Минимизация риска и защита информации при совершении коммерческих сделок

Минимизация риска и защита информации при совершении коммерческих сделок.

Минимизация риска – это максимальное уменьшение риска.

Она может состоять из: 

1) минимизации математического ожидания (ожидаемых потерь),  

2) минимизации квантиля распределения (например, медианы функции распределения потерь или квантиля порядка 0,99, выше которого располагаются большие потери, встречающиеся крайне редко - в 1 случае из 100), 

3) минимизации дисперсии (т.е. показателя разброса возможных значений потерь), 

4) минимизации суммы математического ожидания и утроенного среднего квадратического отклонения (на основе известного "правила трех сигм"), или иной линейной комбинации математического ожидания и среднего квадратического отклонения. Этот подход используют в случае близости распределения потерь к нормальному как комбинацию подходов, нацеленных на минимизацию средних потерь и разброса возможных значений потерь;  

5) максимизации математического ожидания функции полезности (в случае, когда полезность денежной единицы меняется в зависимости от общей располагаемой суммы, как предполагается в микроэкономике, в частности, когда необходимо исключить возможность разорения экономического агента), и т.д.

Несколько слов о перечисленных постановках.

Первая из них – минимизация средних потерь – представляется вполне естественной, если все возможные потери малы по сравнению с ресурсами предприятия. В противном случае первый подход неразумен. Рассмотрим условный пример. У человека имеется 10000 рублей. Ему предлагается подбросить монету. Если выпадает «орел», то он получает 50000 рублей. Если же выпадает «цифра», он должен уплатить 20000 рублей. Стоит ли данному человеку участвовать в описанном пари? Если подсчитать математическое ожидание дохода, то, поскольку каждая сторона монеты имеет одну и ту же вероятность выпасть, равную 0,5, оно равно 50000 х 0,5 + (-20000) х 0,5 = 15000. Казалось бы, пари весьма выгодно. Однако большинство людей на него не пойдет, поскольку с вероятностью 0,5 они лишатся всего своего достояния и останутся должны 10000 рублей, другими словами, разорятся. Здесь проявляется психологическая оценка ценности рубля, зависящая от общей имеющейся суммы – 10000 рублей для человека с обычным доходом значит гораздо больше, чем те же 10000 руб. для миллиардера. 

Второй подход нацелен как раз на минимизацию больших потерь, на защиту от разорения. Другое его применение – исключение катастрофических аварий, например, типа Чернобыльской. При втором подходе средние потери могут увеличиться (по сравнению с первым), зато максимальные будут контролироваться.  

Третий подход нацелен на минимизацию разброса окончательных результатов. Средние потери при этом могут быть выше, чем при первом, но того, кто принимает решение, это не волнует – ему нужна максимальная определенность будущего, пусть даже ценой повышенных затрат.  

Четвертый подход сочетает в себе первый и третий, хотя и довольно примитивным образом. Проблема ведь в том, что задача управления риском в рассматриваемом случае – это по крайней мере двухкритериальная задача. Желательно средние потери снизить (другими словами, математическое ожидание доходов повысить), и одновременно уменьшить показатель неопределенности – дисперсию. Хорошо известны проблемы, возникающие при многокритериальной оптимизации (см. главу 1.3). 

Наиболее продвинутый подход – пятый. Но для его применения необходимо построить функцию полезности. Это – большая самостоятельная задача. Обычно ее решают с помощью специально организованного эконометрического исследования.  

Если неопределенность носит интервальный характер, т.е. описывается интервалами, то естественно применить методы статистики интервальных данных (как части интервальной математики), рассчитать минимальный и максимальный возможный доходы и потери, и т.д. 

Разработаны различные способы уменьшения экономических рисков, связанные с выбором стратегий поведения, в частности, диверсификацией, страхованием и др. Причем эти подходы относятся ни только к отдельным организациям. Так, применительно к системам налогообложения диверсификация означает использование не одного, а системы налогов, чтобы нейтрализовать действия налогоплательщиков, нацеленные на уменьшение своих налоговых платежей. Однако динамика реальных экономических систем такова, что любые формальные модели дают в лучшем случае только качественную картину. Например, не существует математических моделей, позволяющих достаточно точно спрогнозировать инфляцию вообще и даже реакцию экономики на одноразовое решение типа либерализации цен.

Организация и проведение совещаний и переговоров.

Совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну фирмы или ее партнеров, именуются обычно конфиденциальными. Порядок проведения подобных совещаний и переговоров регламентируется специальными требованиями, обеспечивающими безопасность ценной, в том числе конфиденциальной, информации (далее - ценной информации), которая в процессе этих мероприятий распространяется в санкционированном - (разрешенном) режиме. Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо.

Причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах, общеизвестны: слабое знание сотрудниками состава ценной информации и требований по ее защите, умышленное невыполнение этих требований, провоцированные и не провоцированные ошибки сотрудников, отсутствие контроля за изданием рекламной и рекламно выставочной продукции и другие. Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов.

Основные этапы проведения конфиденциальных совещаний и переговоров: подготовка к проведению, процесс их ведения и документирования, анализ итогов и выполнения достигнутых договоренностей.

Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и Фирм дает исключительно первый руководитель фирмы. Решение первого руководителя о предстоящем конфиденциальном совещании доводится до сведения референта менеджера по безопасности Информации, руководителя секретариата, секретаря-референта, Менеджера по конфиденциальной документации, управляющего делами фирмы и начальника службы безопасности. В целях дальнейшего контроля за подготовкой и проведением такого совещания информация об этом решении фиксируется референтом в специальной учетной карточке. В этой карточке указываются: наименование совещания или переговоров, дата, время, состав участников по каждому вопросу, лицо, руководитель, ответственный за проведение, ответственный организатор, контрольные отметки, зона сведений о факте проведения, зона сведений по результатам совещания или переговоров.

Плановые и неплановые конфиденциальные совещания, проходящие без приглашения посторонних лиц, проводятся первым руководителем, его заместителями, ответственными исполнителями (руководителями, главными специалистами) по направлениям работы с обязательным предварительным информированием референта. По факту этого сообщения или проведения такого совещания референтом заводится учетная карточка описанной выше формы. Проведение конфиденциальных совещаний без информирования референта не допускается.

Доступ сотрудников фирмы на любые конфиденциальные совещания осуществляется на основе действующей в фирме разрешительной системы доступа персонала к конфиденциальной информации. Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками фирмы, санкционируется только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса. Присутствие их при обсуждении других вопросов запрещается.

Ответственность за обеспечение защиты ценной информации и сохранение тайны фирмы в ходе совещания несет руководитель, организующий данное совещание. Референт оказывает помощь руководителям и совместно со службой безопасности осуществляет контроль за перекрытием возможных организационных и технических каналов утраты информации.

Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников фирмы, допущенных к работе с конкретной ценной информацией, составляющей тайну фирмы или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания. Этот сотрудник информирует референта о ходе подготовки совещания или переговоров. Полученная информация вносится референтом в учетную карточку.

В процессе подготовки конфиденциального совещания составляются программа проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», изготовляться и издаваться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы (в том числе проекты договоров, контрактов и др.), предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса. Цифровые значения наиболее ценной информации (технические и технологические параметры, суммы, проценты, сроки, объемы и т.п.) в проектах решений и других документах не указываются или фиксируются в качестве общепринятого значения, характерного для сделок подобного рода и являющегося стартовой величиной при обсуждении. В проектах не должно быть развернутых обоснований предоставляемых льгот, скидок или лишения льгот тех или иных партнеров, клиентов. Документы, раздаваемые участникам совещания, не должны иметь гриф конфиденциальности.

Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники фирмы, которые имеют непосредственное отношение к этому вопросу. Эго правило касается и руководителей. В списке участников указываются фамилии, имена и отчества лиц, занимаемые должности, представляемые ими учреждения, организации, фирмы и наименования документов, подтверждающих их полномочия вести переговоры и принимать решения. Название представляемой фирмы может при необходимости заменяться ее условным обозначением.

Документом, подтверждающим полномочия лица (если это не первый руководитель) при ведении переговоров и принятии решений по конкретному вопросу, может служить письмо, предписание, доверенность представляемой лицом фирмы, рекомендательное письмо авторитетного юридического или физического лица, письменный ответ фирмы на запрос о полномочиях представителя, в отдельных случаях телефонное или факсимильное подтверждение полномочий первым руководителем представляемой фирмы. Эти документы передаются участниками совещания ответственному организатору непосредственно перед началом совещания для последующего включения их референтом в дело, содержащее все материалы по данному совещанию или переговорам.

Документы, составляемые при подготовке конфиденциального совещания, на котором предполагается присутствие представителей других фирм и организаций, согласовываются с референтом и Руководителем службы безопасности. Отмеченные ими недостатки в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание.

Одновременно с визированием подготовленных документов референт, руководитель службы безопасности и ответственный организатор определяют место проведения совещания, порядок доступа участников совещания в это помещение, порядок документирования хода обсуждения вопросов и принимаемых решений, а также порядок рассылки (передачи) участникам совещания оформленных решений и подписанных документов.

Любое конфиденциальное совещание организуется в специальном (выделенном) помещении, имеющем лицензию на проведение подобного мероприятия и, следовательно, оборудованном средствами технической защиты информации. Доступ в такие помещения сотрудников фирмы и представителей других фирм и организаций разрешается руководителем службы безопасности.

Перед началом конфиденциального совещания сотрудник службы безопасности обязан убедиться в отсутствии в помещении несанкционированно установленных аудио- и видеозаписывающих или передающих устройств и в качественной работе средств технической защиты на всех возможных каналах утечки информации. Помещение должно быть оборудовано кондиционером, так как открытие окон, дверей в ходе совещания не допускается. Окна закрываются светопроницаемыми шторами, входная дверь оборудуется сигналом, оповещающим о ее неплотном закрытии. В целях звукоизоляции целесообразно иметь двойную дверь (тамбур) или зашторивать двери звукопоглощающей тканью.

Проведение совещания в неприспособленных и необорудованных соответствующим образом помещениях фирмы (кроме кабинета первого руководителя) не разрешается.