Понятие информационных рисков и причины их возникновения

Информационный риск и его понятие

Общепринятое толкование категории «информационный риск» пока не сложилось. В это понятие отдельные специалисты вкладывают следующие смыслы: информационные риски - это возможные события, которые случайно удаляют, искажают информацию, нарушают её конфиденциальность и доступность. То есть понятие информационных рисков используется в качестве синонима понятия риска безопасности. Управление этим информационным риском связано с защитой информации. Причем большинство авторов такого трактования информационных рисков в качестве защиты информации понимают в основном защиту от преступных действий.

Некоторые эксперты сужают еще больше понятие информационных рисков. Они считают, что информационный риск является угрозой только для компьютерных систем безопасности информации. Сторонники такого подхода понимания категории «информационных рисков» обычно являются специалистами по защите информации.

Некоторые работы рассматривают только информационные средства, исключающие такой ключевой элемент информационных систем как специалист по информационной безопасности. Практически нет подходов к пониманию понятия «информационный риск», в которых можно рассматривать как возможные нежелательные события, приводящие к ухудшению достоверности информации, полноте и актуальности на этапе получения информации и внедрения в информационную систему. Также в понятие информационных рисков не входят риски, возникающие из-за возможного наличия ошибок в модели, алгоритме обработки информации и программах, применяемых для разработки управленческих решений.

Не всегда представление об информационном риске связано с возможностью ухудшения качества информации вследствие сбоев и отсутствия программных или технологических средств. Все представленные подходы для понимания термина «информационный риск» объединяют два фактора: недостаток комплексного систематического подхода к проблеме и ясности понимания окончательного результата воздействия информационного риска на предприятие.

Еще одна группа экспертов рассматривает риски информационных технологий как категорию экономического характера. Они осознают информационный риск как возможность возникновения убытков, недополучения прибыли, других негативных последствий для бизнеса. Для примера одного такого подхода может быть следующая трактовка.

Недостаток таких определений заключается в нечетком указании объектов, связанных с возможными событиями, которые могут привести к ущербу. Приведенное определение исключает риски, связанные с использованием традиционного документооборота, с действием преступников на информационный ресурс методами шпионажа и диверсии.

Информационная система, ее сущность

Сущность процесса информационного обеспечения состоит в том, чтобы получить, обработать, хранить и передавать необходимую информацию.

К информационным ресурсам относятся идентификационные данные на машинных носителях, бумажные документы, базы данных, файлы и сообщения электронного устройства. То есть информационные объекты относятся ко всем специалистам, техническим устройствам, другим материальным средствам и информационным ресурсам предприятий, задействованным в информационном процессе.

Сущность информационных рисков заключается в случайном происхождении, которое влечет негативные последствия для информационной системы. Действуя на информационные системы, риски, в конце концов, приводят к потерям предприятий. В этом и состоит экономическая сущность понятия «информационный риск».

В соответствии с приведенными рассуждениями, определение информационных рисков можно представить в следующей форме.

Показатели качества информации

Качество информации характеризуется следующим образом:

• достоверность;
• актуальность;
• конфиденциальность;
• полнота;
• своевременность получения;
• форма представления;
• избыточность.

В понятие «информационная система» входят все ресурсы компании, включая сотрудников, которых используют для того, чтобы получить, хранить, обрабатывать, передавать и применять информацию. Таким образом, понятие «информационный риск» включает все возможные ситуации, способные влиять на любые информационные ресурсы и вызвать ущерб и убытки предприятий.

Такой подход в понимании сущности информационной рисковой ситуации позволяет руководителю компании рассматривать вопрос противодействия риску как системной проблеме. Решение может быть связано с привлечением всех специалистов высшего уровня управления с непосредственным участием первых лиц предприятий.

Что касается информационных рисков, то понятие «информационный риск» может быть трактовано и более широко. Показано выше, что определение информационных рисков не относится к негативным явлениям, непосредственно связанным с информационными системами предприятия. Это нарушения авторского права на использование, распространение интеллектуальной продукции, распространение дезинформации о предприятиях, незаконные использования торговых или производственных марок. То есть информационные риски относятся и к незаконному использованию информации или искажению информации, относящейся к предприятиям, однако возникающие внешне и непосредственно оказывающие влияние на внешнее пространство, а также непосредственно оказывающие влияние на информационное обеспечение. В связи с изменениями внешней среды бизнес-процессам предприятия наносится ущерб в результате изменения внешнего окружения.

Таким образом, информационный риск представляет собой возможность наступления случайного события, которое приводит к нарушению функционирования, ухудшению качества информации информационной системы предприятия (ИСП) и неправомерному использованию или распространению информации во внешнем мире, что влечет за собой ущерб предприятию.

Причины и факторы возникновения информационных рисков

Информационные риски вызываются внутренними и внешними факторами. Если внутренние причины информационных рисков возникают внутри предприятия, такой риск распространяется на внутренние. Внешние информационные риски считаются рисками, причины которых находятся вне предприятия.

Если придерживаться определений, приведенных в словарях толкования, можно делать следующие выводы относительно понятия риска:

• причиной риска служит явление (событие), вызывающее, обуславливающее риск;
• фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

При рассмотрении соотношения понятий «причина» и «фактор», необходимо отметить, что причина является внутренним источником активности процесса или объекта, порождающего риск. Факторы же считаются обстоятельствами, способствующими реализации риска.

Факторы информационного риска меньше связаны с источниками, а не с причинами риска. Они отражают состояние ИСП, состояние системы противодействия информационной опасности.

Понятие «фактор риска» близко к понятию «уязвимости системы», которое используют специалисты по защите данных. Для того чтобы произошло рисковое событие, необходимо одновременно наличие причин и факторов риска. Информационные риски воздействуют на один или несколько объектов информационных систем. Реакция на воздействие опасности может быть направлена внешней средой или внутренними объектами.​​​​​​​

При воздействии какого-либо события на внешнюю среду несанкционированно передаются конфиденциальные данные. Внутренние реакции на влияние риска могут быть направлены на иные процессы бизнеса. Если отрицательное воздействие не будет блокироваться, то распространение негативно влияет на процессы бизнеса.

Пути причинения ущерба от информационного риска

Есть три способа причинить предприятию ущерб из-за реализации информационных рисков.

Ущерб мог быть вызван использованием управляющей информации в процессе бизнеса, качество которой из-за воздействия информационных рисков снизилось до недопустимого уровня.

Во втором случае компании несут потери в результате прямого влияния информационных опасностей на объекты информационных систем, вследствие чего объекты оказываются в нерабочем состоянии. Эти риски принято называть прямыми информационными рисками. Для того чтобы вернуть их рабочую силу, предприятия вынуждены тратить ресурсы на их восстановление.

Третий способ причинить ущерб предприятию из-за реализации информационного риска - изменение окружающей среды, что влияет на эффективность функционирования предприятия.

Большой вред предприятию наносится при попадании во внешние среды сведений об имеющихся информационных опасностях, связанных с предприятием. В ряде случаев деловой репутации предприятия наносится такой вред, что может стать причиной банкротства предприятия.​​​​​​​

Информационные риски, наносящие ущерб предприятиям, являющиеся следствием действия рисков в бизнес-процессах предприятия или внешней среде, называются косвенными информационными рисками.

Поэтому информационный риск воздействует на объекты информационных коммуникаций, что приводит к изменению внешнего и внутреннего условий деятельности предприятия. В результате таких изменений предприятие испытывает убытки и наносит себе определенный вред. Внешний информационный риск может непосредственно влиять на внешнюю среду, поэтому внешний мир непосредственно влияет на процессы бизнеса предприятия.