- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
Формирование и формализация понятия риска.
Говоря о развитии теории риска за рубежом, следует обратить внимание на происхождение слова «риск».
По данному поводу существуют разнообразные мнения и точки зрения различных учёных. Ряд исследователей считает, что достоверно установить происхождение слова «риск» не представляется возможным. Некоторые исследования свидетельствуют, что оно арабского происхождения. Другие исследователи считают, что происхождение термина «риск» восходит к греческим словам ridsikon , ridsa — утес, скала.
Другие подходы к происхождению слова «риск» заключаются в том, что оно имеет испанское ( risco - отвесная скала) или итальянское ( risiko — опасность, угроза; risicare — лавировать между скал) происхождение.
В Европе оно начинает встречаться уже в средневековых источниках; в русском языке данное слово становится заимствованным либо из испанского, либо из португальского языка. Важными сферами применения слова «риск» являются мореплавание и морская торговля: мореплаватели под этим словом понимали опасность, которая могла угрожать их кораблям.
В англоязычной научной литературе, например, в работах Адама Смита и классиков, широко использовалось слово «hazard» (опасность), а слово «risk» (risque) начало применяться около 1830 г. в страховых операциях, и в течение примерно 100 лет два этих произношения существовали параллельно, и только в XX столетии слово «risk» окончательно утвердило себя в экономической литературе и деловой практике.
Тем не менее, несмотря на столь длительную историю, в рамках сегодняшнего дня и требований рыночной экономики в западной экономической литературе выделяются две основные теории риска - классическая и неоклассическая.
Рассматривая первую теорию, яркими представителями которой были Милль и Сеньор, необходимо подчеркнуть, что в структуре предпринимательского дохода ими выделяется процент от вложенного капитала, заработная плата капиталиста и оплата за риск (как возмещение возможного риска, связанного с предпринимательской деятельностью).
Риск в классической теории отождествляется с математическими ожиданиями потерь, которые могут быть в результате реализации избранного решения. Таким образом, обобщая, можно сказать, что основными положениями классической теории является определение риска как вероятности понести убытки и потери от выбранного решения и стратегии деятельности. Такое одностороннее толкование содержания риска вызвало резкое осуждение со стороны специалистов.
Вторая теория риска была разработана в 20-30 годах XX века А. Маршалом и А. Пигу. Приверженцы неоклассической теории считают, что предпринимательство, которое функционирует в условиях неопределенности, должно руководствоваться в своей деятельности двумя категориями: размером ожидаемой прибыли и величиной ее возможных отклонений. Поведение предпринимателя согласно этой теории обуславливается концепцией предельной пользы. Это означает, что если необходимо, например, выбрать один из двух вариантов капиталовложений, дающих одинаковую прибыль, то выбирается тот вариант, где колебания прибыли меньше.
Из неоклассической теории риска следует: гарантированная прибыль имеет большую ценность, чем ожидаемая прибыль такого же размера, но связанная с возможными колебаниями. Дополняя неоклассическую теорию, Дж. Кейнс обратил внимание на такое понятие как «склонность к риску», то есть учет фактора удовлетворения от риска приводит к выводу, что ради ожидания большей прибыли предприниматель может пойти на больший риск. Таким образом, неоклассический подход предусматривает, что риск - это вероятность отклонения от поставленных целей.
Необходимо подчеркнуть условность разделения положений классической и неоклассической школы. Если в первом случае учитывается опасность понести ущерб, а следствием является отклонение от поставленных целей, то во втором случае основа - это достижение цели, а получение ущерба - это следствие отклонения от поставленных целей.
Но, несмотря на проработанность этих положений, следует отметить, что теория риска в то время не рассматривалась как самостоятельная отрасль знания. Все научные разработки, связанные с рисками, велись в рамках более важных на тот момент экономических теорий.
На сегодня нет однозначного понимания сущности риска. Это объясняется, в частности, практически полным игнорированием его нашим хозяйственным законодательством в реальной экономической практике и управленческой деятельности. Кроме того, риск - это сложное явление, имеющее множество несовпадающих, а иногда противоположных реальных основ. Это обуславливает возможность существования нескольких определений понятий риска с разных точек зрения.
Рассмотрим ряд определений риска, даваемых отечественными и зарубежными авторами (следует отметить, что все они укладываются в рамки вышеописанных теорий риска).
Риск - потенциальная, численно измеримая возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий.
Риск – вероятность возникновения потерь, убытков, недопоступлений планируемых доходов, прибыли.
Риск - это неопределенность наших финансовых результатов в будущем.
J.P. Morgan определяет риск как степень неопределенности получения будущих чистых доходов.
Риск - это стоимостное выражение вероятностного события, ведущего к потерям.
Риск - шанс неблагоприятного исхода, опасность, угроза потерь и повреждений.
Риск - вероятность потери ценностей (финансовых, материальных товарных ресурсов) в результате деятельности, если обстановка и условия проведения деятельности будут меняться в направлении, отличном от предусмотренного планами и расчетами.
Таким образом, четко заметна тесная связь риска, вероятности и неопределенности. Чтобы наиболее точно раскрыть категорию «риск», необходимо определить такие понятия как «вероятность» и «неопределенность», поскольку именно эти два явления лежат в основе рисков.
Рассмотрим понятие вероятности. Данный термин является фундаментальным для теории вероятностей и позволяет количественно сравнивать события по степени их возможности. Вероятностью события является определенное число, которое тем больше, чем более возможно событие. Вероятность — это возможность получения определенного результата. Очевидно, что более вероятным считается то событие, которое происходит чаще. Таким образом, в первую очередь понятие вероятности связано с опытным, практическим понятием частоты события.
В качестве единицы измерения принято считать вероятность достоверного события, т.е. такого события, которое в результате какого-либо опыта, процесса деятельности непременно должно произойти.
Выделяют субъективную и объективную вероятность.
Концепция объективных вероятностей строится на интерпретации понятия вероятности как предельного значения частоты при бесконечно большом числе экспериментов, и оценка вероятности производится посредством вычисления частоты, с которой происходит данное событие. Например, частота возникновения некоторого уровня потерь в процессе реализации проекта может быть рассчитана по формуле
f (A)= n(A)/n , где
f — частота возникновения некоторого уровня потерь;
n (А) — число случаев наступления этого уровня потерь;
n — общее число случаев в статистической выборке, включающее как успешно осуществленные, так и неудавшиеся инвестиционные проекты.
Точность измерения объективных вероятностей зависит от объема статистических данных и возможности их использования для будущих событий, то есть от сохранения условий, в которых происходили прошлые события.
Вместе с тем, во многих случаях при принятии решений статистические данные о частотах появления ситуации весьма малы по объему либо вообще отсутствуют. Поэтому используется второй путь измерения вероятностей ситуации, основанный на субъективных измерениях лица, принимающего решение.
В связи с этим измеряемые таким путем вероятности называют субъективными вероятностями ситуации. При определении субъективных вероятностей на первое место выступает мнение субъекта, отражающее состояние его информационного фонда. Иначе говоря, субъективная вероятность определяется на основе предположения, основывающегося на суждении или личном опыте оценивающего (эксперта), а не на частоте, с которой подобный результат был получен в аналогичных условиях. Отсюда широкое варьирование субъективных вероятностей, которое объясняется широким спектром различной информации или различных возможностей оперирования с одной и той же информацией. Субъективные вероятности при выполнении некоторых предположений обладают свойствами обычных объективных вероятностей. Поэтому с ними можно производить обычные операции, определяемые в теории вероятностей.
Зависимость от объемов исходной информации с одной стороны и зависимость от субъекта с другой – все это ведет к тому, что к вероятностной ситуации добавляется неопределенность.
Неопределенность предполагает наличие факторов, при которых результаты действий не являются детерминированными, а степень возможного влияния этих факторов на результаты неизвестна; например, это неполнота или неточность информации.
Условия неопределенности, которые имеют место при любых видах предпринимательской деятельности, являются предметом исследования и объектом постоянного наблюдения экономистов самых различных профилей, а также специалистов других отраслей (юристов, социологов, политологов, психологов и т.п.). Такой комплексный подход к изучению данного явления (явления неопределенности в бизнесе) связан с тем, что хозяйственные субъекты в процессе своего функционирования испытывают зависимость от целого ряда факторов, которые можно подразделить на внешние и внутренние.
-
внешние факторы — законодательство, реакция рынка на выпускаемую продукцию, действия конкурентов;
-
внутренние — компетентность персонала фирмы, ошибочность определения характеристик проекта и т.д.
Особенно значительное влияние этих условий проявляется в нашей стране при построении экономики рыночного типа, когда появляются самые различные виды неопределенности для всех субъектов ее хозяйственной деятельности.
Природа неопределенности может быть классифицирована достаточно широко. Нижеприведенный подход классифицирует неопределенность в зависимости от информации и формы этой информации, которой располагает субъект при принятии решений:
-
неизвестность (незнание),
-
физическая неопределенность,
-
недостоверность (неполнота, недостаточность, не адекватность, расплывчатость),
-
неоднозначность,
-
лингвистическая неопределенность.
Иной подход к классификации неопределенностей приводится в кн. Дж. фон Неймана и О. Моргенштерна «Теория игр и экономическое поведение. 1970»:
Комбинаторное количество вариантов, которое (рассмотреть) просмотреть в отведенное время невозможно даже при наличии быстродействующих ЭВМ (полный перебор вариантов невозможен. Примером большого количества вариантов стратегий могут являться шахматы.
Случайные факторы происходящих событий как результат действия случайных сил: рассеяние попаданий в мишень при стрельбе; случайные потоки требований в обслуживающую систему; случайные потоки денежных средств в банковскую систему или на предприятие и т.д.
Стратегическая неопределенность (игровая неопределенность по существу) из-за неизвестного поведения противника (партнера - другого участника игры, включая игру с природой)
В чистом виде рассмотренные неопределенности встречаются редко - чаще можно встретить их смешанные варианты. Так, большинство игр можно рассматривать по типу неопределенности:
-
Морской бой: Неопределенность стратегическая + комбинаторная
-
Пасьянсы: Неопределенность комбинаторная + стохастическая (вероятностная)
-
Покер: Неопределенность стратегическая + стохастическая
-
Преферанс: Неопределенность стратегическая + стохастическая + комбинаторная.
В этом примере в основном перечислены карточные игры, чему обязана развивающаяся теория игр, включая и теорию вероятностей. На этих примерах легче объяснить существо дела при рассмотрении выводов и доказательств. Конкретные же экономические проблемы сложнее перевести на язык математики (их трудно облечь в математическую форму, не мало времени трудностей занимает и интерпретация полученных результатов).
Таким образом, проблема лежит не в плоскости математики, а в формулировке ее на предметном языке. Для этого надо еще хорошо представлять реальный процесс финансовых операций и поведение разных категорий игроков при меняющихся обстоятельствах.
Еще один подход к классификации неопределенности используется при проектировании работ:
Человеческая неопределенность связана с невозможностью точного предсказания поведения людей в процессе работы. Люди отличаются друг от друга уровнем образования, опытом, творческими способностями, интересами. Индивидуальные реакции меняются изо дня в день, в зависимости от самочувствия, настроения, контактов с другими людьми и т.д.
Техническая неопределенность значительно меньше по сравнению с человеческой, однако с ней надо считаться. Техническая неопределенность связана с надежностью оборудования, предсказуемостью производственных процессов, сложностью технологии, уровнем автоматизации, объемом производства, темпами обновления и т.д.
Социальная неопределенность определяется стремлением людей образовывать социальные связи и помогать друг другу. Ведут себя в соответствии с взаимно принятыми обязательствами, служебными отношениями, ролями, стимулами, конфликтами, традициями и т.п. Структура таких взаимоотношений не определена.
В этих условиях прогнозирование и планирование производства, объем продаж и величины денежных потоков, разработка проектов строительства и бизнес-планов, могут быть рассчитаны лишь приближенно, и зачастую бизнес, вместо ожидаемой прибыли, может принести убытки, величина которых может превысить не только вложенные в дело средства, но и все имеющееся в его распоряжении имущество. Хорошим примером этому являются азартные карточные игры.
На основании вышесказанного можно сделать вывод, что в основе риска лежит вероятностная природа рыночной деятельности и неопределенность ситуации.
Далее, следует учитывать, что риск сопутствует всем процессам, идущим в компании, вне зависимости от того, являются ли они активными или пассивными (в юриспруденции для этого существует термин «деяние» - действие или бездействие).
Таким образом, здесь открывается третья сторона риска – его принадлежность какой-либо деятельности. Иначе говоря, если предприятие планирует реализовать проект - оно подвержено инвестиционным, рыночным рискам; если же компания не осуществляет никаких действий, она опять-таки несет риски – риск неполученной прибыли, те же рыночные риски и пр. Это заложено уже в самом определении понятия «предприятие».
Следовательно, компания планирует свою деятельность в условиях неопределенности. Выбирая ту или иную стратегию развития, предприятие может как преумножить, так и потерять свои средства (то есть получить сумму, меньшую, чем запланированная). Находясь в условиях неопределенности, перед руководством возникает множество альтернативных решений, вероятность успешной реализации которых (а значит, и получения доходов в полном объеме), зависит от множества факторов, воздействующих на предприятие изнутри и извне, в том числе и от субъективных оценок руководителя. В этой ситуации и проявляется понятие риска.
Следовательно, можно охарактеризовать риск как вероятность недополучения планируемых доходов в процессе снижения неопределенности, сопутствующей деятельности компании.
Информационные риски
Стремительное развитие ІТ-инфраструктуры предприятий неизменно влечет не контролированный рост количества информационных угроз и уязвимостей информационных ресурсов. В этих условиях оценка информационных рисков позволяет определить необходимый уровень защиты информации, осуществить его поддержку и разработать стратегию развития информационной структуры компании. Оценка и анализ информационных рисков является необходимым условием при создании системы управления рисками и плана обеспечения непрерывности и возобновления бизнеса. Помогая правильно расположить приоритеты при построении системы защиты информации, отдельные компоненты которой не будут противоречить друг другу, оценка и анализ информационных рисков позволяет также оптимизировать расходы на создание системы.
Существуют международные и национальные стандарты, требования которых предусматривают оценку и анализ рисков, но они не определяют концепции и подходы к их выбору, что необходимо для эффективной работы систем безопасности.
Риск – риск в сфере информационной безопасности – это вероятность реализации угрозы информационной безопасности под которой понимают потенциальную возможность нарушения безопасности
Целью анализа рисков, связанных с эксплуатацией информационных систем (ИС), является оценка угроз (т. е. условий и факторов, которые могут стать причиной нарушения целостности системы, ее конфиденциальности, а также облегчить несанкционированный доступ к ней) и уязвимостей (слабых мест в защите, которые делают возможной реализацию угрозы), а также определение комплекса контрмер, обеспечивающего достаточный уровень защищенности ИС. При оценивании рисков учитываются многие факторы: ценность ресурсов, значимость угроз, уязвимостей, эффективность имеющихся и планируемых средств защиты и многое другое.
Однако положение начинает меняться. Среди отечественных специалистов служб информационной безопасности (ИБ) зреет понимание необходимости проведения такой работы. В первую очередь это относится к банкам и крупным коммерческим структурам, т. е. к тем, которые серьезно заботятся о безопасности своих информационных ресурсов.