восстановления (данная практика распространена во всем мире). Такой вид страхования направлен на организации, имеющие достаточно большие объемы финансовой, экономической, технической и прочей информации, сложные информационные системы или осуществляющие часть своей деятельности с использованием автоматизированных систем, систем электронных расчетов или Интернет.

Основным документом, регулирующим отношения страхователя (владельца информационного ресурса) и страховщика, является страховой полис. Для страхователя важно продемонстрировать максимальную защищенность ИТ-ресурсов (например, предъявляя документы, подтверждающие соответствие действующим законам и стандартам), т.к. это заметно снижает затраты на страхование и сам аудит в целом. На сегодняшний день у каждого из российских страховщиков имеются свои методы оценки, которыми они пользуются при назначении страховой суммы и страховой премии.

При возрастании количества клиентов возникает необходимость в стандартизации методов и подходов к оценке рисков.

Объектом работы является система управления ИР организации, в которой основное место отводится финансовым методам.

Областью работы выступают методы финансового управления безопасностью, позволяющие определять затраты на обеспечение информационной безопасности компании для  минимизации убытков от потери информации.

Целью данной работы является разработка концептуальных положений и методологических подходов в использовании финансовых методов управления ИР организации.

Для достижения данной цели в работе были поставлены и решались следующие задачи:

• проанализировать имеющиеся теоретические концепции в области применения финансовых методов управления информацией организации;
• показать взаимосвязь уровня информатизации организации и финансов;
• дать определение понятию информационного риска и создать классификацию источников информационных рисков;
• создать методику оценки ИР организации;
• разработать рекомендации для бюджетирования затрат на управление ИР;
• предложить некоторые методические подходы для расчета экономической эффективности затрат на управление ИР.

В первой части работы рассмотрена интеграция двух различных направлений современного бизнеса:

• финансового риск - менеджмента (система управления финансовыми рисками) направленного на достижение баланса между получением прибыли и сокращения убытков предприятия;
• информатизации бизнеса – достижение конкурентных преимуществ, увеличение прибыли предприятия, сокращение издержек производства и рост эффективности использования основных средств за счёт создания единого корпоративного информационного пространства и применение таких средств как CRM, ERP-систем и  т.д.

В работе были проанализированы «точки сопряжения» этих направлений современного бизнеса, в ходе которого были идентифицированы пять областей взаимосвязи финансов и информационных технологий (ИТ), каждая из которых включает собственные теоретические концепции, методологию, инструментарий, индикаторы эффективности процессов и т.д.

Во второй части работы рассмотрена проблема оценки стоимости объектов информационных рисков. Необходимо отметить, что для такого важнейшего объекта как конфиденциальная информация методика оценки ИР фактически отсутствует. Проблема усугубляется еще тем обстоятельством, что стоимость коммерческой информации понятие крайне субъективное и зависит от конкретных условий, таких как характеристики потребляющих систем, особенностей источника и получатeля информации.

В третьей части работы произведены расчеты эффективности мероприятий по обеспечению информационной безопасности с использованием методик рассмотренных в работе.

Основными результатами работы являются:

• идентификация и определение областей взаимосвязи информационных технологий и финансов;
• классификация источников ИР;
• обоснование необходимости создания на предприятиях эффективной системы управления ИР;
• Определение финансовых методов управления ИР, включающих расчет вероятных денежных убытков от их реализации, оценку рисков, а также бюджетирование затрат на управление рисками и др.;
• для финансового управления ИР предприятия разработан методический комплекс;
• для определения экономического эффекта от управления ИР разработан алгоритм бюджетирования затрат.