Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

Высшего образования

«Новосибирский Государственный Технический Университет»

Кафедра экономической информатики

Дисциплина: Управление информационными системами

Оценка рисков информационной системы организации

Новосибирск 2016

РЕФЕРАТ

В процессе работы изучены понятия и классификации рисков, а также их влияние на организацию в целом. Получены навыки идентификации, планирования и оценки рисков информационной системы в организации и способы их устранения. В качестве примера был выбран фитнес-клуб ООО «Элит-фитнес». Так же закреплены умения работы в среде Project Expert.

Целью работы является: изучение классификации рисков и получение навыков идентификации, планирования и оценки рисков информационной системы в организации, а также принятия мер для устранения рисков.

1. Закрепить умения работы в среде Project Expert.

2. Использовать ранее изученную литературу по курсу «Информационная безопасность»

3. Идентифицировать возможные риски, классифицировать их, а так же оценить и принять решение для их минимизации.

В данной лабораторной работе рассматривается бизнес-план фитнес-клуба ООО "Элит-фитнес".

При планировании бюджета компании, было решено выделить 5% денежных средств (100 000 рублей) на обеспечение информационных технологий. На выделенные средства было куплено программное обеспечение для автоматизации работы фитнес-клуба, в результате чего рабочее место оператора ПК было сокращено. Ежемесячная заработная плата оператора составляла 20 000 руб.

В итоге, срок окупаемости проекта сократился с 2 лет 12 месяцев до 2 лет 7 месяцев. Изображение графика точки безубыточности представлено на рисунке 1.

Рисунок 1 - Точка безубыточности проекта

Риск понимается как вероятность (угроза) потери фирмой части своих ресурсов, недополучения доходов или появления дополнительных расходов в результате осуществления определенной производственной и финансовой деятельности.

1 Идентификация рисков

1.1 Риск утери информации о клиентах

риск информационный потеря безубыточность

Так как внедрено программное обеспечение, в котором хранится вся информация о клиентах и данных компании, имеется риск потери этих данных, несанкционированный доступ к ним, вследствие чего возможна кража конфиденциальной информации о клиентах, а так же блокировка абонементов, что понесет существенные убытки компании.

Данный риск относится к информационным рискам. В результате воздействия этого события на обрабатываемую, хранящуюся или передаваемую информацию может произойти ее искажение, подделка, утечка, хищение, потеря, т.е. собственнику, владельцу информационных ресурсов может быть нанесен ущерб.

1.2 Риск отказа работы ПО на длительное время

Так же имеет место быть риск отказа работы ПО, что несет за собой временное отсутствие доступа ко всем данным, в том числе и бухгалтерским. В результате этого бухгалтер не сможет совершать никаких операций. Например, для бухгалтера будет недоступна подача данных в налоговую инспекцию, что повлечет за собой начисления штрафных санкции для организации, а так же может привести к лишению лицензии фитнес-клуба.

Так же, в результате воздействия этого риска, бухгалтер не сможет начислить сотрудникам заработную плату.

Нестабильные выплаты заработной платы портят репутацию компании и ведут к увольнению сотрудников.

Данный риск относится к производственным рискам, связанным с убытками от остановки производства или коммерческой деятельности либо предоставления услуг в сфере информатизации вследствие воздействия различных факторов, прежде всего, связанных с утратой или повреждением информации.

2 Оценка рисков

В данной работе оценка рисков производится по качественному и количественному методам.

Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий, т.е. наблюдается зависимость от двух факторов: вероятности происшествия и тяжести возможных последствий.

2.1 Риск утери информации о клиентах

Сначала необходимо определить значения шкал [1]. Значения субъективной шкалы вероятностей происшествия равно C - вероятность события - около 0,5.

Значения субъективной шкалы серьезности последствий равно Mo (Moderate - умеренный, средний) - происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию небольшое и не затрагивает критически важных задач. По матрице результатов оценивания рисков строится график, который изображен на рисунке 2.

Рисунок 2 - Матрица результатов оценивания риска утери информации о клиентах

Общая стоимость компании составляет 2 000 000 руб. Риск утери данных может нанести ущерб с фактором воздействия 50%. Вероятность происшествия - раз в 5 лет, т.е. 0,5.

Расчет цены потерь (Q) производится по формуле 1.

Q = K * С, (1)

Величина риска (R) в данной ситуации зависит от двух факторов и считается по формуле 2.

R = P * Q (2)

2.2 Риск потери информации в результате отказа работы ПО на длительное время

Значения субъективной шкалы вероятностей происшествия равно B - событие случается редко.

По матрице результатов оценивания рисков строится график, который изображен на рисунке 3.

Рисунок 3 - Матрица результатов оценивания риска отказа работы ПО на длительный срок

3 Рекомендации по минимизации рисков

Для минимизации риска отказа ПО, необходима постоянная его техническая поддержка, которая производится компанией на аутсорсинге.

Заключение

В результате выполнения работы были изучены классификации рисков и получены навыки идентификации, планирования и оценки рисков информационной системы в организации, а также принятия мер для устранения рисков. Закреплены умения работы в среде Project Expert.

В ходе работы использовалась ранее изученную литература по курсу «Информационная безопасность».

Проанализировано изменение сроков окупаемости и точки безубыточности проекта после внедрения программного обеспечения и информационных технологий.

Список использованных источников

1. Теоретические основы компьютерной безопасности : Практикум по курсу / Абденов А.Ж. - Новосибирск : Издательство НГТУ, 2007. - 32 с.

2. Методика оценки риска для информационных систем на основе экспертных оценок : учебник учебное пособие / А.Ж. Абденов, С.А. Белкин, Р.Н. Заркумова-Райхель. - Новосибирск: Изд-во НГТУ, 2014. - 71 с.

3. Информационный менеджмент : учебник / Преображенская Т.В. - 2-е изд., испр. и доп. - Новосибирск : Издательство НГТУ, 2011. - 244 с.

4. Инвестиционный анализ : Методические указания для практических занятий для студентов всех форм обучения по направлению подготовки «Менеджмент» / Составитель: канд. техн. наук, доцент В.А. Яцко - Новосибирск: Издательство НГТУ, 2014. - 24 с.

5. ГОСТы по СМК 9000, 9001, 9004.

6. ГОСТ 7.32-2001. Отчет о научно-исследовательской работе : структура и правила оформления. - Взамен ГОСТ 7.32-91. - Введ. 22.05.2001.

7. ГОСТ Р 53633.10-2015 Информационные технологии. Сеть управления электросвязью. Расширенная схема деятельности организации связи (eTOM). Декомпозиция и описания процессов. Процессы уровня 2 eTOM. Управление организацией. Управление рисками организации - Введ. 01.09.2015.

8. ГОСТ Р 55.0.00-2014 Управление активами. Национальная система стандартов. Основные положения - Введ. 01.04.2015.

ПРИЛОЖЕНИЕ