Заякин С. В. Оценка рисков информационной безопасности предприятий индустрии туризма

 

С ростом использования в работе предприятий индустрии туризма информационных технологий возрастает число рисков, угрожающих стабильной работе предприятия. В настоящей статье мы рассматриваем методологию оценки рисков, связанных со сферой информационной безопасности.

Вначале оговорим, что же такое «риск». Под риском мы будем понимать неопределенное событие или условие, наступление которого отрицательно (или положительно) сказывается на деятельности предприятия сферы туризма. В статье речь мы будем вести только о рисках, имеющих негативные последствия для предприятий.

Описываемая методология была изложена преподавателем НИУ ВШЭ К. А. Бокшицским в рамках курса «Управление инновациями в организации» (Екатеринбург, декабрь 2010 г.).

Методология оценки риска включает поэтапное определение:

1)    категории риска;

2)    вероятности наступления риска;

3)    серьезности последствия наступления риска;

4)    приоритетности риска.

Процедура выявления риска может строиться на основании прошлого опыта, экспертных мнений, анализа кейсов других компаний, событий и тенденций рынка. Цель этапа – идентификация риска. Результатом выполнения первого этапа является перечень рисков. Мы предлагаем, для примера, следующие категории рисков, связанных с информационной безопасностью туристского предприятия:

1)    риски разглашения или кражи личных данных клиентов, информации об их финансовых операциях, кредитных картах и т. д.;

2)    риски, связанные с разглашением или кражей конфиденциальной информации о деятельности компании, коммерческой тайны и т. д.;

3)    «черный PR», необоснованные негативные отзывы о деятельности организации и распространение иной информации, наносящей вред репутации предприятия;

4)    риски, связанные с системами обмена информацией: взлом систем бронирования, сайтов организаций, DDoS-атаки на сайты, вирусные атаки и т. д.

Данным перечнем риски, связанные с информационной безопасностью, не ограничиваются.

Следующий этап – качественная оценка каждого из рисков, выделенных ранее, определение серьезности последствий наступления риска. Качественная оценка рисков базируется на прошлом опыте или экспертной оценке последствий наступления риска: того, как это отразится на стоимости, сроках, содержании и качестве деятельности туристского предприятия, процессе обслуживания клиентов, продукте (табл. 1).

Исходя из оценки последствий, риску присваивают балл: от 1 – незначительный до 5 – катастрофический (табл. 1).

Таблица 1

Качественная оценка рисков

 

Последствия

Стоимость

Сроки

Содержание

Качество

Оценка

Незначительные

Незначительное увеличение

Незначительное увеличение

Незначительное уменьшение объемов

Незначительное снижение

1

Допустимые

Увеличение стоимости менее чем на 10 %

Увеличение времени не более чем на 5 %

Затронуты второстепенные области содержания

Допустимое снижение

2

Значительные

Увеличение стоимости на 10–20 %

Увеличение времени на 5–10 %

Затронуты основные области содержания

Затронуты основные параметры качества

3

Критические

Увеличение стоимости на 20–40 %

Увеличение времени на 10–20 %

Неприемлемое уменьшение содержания

Неприемлемое снижение качества

4

Катастрофические

Увеличение стоимости более чем на 40 %

Увеличение сроков более чем на 20 %

Конечный продукт бесполезен

Конечный продукт бесполезен

5

 

Далее следует этап определения вероятности наступления риска. Вероятность наступления риска определяется по формуле расчета вероятности (Р) [1. С. 97–98]:

P = (m/n) * 100 %, где:

m – число рисковых событий;

n – общее число событий.

Результатом является вероятность наступления риска в процентном выражении. В соответствии с полученным показателем риску присваивается балл: от 1 – риск не проявится (P = 0–5 %) до 5 – риск наверняка проявится (P = 76–100 %) (подробнее – табл. 2).

Таблица 2

Вероятность наступления риска

 

Вероятность

наступления риска, %

Описание

Оценка

от 0 до 5

Риск не реализуется

1

от 6 до 15

Риск скорее всего не реализуется

2

от 16 до 50

Риск может реализоваться,

а может не реализоваться

3

от 51 до 75

Риск скорее всего реализуется

4

от 76 до 100

Риск наверняка реализуется

5

 

Данные об общем количестве событий и количестве рисковых событий могут быть получены в результате анализа статистической информации, что предпочтительнее, или на основании заключений специалистов.

Завершающим этапом оценки риска является определение приоритетности риска – отнесение его, на основании полученных на предыдущих этапах оценок последствий и вероятности наступления, к той или иной группе приоритета в соответствии с заранее установленными критериями (табл. 3). По приоритету все риски можно разделить на следующие группы:

Таблица 3

Оценка рисков

 

1.Очень низкий риск (ОНР).

2.Низкий риск (НР).

3.Средний риск (СР).

4.Высокий риск (ВР).

5.Очень высокий риск (ОВР).

 

 

Последствия

1

2

3

4

Вероятность

5

СР

ВР

ОВР

ОВР

4

НР

СР

ВР

ОВР

3

ОНР

НР

СР

ВР

2

ОНР

ОНР

НР

СР

1

ОНР

ОНР

ОНР

НР

 

Знание приоритета риска, последствий и вероятности наступления позволяет установить очередность и механизмы реагирования на риски, угрожающие информационной безопасности деятельности туристского предприятия.

Изложенная методология позволяет проводить оценку рисков не только в сфере информационной безопасности, но и в других сферах деятельности предприятий индустрии туризма.

 

Литература

 

1.     Мостеллер Ф., Рурке Р., Томас Дж. Вероятность / пер. с англ. В. В. Фирсова. – М. : Мир, 1969. – 431 с.

 

 

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СФЕРЕ СЕРВИСА И ТУРИЗМА


© НОУВПО Гуманитарный университет, 2014 № гос. регистрации 0321501928