ВВЕДЕНИЕ Информация является активом, который, подобно ... деловым активам, имеет большое значение ...

реклама
ВВЕДЕНИЕ
Информация является активом, который, подобно другим важным
деловым активам, имеет большое значение для бизнеса организации и,
следовательно, должен быть адекватно защищен. Это особенно важно в
условиях растущей взаимосвязанности деловой среды. В результате этого
усиления взаимосвязанности в настоящее время информация подвергается всё
большему числу и разнообразию угроз и уязвимостей [3].
Информация может существовать в различных видах. Она может быть
напечатана или написана на бумаге, храниться в электронном виде,
передаваться по почте или электронными средствами, отображаться на плёнке
или выдаваться в разговоре. Какую бы форму ни принимала информация или
средства, которыми она передаётся или на которых она хранится, она всегда
должна быть соответствующим образом защищена
Информационная безопасность есть защита информации от множества
угроз для обеспечения непрерывности делового процесса, минимизации
делового риска и максимальной прибыли от инвестированного капитала и
возможностей деловой деятельности.
Информационная безопасность достигается посредством реализации
соответствующего набора мер контроля, включая политики, процедуры,
процессы, организационные структуры и функции программного и
аппаратного обеспечения. Эти меры контроля должны быть определены,
реализованы, проверены, пересмотрены и, при необходимости, улучшены для
соответствия специфическим целям обеспечения безопасности и деловой
деятельности. Это должно осуществляться совместно с другими процессами
управления деловой деятельностью.
Информация и процессы, системы и сети её обеспечения являются
важными корпоративными активами. Определение, достижение, поддержание
и повышение информационной безопасности могут быть весьма
существенными для поддержания конкурентного преимущества движения
денежной наличности, рентабельности, соблюдения правовых норм и
коммерческого престижа.
Организации и их информационные системы и сети сталкиваются с
угрозой безопасности от множества источников, включая мошенничество с
помощью компьютера, шпионаж, саботаж, вандализм, пожар или наводнения.
Причины ущерба, такие как злоумышленный код, компьютерное хакерство и
атаки «отказ в обслуживании» стали более распространёнными,
амбициозными и сложными.
Информационная безопасность важна для деловой деятельности, как в
общественном, так и в частном секторе в смысле защиты критичных
инфраструктур. В обоих секторах информационная безопасность
функционирует как нечто, дающее возможность что-либо сделать, например,
для получения электронной формы правления или электронного бизнеса, а
также для избежания или снижения соответствующих рисков. Взаимосвязь
между общественными и частными сетями и совместное использование
информационных ресурсов повышают трудность в установлении контроля
доступа. Тенденция к использованию распределённой обработки данных
также понижает эффективность центрального контроля специалистами.
Многие информационные системы незащищены конструктивно.
Безопасность, которая может быть установлена техническими средствами,
ограничена и должна поддерживаться соответствующим менеджментом и
процедурами. Для определения необходимых мер контроля требуется
тщательное планирование и внимание к деталям. Управление
информационной безопасностью требует, как минимум, участия всех
работников организации. Для этого также может потребоваться участие
акционеров, поставщиков, третьих сторон, заказчиков и других внешних
сторон. Может также потребоваться консультация специалиста из
посторонних организаций.
Важно, чтобы организация определила свои требования безопасности.
Существуют три основных источника требований безопасности:
1) Один источник выведен из оценки рисков для организации с учётом
общей стратегии и целей деловой деятельности организации. Посредством
оценки риска определяются угрозы для активов, оцениваются уязвимость и
вероятность появления этих угроз, и их потенциальное воздействие.
2).Другим источником являются юридические, нормативные,
регулятивные и договорные требования, которым должны удовлетворять
организация, её торговые партнёры, подрядчики и поставщики услуг, а также
их социально-культурная среда.
3).Дальнейшим источником является определённый набор принципов,
целей и бизнес-требований для обработки информации, которые организация
разработала для поддержки своих операций.
1 Информационный актив банковской системы РК
Современная банковская система Казахстана сложилась в результате
различных преобразований, проведенных в рамках банковской реформы,
которая проводится в нашей республике с 1987 года.
Переходный период, в течение которого сосуществовали старые и новые
банковские структуры, оказался сравнительно непродолжительным. В
результате в Республике сложилась двухуровневая банковская система,
первый уровень которой представляет Национальный банк, а второй или
нижний уровень представляют государственные, коммерческие, совместные и
иностранные банки. Реформирование банковской системы Казахстана
проходило практически в три этапа.
На первом этапе в условии существования СССР была проведена
реорганизация государственных отраслевых специализированных банков
передачей части функций центра республиканские подразделения
соответствующих банков, начато создание первых коммерческих банков и
сделаны начальные шаги по преданию Госбанку отдельных функций
центрального банка.
Второй этап характеризуется постепенным переходом Национального
банка к выполнению ряда функций центрального банка в рамках
существования рублевой зоны, экстенсивным формированием и развитием
коммерческих банков, началом формирования национальной банковской
нормативно-правовой базы.
На третьем этапе в связи с введение национальной валюты на
Национальный банк была возложена полная ответственность за
функционирование денежно-кредитной сферы, введение классических
принципов его взаимоотношений с бюджетом и банками, укрепление системы
регулирования деятельности банков.
Следует, что в начале третьего этапа состояние банковской системы
страны по существу не отвечало в полной мере объективно предъявляемым к
ним требованиям. Это относилось как к Национальному банку, который к тому
времени не имел традиций и опыта в части выполнения функций центрального
банка, так и к банкам второго уровня которые не способны были в
необходимых объемах осуществлять кредитование экономики за счет
собственных и самостоятельно мобилизуемых финансовых ресурсов и
выполнять весь комплекс банковских услуг.
В этих условиях Национальным банком была разработана и утверждена
президентом республики конкретная программа реформирования банковской
системы в Казахстане на 1995 год. Программа была скоординирована с
мероприятиями правительства по углублению реформ и выходу из
экономического кризиса, а также учитывала рекомендации международных
финансовых организаций. В ходе выполнения этой программы были получены
определенные позитивные результаты:
1).достигнута необходимая координация деятельности Национального
банка, Министерства финансов в проведении финансовой политики
государства;
2).завершено внедрение всего спектра инструментов денежнокредитного и валютного регулирования, характерных для классических
центральных банков;
3).разработаны следующие механизмы системы надзора и
регулирование деятельности банков второго уровня;
4).создана нормативная база, начата обработка системы валютного
регулирования и контроля;
5).приняты меры по повышению уровня и оперативности анализа
макроэкономических процессов, их прогнозирования и использования
принятия решения;
6).проведена значительная работа по достижению адекватности
используемой системы бухгалтерского учета Национального банка и банка
второго уровня международным стандартами потребностям рыночной
экономики;
7).сократилась количество банков, прямо нарушающих установленные
экономические нормативы и права предприятий и физических лиц - клиентов
банков;
8) повысилось качество механизмов аккумуляции банками вто-рого
уровня финансовых ресурсов, а также уровень оценки проектов при
кредитовании хозяйствующих субъектов и степени риска возвратности
кредитов;
9).наметились положительные тенденции в повышении уровня
капитализации банков, позволяющий им самостоятельно осуществлять
финансирование крупных проектов на среднесрочной и долгосрочной основе;
10) активизирована работа по повышению профессиональной
подготовки персонала[4].
1.1 Информационные ресурсы
Термин "информация" происходит от латинского слова "informatio",
что означает сведения, разъяснения, изложение. Несмотря на широкое
распространение этого термина, понятие информации является одним из
самых дискуссионных в науке[5]. В настоящее время наука пытается найти
общие свойства и закономерности, присущие многогранному понятию
информация, но пока это понятие во многом остается интуитивным и получает
различные смысловые наполнения в различных отраслях человеческой
деятельности:
В обиходе информацией называют любые данные или сведения, которые
кого-либо интересуют. Например, сообщение о каких-либо событиях, о чьейлибо деятельности и т.п.
"Информировать" в этом смысле означает
"сообщить нечто, неизвестное раньше";
– в технике под информацией понимают сообщения, передаваемые в
форме знаков или сигналов;
– в кибернетике под информацией понимает ту часть знаний, которая
используется для ориентирования, активного действия, управления, т.е. в
целях сохранения, совершенствования, развития системы (Н. Винер).
Клод Шеннон, американский учёный, заложивший основы теории
информации — науки, изучающей процессы, связанные с передачей, приёмом,
преобразованием и хранением информации, — рассматривает информацию
как снятую неопределенность наших знаний о чем-то.
Современное научное представление об информации очень точно
сформулировал Норберт Винер, "отец" кибернетики. А именно:
Информация — это обозначение содержания, полученного из внешнего
мира в процессе нашего приспособления к нему и приспособления к нему
наших чувств.
Люди обмениваются информацией в форме сообщений. Сообщение —
это форма представления информации в виде речи, текстов, жестов, взглядов,
изображений, цифровых данных, графиков, таблиц и т.п.
Одно и то же информационное сообщение (статья в газете, объявление,
письмо, телеграмма, справка, рассказ, чертёж, радиопередача и т.п.) может
содержать разное количество информации для разных людей — в зависимости
от их предшествующих знаний, от уровня понимания этого сообщения и
интереса к нему.
Так, сообщение, составленное на японском языке, не несёт никакой
новой информации человеку, не знающему этого языка, но может быть
высокоинформативным для человека, владеющего японским. Никакой новой
информации не содержит и сообщение, изложенное на знакомом языке, если
его содержание непонятно или уже известно.
Информация есть характеристика не сообщения, а соотношения между
сообщением и его потребителем. Без наличия потребителя, хотя бы
потенциального, говорить об информации бессмысленно.
В случаях, когда говорят об автоматизированной работе с информацией
посредством каких-либо технических устройств, обычно в первую очередь
интересуются не содержанием сообщения, а тем, сколько символов это
сообщение содержит.
Применительно к компьютерной обработке данных под информацией
понимают некоторую последовательность символических обозначений (букв,
цифр, закодированных графических образов и звуков и т.п.), несущую
смысловую нагрузку и представленную в понятном компьютеру виде. Каждый
новый символ в такой последовательности символов увеличивает
информационный объём сообщения. На рисунке 1.1 показан простой пример
информации.
Информационные ресурсы - это организованная совокупность
документированной информации, включающая базы данных и знаний,
массивы[6]. К информационным ресурсам относятся печатные, рукописные,
электронные издания, которые содержат нормативные и справочные
документы по законодательству, политической, социальной сфере, отраслям
производства и т.д.
Рисунок 1.1-Информация
Информационные ресурсы делятся на:
– государственные (информационные ресурсы государственных
субъектов хозяйствования, которые формируются в результате их
деятельности; информационные ресурсы органов власти и управления всех
уровней)
–
негосударственные
(те
ресурсы,
которые
создаются
негосударственными образованьями в интересах жизнедеятельности
общества) Существует несколько видов доступа к информационным ресурсам:
– работа с базами и банками данных, машиночитаемыми массивами и
электронными документами;
– поиск информации в глобальных сетях, размещение информа-ции по
заказам потребителей
– предоставление информации из открытых информационных ресурсов
по запросам юридических лиц и граждан
Для обработки информации и предоставления пользователю соз-даются
автоматизированные информационные системы работы с информационными
ресурсами. Они подразделяются на 5 классов:
1) автоматизированные системы информационных ресурсов ;
2) системы управления документами и документооборотом ;
3) автоматизированные информационно-аналитические системы;
4) автоматизация информационной системы принятия решений:
– системы традиционного моделирования ситуаций;
–.экспертные системы (аккумулируют знания и представляют специальные варианты принятия решений);
–.нейронные системы (информационные аналитические системы в
биржевом банке, в государственном управлении)
–.автоматизированные информационные системы поддержки государственных решений;
5) автоматизированные системы программируемого принятия решений.
Просто пример информационных ресурсов показан на рисунке 1.2.
Рисунок 1.2-Пример информационного ресурса
1.2 Информация как самостоятельный актив
В независимости от форм собственности и вида деятельности
учреждения информация является основой для принятия важнейших
управленческих решений, например, определения стратегии поведения на
рынке, планов дальнейшего развития, инвестирования в проект, заключений
сделок. Одним из основных поставщиком такой информации для руководства
компании является бухгалтерия. Главная проблема заключается в том, что, как
правило, в итоговом балансе основное внимание уделяется материальным
составляющим – имуществу, оборотным активам, обязательствам,
дебиторской и кредиторской задолженности, и мало внимания уделяется
нематериальным активам.
Информация может являться едва ли не самым ценным фактором,
приносящим прибыль. Проиллюстрировать подобную ситуацию можно на
примере брокерского обслуживания, оказывающего услуги по управлению
ценными бумагами на международных биржах. Любая информация, даже
неправдоподобные слухи, мгновенно могут изменить картину происходящего
на рынке. К примеру, произойдет утечка информации о заключении сделки
или судебном разбирательстве, просочится инсайдерская информация о
новинках выпускаемой продукции -- акции мгновенно рухнут или взлетят.
Или компании разработчики программного обеспечения, для которых
информация это одновременно и рабочий материал и итоговый продукт.
Новые технологии, инновационные идеи, производственные ноу-хау,
исходный код программного продукта, – это все информация, и ее
использование как ресурса значительно влияет на итоговые результаты
деятельности. Следовательно, информация перестает быть просто
сведениями, она становится ценным информационным активом компании.
Поскольку
вся
информация
обрабатывается
с
использованием
информационных технологий, она неразрывно связана с вычислительной
техникой и сотрудниками, которые ее используют. Под информационными
активами организации будем понимать все ценные информационные
ресурсы собственника, способные приносить ему экономическую выгоду, в
которых аккумулированы знания, умения и навыки персонала, и
реализованные с использованием современных информационных технологий.
Информационные активы необходимо рассматривать как неотделимую
совокупность самих сведений, средств их обработки и персонала, имеющих к
ней доступ и непосредственно их использующие. Конечная стоимость
информационных активов тоже будет формироваться суммарной стоимостью
всех составляющих описанных выше[8].
И, раз есть информационные активы, необходимо иметь механизмы по
оценке и учёту такого рода активов. Из-за специфичности эта функцию часто
перекладывают на службу информационной безопасности, где процесс учета
и оценки является составной частью риск-менеджмента, хотя данный вопрос
уже давно выходит за рамки одной лишь службы. Правильно учтенные и
оцененные активы позволяют, во-первых эффективно управлять уже
имеющимися выгодами и оценить потенциал использования их в будущем, и,
во-вторых, учитывать эти параметры в итоговом балансе, что может
значительно сказаться на показателях и индексах общей кредитоспособности,
инвестиционной привлекательности, финансовой устойчивости компании.
Проблемы оценки стоимости информационных активов
Информационные активы являются нематериальными и, поэтому,
первой из проблем является их формирование как объекта. Выделение именно
ценных и полезных в коммерческом плане сведений из всего массива
информации вовлеченной в бизнес-процессы компании. Вопрос решается
путем создания экспертной комиссии, в состав которой входят
непосредственно сами участники бизнес-процесса – руководители,
узкоквалифицированные специалисты, способные определить на каком этапе
производства какие именно сведения используются как ценный ресурс.
Качество и достоверность полученных результатов напрямую зависит от
компетентности и профессионального опыта комиссии. Общий перечень
возможных конфиденциальных сведений представлен в приложении N.
Однако, формируя такой перечень, необходимо помнить о том, что не все
сведения могут защищаться в режиме коммерческой тайны[6].
Другой, более сложной и глобальной проблемой, является определение
ценности информационного актива и объективное выражение его в
общепринятом количественном показателе – денежном выражении. Задача
является слабо формализуемой, поэтому все значения, полученные в
результате
оценки
будут
приближенными.
Только
собственник
информационного актива или другое лицо, извлекающего с его помощью
прибыль, может объективно выразить его денежную стоимость.
Для определения стоимости актива применяются различные методы.
Самый простой – это определение стоимости путем расчета трудозатрат на
единицу полученной ценной информации. К примеру, произведение
среднечасовой ставки сотрудника на затраченное им время для получении
этих сведений. Однако такой метод не позволяет оценивать уже имеющиеся
активы или активы, полученные иным путем. Как определились,
информационный актив – это не просто ценные сведения, его нужно
рассматривать как неотделимую совокупность вышеуказанных элементов.
Поэтому, более прогрессивный подход предполагает комбинированную
оценку стоимости путем учета многих факторов, среди которых, например,
стоимость получения информации, ее обработки и хранения с использованием
вычислительной техники, человеческие трудозатраты.
Еще одной проблемой является то, что, по сравнению другими
объектами, например, основными средствами организации, информационные
активы являются очень динамической структурой, срок полезного
использования которых, в виду быстрой потери актуальности информации,
крайне неопределенный и стоимость которых также может значительно
меняться в очень короткие промежутки времени. Это требует их
периодической переоценки. Причем оценка по резервному значению, которая
берется на начало и конец года не отражает реальной картины, эффективным
вариантом признан метод оценка исходя из среднего значения по всем дням в
течении отчетного года.
В виду своей специфичности обладание ценными сведениями также не
всегда ведет к прямому росту прибыли, к примеру, большое значение может
иметь имиджевое положение компании (англ. goodwill). В данном случае,
упрощая, можно сказать, что порой неоправданные с экономической точки
зрения действия дают определенные выгоды компании. Это, к примеру,
больше всего распространено среди азиатских стран, где дань уважения и
сохранения традиций имеет гораздо больший смысл, чем сугубо
экономические преимущества. Такой имиджевый показатель как рейтинг
очень сложно измерить и выразить его стоимость в денежном эквиваленте.
Однако в определенный момент именно эти критерии могут оказать
существенное влияние в пользу увеличения статуса компании, совершения
крупной сделки с компанией-партнером и т.д.
Методика оценки стоимости
Первоначальным этапом необходимо сформировать информационные
активы как объект учета и оценки. Алгоритм оценки имеющихся
корпоративных информационных активов включает в себя их описание по
следующим категориям:
1) человеческие ресурсы;
2) информационные активы (открытая и конфиденциальная
информация);
3).программные ресурсы (программные продукты, базы данных,
корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое
аппаратное обеспечение);
4).физические ресурсы (сервера, рабочие станции, сетевое и
телекоммуникационное оборудование, в том силе мобильные устройства);
5).сервисные ресурсы (электронная почта, веб ресурсы, онлайнхранилища, каналы передачи данных и т.п.);
6) помещения (в которых обрабатывается и хранится информация).
Далее экспертная комиссия, сформированная по приказу директора и
состоящая из узкоквалифицированых специалистов – экспертов, проводит
детальную категоризацию имеющейся корпоративной информации, т.е.
выделение защищаемой информации из всего объема информационных
активов, а далее из категории защищаемых информационных активов –
выделение конкретно ценой конфиденциальной информации
Категоризация заключается в определении уровня ценности
информации, его критичности. Под критичностью понимается степень
влияния информации на эффективность функционирования хозяйственных
процессов компании. Различные варианты методик категоризации приведены
в международном стандарте ISO/IEC TR 13335 отечественным аналогом
которого является ГОСТ Р ИСО/МЭК ТО 13335-х.
Например, определение ценности информации по вышеназванным
параметрам может быть отражено в таблице 1.1, где сумма баллов,
расположенных на пересечении столбцов и строк таблицы, указывает на
ценность информации в целом для организации, включающей в себя вид
информации с точки зрения ограниченности доступа к ней и критичность
информации для компании.
Скачать