Как управлять рисками

Введение

Среди специалистов по информационной безопасности в вопросах управления рисками нет единодушия. Кто-то отрицает количественные методы оценки рисков, кто-то отрицает качественные, кто-то вообще отрицает целесообразность и саму возможность оценки рисков, кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных активов, таких, например, как репутация организации.

Какие бы не существовали мнения по вопросу управления рисками ИБ и как бы мы не относились к этим рискам, ясно одно, что в данном вопросе кроется суть многогранной деятельности специалистов по ИБ, непосредственно связывающая ее с бизнесом, придающая ей разумный смысл и целесообразность. В данной статье излагается один из возможных подходов к управлению рисками и дается ответ на вопрос, почему различные организации относятся к рискам информационной безопасности и управляют ими по-разному.

Управленческий процесс и методы управления рисками

Социально-экономические процессы непрерывно меняются. Нередко складывается обстановка, которую сложно оценить однозначно, а еще труднее реализовать стратегические планы компании в условиях неопределенности. Ситуация усугубляется тем, что миг принятия решения и момент его реализации сильно отдалены во времени.

Какие факторы могут проявиться в процессе осуществления стратегии? Какие внутренние и внешние проблемы могут возникнуть? Не всегда можно предугадать все существующие варианты развития ситуации. Но такое состояние неопределенности и непредсказуемости — естественная среда для бизнеса и для жизни в целом.

Из-за неожиданного стечения обстоятельств осуществление планов может задержаться, результат мероприятий может сильно отличаться от задуманного на начальном этапе. События иногда принимают совершенно неожиданный и непредвиденный оборот. Цель не достигается, а экономическая защищенность фирмы нарушается.

Экономическая безопасность предприятия — важная стратегическая цель его деятельности. При наличии данного фактора хозяйствующий субъект находится в состоянии высокой защищенности от различных рисков. Неожиданные и нежелательные изменения не могут серьезно повлиять на стабильность его деятельности. Чтобы сохранить такую устойчивость, предприятие разрабатывает стратегию, способную обеспечить максимальную экономическую стабильность при непрерывном увеличении социально-экономического потенциала. Разработка стратегии подразумевает готовность к возможным изменениям в сфере деятельности организации.

Если при разработке стратегии не будут учтены возможные риски, то последствия наступления таких неблагоприятных факторов принесут серьезные убытки либо вовсе окажутся фатальными для бизнеса. Игнорировать вероятность рисков крайне нежелательно.

Наиболее типичными рисками могут быть, к примеру, снижение котировок акций, существенное уменьшение эффективности инвестиций, снижение получаемой прибыли вместо ожидаемого повышения, нецелесообразное использование материальных и трудовых ресурсов, уменьшение объемов реализации продукции и другие виды экономических потерь.

Методы управления рисками подразумевают осознание приемлемого риска и ориентацию руководителя на рациональное отношение к нему. В деловой среде существует разумный подход к работе с рисками. Перечислим основные его особенности:

  1. В основе методов управления рисками лежит тот факт, что риском в принципе можно управлять. Это не статическое явление, его уровень можно снизить.
  2. Оказать какое-либо воздействие можно только на осознанный риск, тот, который становится понятен в результате его анализа. Для этого нужно выявить все существующие факторы риска и оценить их влияние на течение хозяйственной деятельности.
  3. Существуют стартовый и финальный уровни риска. Их важно различать, чтобы корректно с ними работать. Так, стартовый уровень возникает при создании первоначального замысла проекта либо стратегии его развития. А финальный уровень может быть только тогда, когда выбранная стратегия предприятия (окончательно принятый вариант проекта) тщательно проанализирована и оценена.
  4. Для оценки риска проводят соответствующие процедуры, после которых разрабатывают комплекс мероприятий, направленных на нейтрализацию последствий риска или смягчение его факторов.

Приемлемый уровень риска должен быть определен в рамках специального исследования, но установить данный показатель может только сам руководитель предприятия либо близкое к нему лицо. По крайней мере, это не задача аналитика.

После определения допустимого уровня риска следует:

  • в процессе принятия хозяйственных решений учитывать вероятность уменьшения риска со стартового уровня до приемлемого финального;
  • определять факторы, которые могут стать препятствием к достижению намеченных целей;
  • заранее просчитать возможный ущерб, связанный с наступлением рисков;
  • при разработке планов и принятии хозяйственных решений готовить меры для снижения рисков до максимально приемлемого уровня;
  • на стадии принятия решения просчитывать и возможные расходы на анализ и оценку риска, а также на проведение мероприятий по его снижению до приемлемого уровня.

Методы управления рисками производственного предприятия сводятся к тому, чтобы сделать риски максимально контролируемыми. В результате подобного отношения к риску можно добиться такого положения, при котором ни один риск не станет неожиданностью, а решения по уменьшению его последствий будут продуманными и обоснованными.

Андрей Шишаков,

партнер, глава российского офиса компании Oliver Wyman, Москва

Методы управления рисками особенное значение приобретают в условиях финансового кризиса. Без управления риском выжить в сложной экономической ситуации непросто. Развитие системы риск-менеджмента достигло такого уровня, что компании умудряются инвестировать средства и двигаться вперед даже в условиях кризиса.

Предлагаем ознакомиться:  Как организовать детский праздник: Новый год для малышей

И немногие риск-менеджеры могут предположить, до какой степени можно испытывать судьбу, какая у компании чувствительность к финансовым потерям, каков порог убыточности и пр.

Уровень приемлемого риска просчитать достаточно сложно. Многое зависит от стабильности компании, ее чувствительности к убыткам. Чем более уверенно фирма стоит на ногах, тем больший уровень риска она сможет преодолеть. Все операции руководству следует продумывать и оценивать с учетом наличия рисков. Делать это нужно любыми средствами, даже если в штате организации отсутствует должность риск-менеджера.

1. Кредитный риск — возникает по причине неплатежеспособности контрагента либо его отказа от выполнения своих обязательств по договору (полностью или частично).

Организации следует заранее предусмотреть этот вариант и установить для себя приемлемый уровень финансовых потерь. Если анализ сделки показывает, что уровень потерь может превысить установленный лимит, то ее заключение следует отменить.

В зарубежных странах приемлемым считается риск в размере 15-25 % от себестоимости капитала компании. У каждой фирмы есть право самостоятельно установить приемлемый риск. При планировании деятельности целесообразно выбрать такую пороговую сумму сделки, ниже которой она становится просто невыгодной в плане управления риском.

2. Рыночный риск — тесно связан с конъюнктурным. Это потери, которые предприятие несет из-за колебаний цен на рынках, изменений курсов валют, нестабильности фондовых рынков и т. д.

Рыночным рискам более всего подвержены волатильные активы предприятия (товары, ценные бумаги, денежные средства и т. д.) из-за существенного влияния на них розничной цены.

Рыночные, как и кредитные риски, подлежат управлению. Для этого также используется метод лимитирования. На стадии формирования валютного портфеля просчитываются возможные риски. Они не должны выходить за пределы установленных границ.

Какие лимиты можно установить для рыночных рисков?

  • Прежде всего ограничен может быть размер сделки либо стоимость предстоящей покупки. Особенно это важно, когда стоимость операции либо ее конечный результат зависит от колебания цен на рынке.
  • Ограничен может быть суммарный размер инвестиционного портфеля компании.
  • Лимиты могут быть установлены на валютную часть активов, чтобы снизить вероятность потерь при падении курса валюты.

3. Риск ликвидности — данный вид связан с вероятностью несения убытков, обусловленной нехваткой денежных средств в краткосрочный период, в результате чего выполнение обязательств компании становится невозможным.

Подобный риск возникает, как правило, при таких непредвиденных расходах компании, как штрафы, пени и разные другие ситуации нарушения деловой репутации. Непрофессиональное управление финансами предприятия может привести к риску ликвидности. Чтобы его избежать, нужно четко планировать финансовые потоки и анализировать их течение. В случае необходимости сроки и размеры выплат должны быть скорректированы. Бюджет следует формировать с учетом выявленных рисков.

4. Операционный риск — обусловлен непрофессиональными действиями сотрудников предприятия. Он возникает при допущении ошибок в текущей деятельности фирмы либо совершения противоправных действий отдельными работниками (или организованной группой). Еще одним проявлением операционного риска может стать поломка или сбой в работе оборудования.

Методы управления рисками операционного характера осуществляются главами структурных подразделений. Только руководитель может определить степень изношенности оборудования и необходимость в проведении сервисных работ. Кто, как не глава отдела, способен оценить надежность сотрудников и вероятность проявления непрофессионализма с их стороны?

Нужно понимать, что специалисты службы риск-менеджмента в рамках осуществления тех или иных методов управления рисками никак не могут заменить других работников в вопросе выполнения их функций. В задачи риск-менеджера входит только управление рисками и помощь другим управленцам в решении текущих задач.

Основные и вспомогательные активы

Говоря о рисках для бизнеса мы имеем ввиду возможность с определенной вероятностью понести определенный ущерб. Это может быть как прямой материальный ущерб, так и косвенный ущерб, выражающийся, например, в упущенной выгоде, вплоть до выхода из бизнеса, ведь, если риском не управлять, то бизнес можно потерять.

Собственно, суть вопроса заключается в том, что организация располагает и использует для достижения результатов своей деятельности (своих бизнес целей) несколько основных категорий ресурсов (далее будем использовать непосредственно связанное с бизнесом понятие актива). Актив – это все что имеет ценность для организации и генерирует ее доход (другими словами это то, что создает положительный финансовый поток, либо сберегает средства)

Различают материальные, финансовые, людские и информационные активы. Современные международные стандарты также определяют еще одну категорию активов – это процессы. Процесс — это агрегированный актив, который оперирует всеми другими активами компании для достижения бизнес целей. В качестве одного из важнейших активов также рассматриваются имидж и репутация компании.

Эти ключевые активы для любой организации, являются ни чем иным как особой разновидностью информационных активов, поскольку имидж и репутация компании – это ни что иное как содержание открытой и широко распространенной информацией о ней. Информационная безопасность занимается имиджевыми вопросами постольку, поскольку проблемы с безопасностью организации, а также утечка конфиденциальной информации крайне негативно влияют на имидж.

На результаты бизнеса влияют различные внешние и внутренние факторы, относящиеся к категории риска. Влияние это выражается в отрицательном воздействии на одну или одновременно несколько групп активов организации. Например, сбой сервера влияет на доступность хранящейся на нем информации и приложений, а его ремонт отвлекает людские ресурсы, создавая их дефицит на определенном участке работ и вызывая дезорганизацию бизнес процессов, при этом временная недоступность клиентских сервисов может негативно повлиять на имидж компании.

Предлагаем ознакомиться:  Как узнать собственника здания

По определению, для организации важны все виды активов. Однако у каждой организации есть основные жизненно важные активы и активы вспомогательные. Определить какие активы являются основными очень просто, т.к. это те активы, вокруг которых построен бизнес организации. Так, бизнес организации может быть основан на владении и использовании материальных активов (например, земли, недвижимости, оборудования, полезных ископаемых), бизнес также может быть построен на управлении финансовыми активами (кредитная деятельность, страхование, инвестирование), бизнес может быть основан на компетенции и авторитете конкретных специалистов (консалтинг, аудит, обучение, высокотехнологичные и наукоемкие отрасли) или бизнес может вращаться вокруг информационных активов (разработка ПО, информационных продуктов, электронная коммерция, бизнес в Интернет).

Риски основных активов чреваты потерей бизнеса и невосполнимыми потерями для организации, поэтому на этих рисках в первую очередь сосредоточено внимание владельцев бизнеса и ими руководство организации занимается лично. Риски вспомогательных активов обычно приводят к восполнимому ущербу и не являются основным приоритетом в системе управления организации.

Существующие подходы к управлению рисками

Поскольку риски информационной безопасности являются основными далеко не для всех организаций, практикуются три основных подхода к управлению этими рисками, различающиеся глубиной и уровнем формализма.

Для некритичных систем, когда информационные активы являются вспомогательными, а уровень информатизации не высок, что характерно для большинства современных российских компаний, существует минимальная необходимость в оценке рисков. В таких организациях следует вести речь о некотором базовом уровне ИБ, определяемом существующими нормативами и стандартами, лучшими практиками, опытом, а также тем, как это делается в большинстве других организаций.

Однако, существующие стандарты, описывая некоторый базовый набор требований и механизмов безопасности, всегда оговаривают необходимость оценки рисков и экономической целесообразности применения тех или иных механизмов контроля для того, чтобы выбрать из общего набора требования и механизмов те их них, которые применимы в конкретной организации.

Для критичных систем, в которых информационные активы не являются основными, однако уровень информатизации бизнес процессов очень высок и информационные риски могут существенно повлиять на основные бизнес процессы, оценку рисков применять необходимо, однако в данном случае целесообразно ограничиться неформальными качественными подходами к решению этой задачи, уделяя особое внимание наиболее критичным системам.

Когда же бизнес организации построен вокруг информационных активов и риски информационной безопасности являются основными, для оценки этих рисков необходимо применять формальный подход и количественные методы.

Во многих компаниях одновременно несколько видов активов могут являться жизненно важными, например, когда бизнес диверсифицирован или компания занимается созданием информационных продуктов и для нее могут быть одинаково важны и людские и информационные ресурсы. В этом случае, рациональный подход заключается в проведении высокоуровневой оценки рисков, с целью определения того, какие системы подвержены рискам в высокой степени и какие имеют критическое значение для ведения деловых операций, с последующим проведением детальной оценки рисков для выделенных систем.

Уровни зрелости

На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес процессов, также оказывает влияние ее уровень зрелости. Управление рисками ИБ – это бизнес задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем ИБ, смысл которой заключается в защите бизнеса от реально существующих угроз ИБ.

  1. На начальном уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами под свою ответственность.
  2. На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
  3. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматриваться как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
  4. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования.

Процессная модель управления рисками

В системе управления рисками ИБ на этапе Планирования определяются политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективность контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков.

На этапе Реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Руководством организации принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков.

На этапе Проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры.

На этапе Действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков.

Предлагаем ознакомиться:  Как варить картошку - простой способ и как приготовить быстрее и вкуснее

Факторы риска

Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков. Таких параметров всего семь:

  • Актив (Asset)
  • Ущерб (Loss)
  • Угроза (Threat)
  • Уязвимость (Vulnerability)
  • Мехнизм контроля (Сontrol)
  • Размер среднегодовых потерь (ALE)
  • Возврат инвестиций (ROI)

Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась. Процесс оценки рисков (assessment) включает в себя две фазы. На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:

  • Что является основным активом компании?
  • Какова реальная ценность данного актива?
  • Какие существуют угрозы в отношении данного актива?
  • Каковы последствия этих угроз и ущерб для бизнеса?
  • Насколько вероятны эти угрозы?
  • Насколько уязвим бизнес в отношении этих угроз?
  • Каков ожидаемый размер среднегодовых потерь?

На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), необходимо ответить на вопрос: Какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и, исходя из этого, какие риски превышают этот уровень.

Таким образом, по результатам оценки рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:

  • Какой вариант обработки риска выбираем?
  • Если принимается решение о минимизации риска, то какие механизмы контроля необходимо использовать?
  • Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?

На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за реализацию контрмер.

Принятие решения по обработке рисков

Принятие решения по обработке рисков – ключевой и наиболее ответственный момент в процессе управления рисками. Для того чтобы руководство могло принять правильное решение, сотрудник, отвечающий за управление рисками в организации, должен предоставить ему соответствующую информацию. Форма представления такой информации определяется стандартным алгоритмом делового общения, который включает в себя четыре основных пункта:

  • Сообщение о проблеме: В чем заключается угроза для бизнеса (источник, объект, способ реализации) и в чем причина ее существования?
  • Степень серьезности проблемы: Чем это грозит организации, ее руководству и акционерам?
  • Предлагаемое решение: Что предлагается сделать для исправления ситуации, во сколько это обойдется, кто это должен делать и что требуется непосредственно от руководства?
  • Альтернативные решения: Какие еще способы решения проблемы существуют (альтернативы есть всегда и у руководства должна быть возможность выбора).

Пункты 1 и 2, а также 3 и 4 могут меняться местами, в зависимости от конкретной ситуации.

Инструментарий для управления рисками

В процессе оценки рисков мы проходим ряд последовательных этапов, периодически откатываясь на предыдущие этапы, например, переоценивая, определенный риск после выбора конкретной контрмеры для его минимизации. На каждом этапе необходимо иметь под рукой опросники, перечни угроз и уязвимостей, реестры ресурсов и рисков, документация, протоколы совещаний, стандарты и руководства. В связи с этим нужен некий запрограммированный алгоритм, база данных и интерфейс для работы с этими разнообразными данными.

Для управления рисками ИБ можно применять инструментарий, например, как в методе CRAMM, либо RA2 (показан на рисунке), однако это не является обязательным. Примерно также об этом сказано и в стандарте BS 7799-3. Полезность применения инструментария может заключаться в том, что он содержит запрограмированый алгоритм рабочего процесса оценки и управления рисками, что упрощает работу неопытному специалисту.

Использование инструментария позволяет унифицировать методологию и упростить использование результатов для переоценки рисков, даже если она выполняется другими специалистами. Благодаря использованию инструментария есть возможность упорядочить хранение данных и работу с моделью ресурсов, профилями угроз, перечнями уязвимостей и рисками.

Помимо собственно средств оценки и управления рисками программный инструментарий может также содержать дополнительные средства для документирования СУИБ, анализа расхождений с требованиями стандартов, разработки реестра ресурсов, а также другие средства, необходимые для внедрения и эксплуатации СУИБ.

Выводы

Выбор качественного или количественного подходов к оценке рисков, определяется характером бизнеса организации и уровнем его информатизации, т.е. важностью для него информационных активов, а также уровнем зрелости организации.

При реализации формального подхода к управлению рисками в организации необходимо опираться, прежде всего, на здравый смысл, существующие стандарты (например, BS 7799-3) и хорошо зарекомендовавшие себя методологии (например, OCTAVE или CRAMM). Может оказаться полезным использовать для этих целей программный инструментарий, который реализует соответствующие методологии и в максимальной степени отвечает требованиям стандартов (например, RA2).

Эффективность процесса управления рисками ИБ определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Загрузка ...
Adblock detector