УДК 005.8
Лосев Валерий Сергеевич – доктор экономических наук, профессор, заведующий кафедрой Экономической кибернетики Тихоокеанского государственного университета.
Щепилова Наталия Ивановна – магистрант Тихоокеанского государственного университета.
Аннотация: В статье показана актуальность проблемы управления рисками при реализации проектов в сфере информационных технологий. Описаны типичные и новые риски, возникающие при разработке и последующей эксплуатации информационных систем. Рассмотрены подходы к управлению рисками ИТ-проектов в современных условиях.
Ключевые слова: Риски, управление проектами, информационные технологий, информационная безопасность, угрозы, модель нарушителя.
Применение современных информационных технологий позволяет принимать более оперативные и обоснованные управленческие решения, и учитывать при этом больший объем сведений. Тем самым повышается качество и эффективность управления. Отсюда всё возрастающее внимание к проектам в сфере информационных технологий, направленных на автоматизацию управления и обработку информации. Любые нарушения и неполадки в работе информационных систем приводят к снижению качества или полной потере управления критичными процессами со всеми вытекающими убытками и потерями.
Острота проблемы управления рисками проектов в сфере информационных технологий, защиты законных интересов субъектов информационных отношений при использовании информационных систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть ряд объективных причин. Прежде всего – это расширение сферы применения средств вычислительной техники и возросший уровень доверия к автоматизированным системам управления и обработки информации. Информационным системам доверяют самую ответственную работу, от качества выполнения которой зависит жизнь и благосостояние людей. С развитием новых технологий информационные системы решают все более объёмные, сложные, важные и ответственные задачи. Это влечет за собой ещё большую зависимость от автоматизированных систем. Таким образом, хотя стремительное развитие инновационных технологий открывает новые горизонты в развитии бизнеса и получении конкурентных преимуществ, вместе с тем это порождает новые риски и угрозы как для самого внедрения, так и для дальнейшей работы заказчика.
Наиболее часто исследователями отмечаются следующие риски: неточность и неконкретность целей ИТ-проекта; нереалистичные сроки и бюджет; изменения требований в процессе реализации ИТ-проекта; неэффективное использование методологий проектного управления; нехватка компетенций и опыта участников проектной команды; завышение качества, неэффективное управление требованиями. Для этих рисков характерно то, что их источниками являются ошибки, допущенные на ранних этапах проекта. Большинство исследователей при описании рисков проектов в сфере информационных технологий рассматривают только те из них, которые возникают на начальных этапах жизненного цикла – при анализе, проектировании, реализации и внедрении информационных систем. Примером существующих способов управления рисками проектов в сфере информационных технологий может служить методика Б. Боэма [1].
Таблица 1. Методика управления рисками ИТ-проектов Б. Боэма.
Риск ИТ-проекта |
Методика управления риском |
Нехватка компетенций сотрудников |
Наем высококвалифицированных сотрудников, мероприятия по формированию команды, обучение сотрудников |
Нереалистичные сроки и бюджет |
Детализация оценки затрат и сроков, разработка повторно используемого программного обеспечения, уточнение требований |
Несоответствие разработанной и требуемой функциональности |
Анализ организации, анализ целей, опрос пользователей, создание прототипа, оценка производительности, проверка качества |
Несоответствие разработанного и требуемого интерфейса |
Создание прототипа, разработка сценариев использования, участие пользователей |
Неэффективное управление требованиями и качеством |
Уточнение требований, создание прототипа, анализ стоимости |
Постоянный поток изменений требований |
Установка ограничений для внесения изменений, итеративность разработки |
Недостатки используемых внешних компонентов |
Сравнительное тестирование, технический аудит, анализ совместимости |
Проблемы в задачах, выполняемых внешними подрядчиками |
Проверка контрагентов, подготовка макетов и создание прототипа, мероприятия по формированию команды |
Недостаточная производительность |
Моделирование, проведение сравнительного тестирования, создание прототипа |
Технологическое отставание |
Технический анализ, анализ стоимости, создание прототипа |
Развитие информационных технологий порождает новые риски и угрозы. Это касается как процессов внедрения информационных систем, так и их дальнейшей эксплуатации. На стадии использования информационных систем всё острее стоит вопрос информационной безопасности. Это связано с развитием и распространением информационно-телекоммуникационных сетей, территориально распределённых систем и систем с удалённым доступом к совместно используемым ресурсам. Немаловажно и то, что для поиска уязвимостей систем и кибератак используются такие современные технологии как BigData и искусственный интеллект. В последнее время возник ряд новых рисков, которые ранее были не столь актуальны, а теперь могут поставить крест на проекте. Это валютные риски, введение санкций, обострение геополитической обстановки в мире. Беспрецедентной по своим масштабам и степени влияния стала пандемия новой коронавирусной инфекции. Хотя применительно к проектам в сфере информационных технологий указанные риски открыли больше возможностей и послужили толчком к развитию. Таким образом, можно отметить, что наиболее длительная стадия жизненного цикла информационных систем – фаза эксплуатации – остается без должного внимания исследователей и разработчиков с точки зрения управления рисками. При этом на стадии эксплуатации информационных систем на первый план выходит проблема обеспечения информационной безопасности.
Субъектами автоматизированного информационного взаимодействия являются государство, юридические и физические лица. В этом процессе их интересы заключаются в том, чтобы определённая часть информации, касающаяся их экономических, политических и других аспектов деятельности, конфиденциальная, коммерческая и персональная информация, была бы постоянно доступна и в то же время надёжно защищена от неправомерного её использования (нежелательного разглашения, фальсификации, незаконного тиражирования, блокирования или уничтожения).
Одним из важнейших аспектов проблемы обеспечения безопасности информационных систем является определение, анализ и классификация возможных угроз безопасности. Это основа для проведения анализа рисков и формулирования требований к системе защиты информационных систем. Угроза представляет собой совокупность негативных условий и факторов, формирующих возможность нарушения или снижения уровня безопасности [2]. Угроза интересам субъектов информационных отношений – это потенциально возможное событие, вызванное некоторым действием, процессом или явлением, которое, воздействуя на информацию, её носители и процессы обработки, может прямо или косвенно привести к нанесению ущерба интересам данных субъектов. Риск – это вероятность или возможность наступления того или иного события. Применительно к информационной безопасности под событиями понимают нанесение ущерба системе в связи с реализацией угрозы безопасности [3]. Задача управления рисками состоит в их идентификации, оценке и минимизации. Всё множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные). На рисунке 1 показана классификация угроз безопасности для информационных систем [4].
Рисунок 1. Классификация угроз по источникам и мотивации.
Согласно обзору журнала "The Economist", источник более чем 80% проблем с безопасностью находится внутри компании, и основные проблемы создают именно сотрудники. Пользователи информационной системы, с одной стороны, являются необходимым для неё элементом. С другой стороны, они же являются основным источником угроз и движущей силой нарушений. Более половины проблем возникает из-за ошибок пользователей. Сотрудники компании – самая массовая категория нарушителей. Они многочисленны, имеют санкционированный доступ на территорию, в помещения и к ресурсам системы. 80% нарушений со стороны сотрудников носит неумышленный характер. Однако, ущерб, который они наносят компании, весьма значителен. Именно поэтому борьба с ошибками пользователей и обслуживающего персонала информационной системы является одним из основных направлений работ по обеспечению безопасности [5].
На профессиональном уровне помочь решению данной проблемы может использование специализированных систем информационной безопасности с технологией мониторинга и защиты баз данных DAM и DBF. Данные системы обеспечивают отслеживание пользовательских операций и позволяют из сотен миллионов запросов выявить потенциальные инциденты и сохранять полный архив действий пользователей для анализа при расследовании инцидентов.
В управлении рисками любых проектов имеет место дилемма: перестраховаться и предусмотреть все угрозы в бюджете проекта, который чрезмерно вырастет, либо пропустить часть рисков и с большой вероятностью потерять намного больше. На практике управление рисками – это всегда тонкий баланс между «разумным» и «достаточным».
С математической точки зрения в информационных технологиях принят тот же взгляд на риски, что и при страховании от несчастных случаев. Количественно величина риска (R) определяется как произведение вероятности рискового события (P) и ущерба от него (D). Соответственно, суммарный риск определяется как сумма произведений вероятностей каждого из негативных событий Ui на величины потерь от них [6]:
(1)
Тем не менее, количественный расчет величин рисков на практике используется редко. Это связано с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков. Для этого создается приближенная к реальности модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия. Подобные характеристики способствуют успешному проведению анализа риска и определению требований к составу и характеристикам системы защиты.
Экономический эффект от расходов на информационную безопасность можно оценить по формуле:
(2)
где K – коэффициент уменьшения риска в результате реализации контрмеры (от 0 до 1), ADE – годовая ожидаемая величина убытков, C – стоимость реализации. ROI – инструмент экономической оценки эффективности действий в области информационной безопасности. Цель состоит в максимизации его значения. При положительном значении ROI реализация мер безопасности является экономически оправданной. В противном случае в ней нет смысла [6].
В рамках настоящего исследования были рассмотрены существующие в настоящее время подходы к управлению рисками проектов в сфере информационных технологий. Проведенный анализ показал, что большинство методик управления рисками фокусируется на начальных этапах жизненного цикла проекта. При этом самая продолжительная фаза – фаза эксплуатации – остается без должного внимания исследователей и разработчиков. В то же время развитие информационных технологий порождает новые риски и угрозы как для процессов разработки и внедрения информационных систем, так и их дальнейшего использования. Растет проблема обеспечения информационной безопасности. Возможным вариантом её решения является использование специализированных систем защиты, обучение персонала, построение адекватной модели нарушителя.
В заключение отметим, что обеспечение безопасности проектов в сфере информационных технологий – это непрерывный процесс управления рисками, связанный с выявлением информационных активов, подлежащих защите, определением их стоимости, размеров ущерба и риска, разработкой плана действий по защите и выбором технологий, реализующих этот план. Цель защиты информационных технологий – это минимизация рисков для субъектов. На практике это означает сведение всех значимых для субъектов угроз к допустимому, приемлемому уровню остаточного риска, и защиту наиболее важных информационных ресурсов исходя из существующих возможностей и предоставленных финансовых средств.
Список литературы