Выдержка из текста работы
В процессе работы изучены понятия и классификации рисков, а также их влияние на организацию в целом. Получены навыки идентификации, планирования и оценки рисков информационной системы в организации и способы их устранения. В качестве примера был выбран фитнес-клуб ООО «Элит-фитнес». Так же закреплены умения работы в среде Project Expert.
ВВЕДЕНИЕ
Целью работы является: изучение классификации рисков и получение навыков идентификации, планирования и оценки рисков информационной системы в организации, а также принятия мер для устранения рисков.
Задачи:
.Использовать ранее изученную литературу по курсу «Информационная безопасность»
.Идентифицировать возможные риски, классифицировать их, а так же оценить и принять решение для их минимизации.
В данной лабораторной работе рассматривается бизнес-план фитнес-клуба ООО "Элит-фитнес".
При планировании бюджета компании, было решено выделить 5% денежных средств (100 000 рублей) на обеспечение информационных технологий. На выделенные средства было куплено программное обеспечение для автоматизации работы фитнес-клуба, в результате чего рабочее место оператора ПК было сокращено. Ежемесячная заработная плата оператора составляла 20 000 руб.
В итоге, срок окупаемости проекта сократился с 2 лет 12 месяцев до 2 лет 7 месяцев. Изображение графика точки безубыточности представлено на рисунке 1.
Рисунок 1 — Точка безубыточности проекта
Риск понимается как вероятность (угроза) потери фирмой части своих ресурсов, недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности.
1Идентификация рисков
1.1Риск утери информации о клиентах
риск информационный потеря безубыточность
Так как внедрено программное обеспечение, в котором хранится вся информация о клиентах и данных компании, имеется риск потери этих данных, несанкционированный доступ к ним, вследствие чего возможна кража конфиденциальной информации о клиентах, а так же блокировка абонементов, что понесет существенные убытки компании.
Данный риск относится к информационным рискам. В результате воздействия этого события на обрабатываемую, хранящуюся или передаваемую информацию может произойти ее искажение, подделка, утечка, хищение, потеря, т.е. собственнику, владельцу информационных ресурсов может быть нанесен ущерб.
1.2Риск отказа работы ПО на длительное время
Так же имеет место быть риск отказа работы ПО, что несет за собой временное отсутствие доступа ко всем данным, в том числе и бухгалтерским. В результате этого бухгалтер не сможет совершать никаких операций. Например, для бухгалтера будет недоступна подача данных в налоговую инспекцию, что повлечет за собой начисления штрафных санкции для организации, а так же может привести к лишению лицензии фитнес-клуба.
Так же, в результате воздействия этого риска, бухгалтер не сможет начислить сотрудникам заработную плату.
Нестабильные выплаты заработной платы портят репутацию компании и ведут к увольнению сотрудников.
Данный риск относится к производственным рискам, связанным с убытками от остановки производства или коммерческой деятельности либо предоставления услуг в сфере информатизации вследствие воздействия различных факторов, прежде всего, связанных с утратой или повреждением информации.
2Оценка рисков
В данной работе оценка рисков производится по качественному и количественному методам.
2.1Риск утери информации о клиентах
Сначала необходимо определить значения шкал [1]. Значения субъективной шкалы вероятностей происшествия равно C — вероятность события — около 0,5.
Значения субъективной шкалы серьезности последствий равно Mo (Moderate — умеренный, средний) — происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важных задач. По матрице результатов оценивания рисков строится график, который изображен на рисунке 2.
Рисунок 2 — Матрица результатов оценивания риска утери информации о клиентах
Общая стоимость компании составляет 2 000 000 руб. Риск утери данных может нанести ущерб с фактором воздействия 50%. Вероятность происшествия — раз в 5 лет, т.е. 0,5.
Расчет цены потерь (Q) производится по формуле 1.
= K * С,(1)
К — Общая стоимость компании
С — фактор воздействия риска= 2 000 000 * 0,5 = 1 000 000 рублей.
Величина риска (R) в данной ситуации зависит от двух факторов и считается по формуле 2.
= P * Q(2)
Р — Вероятность наступления риска= 0,5 * 1 000 000 = 500 000 рублей, т.е. существует риск потери такой суммы ежегодно.
2.2Риск потери информации в результате отказа работы ПО на длительное время
Значения субъективной шкалы вероятностей происшествия равно B — событие случается редко.
Значения субъективной шкалы серьезности последствий равно C (Critical — критический) — происшествие приводит к невозможности решения критически важных задач.
По матрице результатов оценивания рисков строится график, который изображен на рисунке 3.
Рисунок 3 — Матрица результатов оценивания риска отказа работы ПО на длительный срок
Общая стоимость компании составляет 2 000 000 руб. Риск утери данных может нанести ущерб с фактором воздействия 95%. Вероятность происшествия — раз в 10 лет, т.е. 0,1.
Величина риска в данной ситуации зависит от двух факторов и считается по формуле 2.= 0,1 * 1 900 000 = 190 000 рублей, т.е. существует риск потери такой суммы ежегодно.
3Рекомендации по минимизации рисков
Планирование рисков подразумевает их уменьшение за счет принятия некоторых мер, например, грамотное управление паролями снижает риск несанкционированного доступа (НСД).
Для минимизации риска отказа ПО, необходима постоянная его техническая поддержка, которая производится компанией на аутсорсинге.
Если не удается уклониться от риска или эффективно его уменьшить, можно принять некоторые меры страховки, например, заключить договор с поставщиками ПО о сопровождении и компенсации ущерба, вызванного нештатными ситуациями.
Заключение
В результате выполнения работы были изучены классификации рисков и получены навыки идентификации, планирования и оценки рисков информационной системы в организации, а также принятия мер для устранения рисков. Закреплены умения работы в среде Project Expert.
В ходе работы использовалась ранее изученную литература по курсу «Информационная безопасность».
Проанализировано изменение сроков окупаемости и точки безубыточности проекта после внедрения программного обеспечения и информационных технологий.
Список использованных источников
1.Теоретические основы компьютерной безопасности : Практикум по курсу / Абденов А.Ж. — Новосибирск : Издательство НГТУ, 2007. — 32 с.
2.Методика оценки риска для информационных систем на основе экспертных оценок : учебник учебное пособие / А.Ж. Абденов, С.А. Белкин, Р.Н. Заркумова-Райхель. — Новосибирск: Изд-во НГТУ, 2014. — 71 с.
.Информационный менеджмент : учебник / Преображенская Т.В. — 2-е изд., испр. и доп. — Новосибирск : Издательство НГТУ, 2011. — 244 с.
.Инвестиционный анализ : Методические указания для практических занятий для студентов всех форм обучения по направлению подготовки «Менеджмент» / Составитель: канд. техн. наук, доцент В.А. Яцко — Новосибирск: Издательство НГТУ, 2014. — 24 с.
.ГОСТы по СМК 9000, 9001, 9004.
6.—ГОСТ 7.32-2001. Отчет о научно-исследовательской работе : структура и правила оформления. Взамен ГОСТ 7.32-91. Введ. 22.05.2001 <#»justify»>ПРИЛОЖЕНИЕ
Таблица А1 — Матрица результатов оценивания рисков по двум факторам