Что представляет собой анализ риска

Что представляет собой анализ риска

ГОСТ Р ИСО/МЭК 31010-2011

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДЫ ОЦЕНКИ РИСКА

Risk management. Risk assessment methods

* По данным официального сайта Стандартинформ

ОКС 03.100.01. — Примечание изготовителя базы данных.

Дата введения 2012-12-01

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "НИЦ КД") на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Менеджмент риска"

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 31010:2009* "Менеджмент риска. Методы оценки риска" (ISO/IEC 31010:2009 "Risk management — Risk assessment techniques").

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. — Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительных приложениях ДА и ДБ

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок — в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.

Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.

Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.

Менеджмент риска включает применение логических и системных методов для:

— обмена информацией и консультаций в области риска;

— установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;

— мониторинга и анализа риска;

— регистрации полученных результатов и составления отчетности.

Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.

Оценка риска позволяет ответить на следующие основные вопросы:

— какие события могут произойти и их причина (идентификация опасных событий);

— каковы последствия этих событий;

— какова вероятность их возникновения;

— какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.

Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.

1 Область применения

Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.

Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.

В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.

Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.

Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.

Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.

Примечание — Настоящий стандарт не связан с аспектами безопасности. Стандарт является основополагающим стандартом в области менеджмента риска, любые ссылки на безопасность носят справочный характер. При введении в действие требований безопасности следует руководствоваться положениями Руководства ИСО/МЭК 51.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:

* Таблицу соответствия национальных стандартов международным см. по ссылке. — Примечание изготовителя базы данных.

Руководство ИСО 73:2009 Менеджмент риска. Словарь. Руководящие принципы для использования в стандартах (ISO Guide 73:2009, Risk management — Vocabulary — Guidelines for use in standards)

ИСО/МЭК 31000:2009 Менеджмент риска. Общие принципы и руководство (ISO 31000:2009, Risk management — Principles and guidelines)

3 Термины и определения

В настоящем стандарте применены термины и определения по Руководству ИСО/МЭК 73.

4 Понятие оценки риска

4.1 Цели и преимущества

Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.

Оценка риска обеспечивает:

— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;

— получение информации, необходимой для принятия решений;

— понимание опасности и ее источников;

— идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;

— возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;

— обмен информацией о риске и неопределенностях;

— информацию, необходимую для ранжирования риска;

— предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;

— выбор способов обработки риска;

— соответствие правовым и обязательным требованиям;

— получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;

— оценку риска на всех стадиях жизненного цикла продукции.

4.2 Оценка риска и структура менеджмента риска

Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.

Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.

Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.

Ответственные за оценку риска должны знать:

— область деятельности и цели организации;

— уровень приемлемого риска и способы обработки неприемлемого риска;

— способы интеграции процессов оценки риска в процессы менеджмента организации;

— методы оценки риска и способы их применения в процессе менеджмента риска;

— систему подотчетности, распределения ответственности и полномочий в области оценки риска;

— требуемые и доступные ресурсы для выполнения оценки риска;

— способы регистрации и анализа оценки риска.

4.3 Оценка риска и процесс менеджмента риска

4.3.1 Общие положения

Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:

— обмен информацией и консультации;

— установление области применения менеджмента риска;

— оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);

— мониторинг и анализ риска.

Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.

Источник



Управление рисками на предприятии: методический и организационный аспекты

В эпоху экономического и финансового кризиса управление рисками является наиболее актуальной проблемой, встающей перед российскими промышленными компаниями. Процессы глобализации становятся еще одним источником экономических рисков, поэтому использование основ риск-менеджмента в управлении будет способствовать достижению целей и задач химических компаний, хотя и, безусловно, не сведет степень вероятности появления различного рода рисков до нулевой отметки.

Внедрение системы риск-менеджмента на предприятиях дает возможность:

  • выявить возможные рисков на всех этапах деятельности;
  • спрогнозировать, сопоставить и проанализировать возникающие риски;
  • разработать необходимую стратегию управления и комплекс принятие решений по минимизации и устранению рисков;
  • создать условия, необходимые для реализации разработанных мероприятий;
  • проводить мониторинг работы системы управления рисковыми ситуациями;
  • анализировать и контролировать полученные результаты.

К особенностям риск-менеджмента можно отнести: необходимость наличия у руководства компаниями опережающего мышления, интуиции и предвидения ситуации; возможность формализации системы управления рисками; способность быстрого реагирования и выявления путей совершенствования функционирования организации, сокращения степени вероятности нежелательного хода событий.

Комплексная система управления рисками ERM (Enterprise Risk Management) во многих зарубежных компаниях, например, в США, используется уже довольно широко, поскольку хозяева крупных мировых компаний уже на практике удостоверились, что старые методы управления не соответствуют современным рыночным условиям и не в состоянии обеспечивать успешное развитие их бизнеса.

Применение риск-менеджмента предполагает четкое распределение ответственности и полномочий между всеми структурными подразделениями. В функции высшего руководства входит назначение ответственных за выполнение необходимых процедур управления рисками на всех уровнях. Такие решения должны соответствовать стратегическим целям и задачам компании и не нарушать условия действующего законодательства. При этом следует правильно распределить среди исполнителей мероприятие по выявлению рисков и функции контроля за создавшейся рисковой ситуацией.

Управление рисками как ключевой инструмент, направленный на повышение эффективности деятельности

Управление рисками является одним из ключевых инструментов, направленных на повышение эффективности программ деятельности руководителей предприятия, которую они могут использовать для снижения стоимости жизненного цикла продукции и смягчить или избежать потенциальных проблем, которые могут помешать успеху деятельности предприятия.

Достижение целей предприятия требует конкретных представлений об основном виде деятельности, технологиях производства, а также изучения основных видов рисков. Предупреждение рисков и снижение потерь от воздействия приводит к устойчивому развитию предприятия. Процесс, при котором деятельность предприятия направляется и координируется с точки зрения эффективности управления риском и представляет собой риск-менеджмент. Управление рисками является процессом выявления потерь, с которыми организация сталкивается в процессе основного вида деятельности и степени их воздействия, и выбора наиболее подходящего метода для управления каждым отдельным видом риска.

В другом представлении, управление рисками представляет собой систематический процесс, при котором риски, оцениваются и анализируются для уменьшения или устранения их последствий, а так же для достижения целей.

На основе вышесказанного можно прийти к выводу, что управление рисками для обеспечения жизнеспособности и эффективности деятельности предприятия, является циклическим и непрерывным процессом, который координирует и направляет основные виды деятельности. Это целесообразно осуществлять при помощи выявления, контроля и снижения влияния всех видов рисков, включая мониторинг, контакты и консультации, направленные на удовлетворение потребностей населения, без ущерба для возможности будущих поколений удовлетворять свои собственные потребности. Оценка риска приводит к стабильности деятельности предприятия, способствующей его устойчивому развитию. Управление рисками — вклад в устойчивое развитие, является существенным фактором в поддержание и повышение стабильной деятельности предприятия. Активный риск-менеджмент имеет решающее значение для процесса управления, в направлении подтверждения, что риски обрабатываются на соответствующем уровне.

Читайте также:  Анализы методом пцр омск

Планирование и осуществление управления рисками включает в себя следующие этапы:

  • управление рисками;
  • определение рисков и степени их влияния на бизнес-процессы;
  • применение качественного и количественного анализа рисков;
  • разработка и исполнение планов реагирования на риски и их реализацию;
  • осуществление мониторинга рисков и процессов управления;
  • взаимосвязь между управлением рисками и результатами деятельности;
  • оценка общего процесса управления рисками.

Методология (программа) по непрерывному управлению рисками

В целях содействия деятельности по управлению рисками предприятию необходимо разработать методологию (программу) по непрерывному управлению рисками (МНУР). МНУР является теоретически значимой программой, направленной на разработку механизмов управления проектами с передовой практикой процессов, методов и инструментов управления рисками предприятия. Она обеспечивает условия для активного принятия решений, постоянной оценки рисков, определения степени значимости и уровня влияния рисков на управленческие решения, и осуществление стратегии для борьбы с ними. Кроме того, может быть также достигнут прогресс в масштабах проекта, бюджета предприятия, сроках его реализации и т.д. Рисунок 1 наглядно иллюстрирует методологию непрерывного процесса управления рисками.

Рис. 1. Непрерывный процесс управления рисками

Составлено автором на основании литературных источников

Процесс управления показателями выступает в качестве вспомогательного инструмента получения информации, необходимой для разрабатываемого механизма риск-менеджмента. Неблагоприятные тенденции должны быть проанализированы и дана оценка их влияния на данный механизм. Соответствующие действия механизма управления должны быть приняты для тех областей деятельности, которые определены как базовые в бизнес-процессах предприятия. Корректирующие действия могут включать в себя перераспределение ресурсов (средств, персонала и изменение графика производства) или активацию запланированной стратегии смягчения последствий влияния рисков. Тяжелые случаи, неблагоприятные тенденции и основные показатели могут также учитываются при использовании данного механизма.

Важно, что данный механизм подчеркивает необходимость переоценки выявленных рисков, систематически влияющих на деятельность предприятия. Поскольку система проходит через жизненный цикл разработки, в данном случае большая часть информации станет доступной для оценки степени риска. Если величина риска изменяется значительно, подходы к его обработке должны быть скорректированы.

В целом, такой прогрессивный подход к управлению рисками имеет решающее значение для всестороннего процесса управления и гарантирует, что показатели риска обрабатываются эффективно и на соответствующем уровне.

Разработка программы управления рисками на предприятии

Рассмотрим политику управления рисками, которую следует применять на предприятии. Разрабатываемый механизм (программа) должен быть направлен на эффективное и непрерывное управление рисками. Таким образом, ранняя, точная и непрерывные идентификация и оценка рисков поощряется, а создание информационно прозрачной отчетности по рискам, планирование мер по уменьшению и предотвращению изменению внешних и внутренних условий будет оказывать при этом положительное влияние на программу.

Данный механизм, включая взаимоотношения с контрагентами и подрядчиками, должен выполнять функции по идентификации рисков и их мониторингу. Для его реализации необходимо наличие некоего плана в виде набора руководящих документов, разработанных для конкретных областей деятельности. Этот план устанавливает руководящие принципы для реализации МНУР в определенном временном интервале. Он не влияет на осуществление других видов деятельности всего предприятия, но скорее может обеспечить руководству лидерство в области управления рисками.

Процесс управления рисками должен отвечать ряду требований: он должен быть гибким, инициативным, а также должен работать в направлении обеспечения условий для эффективного принятия решений. Управление рисками будет влиять на риски путем:

  • поощрения выявления рисков;
  • декриминализации;
  • определения активных рисков (постоянная оценка того, что может пойти не так);
  • выявления возможностей (постоянно оценивая вероятность благоприятных или своевременных случаев);
  • оценки вероятности возникновения и тяжести воздействия каждого идентифицированного риска;
  • определения соответствующих направлений действий для снижения возможного значительного влияния рисков на предприятие;
  • разработки планов действий или шагов для нейтрализации влияния любого риска, который требует смягчения;
  • ведения непрерывного наблюдения за возникновением рисков с незначительной степенью влияния в настоящее время, которое может со временем измениться;
  • производства и распространения достоверной и своевременной информации;
  • содействия взаимосвязи между всеми заинтересованными сторонами программы.

Процесс управления рисками будет осуществляться на гибкой основе, учитывая обстоятельства возникновения каждого риска. Основная стратегия управления рисками призвана определить важнейшие области рисковых событий, как технических, так и нетехнических, и заранее принять необходимые меры, чтобы справиться с ними, прежде чем они окажут значительное влияние на предприятие, вызывая серьезные затраты, снижая качество продукции или производительность.

Рассмотрим более детально функциональные элементы, которые являются составляющими процесса управления рисками: идентификация (выявление), анализ, планирование и реагирование, а также мониторинг и управление. Каждый функциональный элемент рассмотрим ниже.

  1. Идентификация
  • Обзор данных (т.е. освоенный объем, анализ критического пути, составление комплексного графика, анализ Монте-Карло, бюджетирование, дефектный анализ и анализ тенденций и т.д.);
  • Рассмотрение представленных форм идентификации рисков;
  • Проведение и оценка риска с использованием мозгового штурма, индивидуальной или групповой экспертной оценки
  • Проведение независимой оценки выявленных рисков
  • Введите риска в реестр рисков
  1. Идентификация риска / анализ инструментов и методов, которые будут использованы, включают в себя:
  • Методы интервью для определения риска
  • Анализ дерева отказов
  • Исторические данные
  • Извлеченные уроки
  • Учет риска – контрольный список
  • Индивидуальное или групповое суждение экспертов
  • Подробный анализ структуры декомпозиции работ, изучение ресурсов и составление графика
  1. Анализ
  • Проведение оценки вероятности – каждому риску будет присвоен высокий, средний или низкий уровень вероятности возникновения
  • Создание категорий риска – выявленные риски должны быть связаны с одним или несколькими из следующих категорий риска (например, затраты, сроки, технические, программные, процессные, и т.д.)
  • Оценить влияние рисков – оценить влияние каждого риска в зависимости от выявленных категории риска
  • Определение тяжести риска – назначить вероятности и воздействия на рейтинг в каждой из категорий риска
  • Определить сроки, когда рисковое событие, вероятно, произойдет
  1. Планирование и реагирование
  • Приоритетов рисков
  • Анализ рисков
  • Назначить ответственное лицо за возникновение риска
  • Определить соответствующую стратегию управления рисками
  • Разработать соответствующий план реагирования на риски
  • Составить обзор приоритетов и определить его уровень в отчетности
  1. Наблюдение и управление
  • Определить форматы отчетности
  • Определить форму обзора и частоту возникновения для всех классов рисков
  • Отчет о рисках на основе триггеров и категорий
  • Проведение оценки риска
  • Представление ежемесячных докладов по рискам

Для эффективного риск-менеджмента на предприятии считаем целесообразным создание отдела управления рисками. Основные обязанности данной структурной единицы, в том числе для персонала и других пользователей (включая сотрудников, консультантов и подрядчиков), в целях успешной реализации стратегии управления рисками и процессов приведены в табл. 1.

Таблица 1 — Отдел управления рисками роли и обязанности

Роли Возложенные обязанности
Директор программы (ДП) • надзор за рисками деятельности управления.• мониторинг рисков и планов реагирования на риски.

• утверждение решения о финансировании планов реагирования на риски.

• мониторинг управленческих решений.

• рекомендации по осуществлению контроля решений.

• своевременное реагирование на риск финансирования.

• администрирование и поддержание приверженности заинтересованных сторон, процесс управления риском

• обеспечение регулярной координации и обмена информацией по риску между всеми заинтересованными сторонами,

• управление рисками, находящихся в зарегистрированном реестре рисков (базе данных).

• рекомендации (учебный план) управления рисками.

• развитие знаний персонала и подрядчиков в области деятельности по управлению рисками.

• подготовка повестки дня заседания, пакеты оценки риска, а также протоколы заседаний.

• получение и отслеживание статуса предложенных видов риска.

• выполнение первоначальной оценки предлагаемых видов риска для определения наиболее важного.

• эксперт предметной области анализа риска по просьбе председателя СД.

• содействие проведению анализа членами Совета Директоров, которые будут принимать решение о том, необходимо ли снижение рисков.

• регулярная координация и коммуникация риска обмена информацией со всеми заинтересованными сторонами,

• отслеживание интеграции усилий ответственных лиц по управлению рисками в своих зонах ответственности.

• выбор и утверждение стратегии реагирования на риски. Это включает в себя утверждение ресурсов (например, риск владельца) для дальнейшего анализа рисков и / или составление более детального плана реагирования на риски в случае необходимости. Утверждение всех задач.

• назначение ресурсов для ответных мер по управлению риском, содержащихся в детальном плане.

• выявление возможных рисков по данным с использованием стандартной формы идентификации при необходимости

• составление и выполнение плана реагирования на риски

• определение времени и всех расходов, связанных с реализацией плана реагирования на риски

• рекомендация стратегии реагирования на риски

• участие в разработке планов реагирования

• отчет о статусе рисков и эффективность планов реагирования на риски

• работа по определению средств реагирования на риски путем любого дополнительного или остаточного риска.

• доклад о ходе и результатах реагирования на риски.

Составлено автором по материалам исследования

Функции управления рисками заключаются в организации взаимодействия с существующими подразделениями организационной структуры. ИПЦ формируются для функциональных областей, которые имеют решающее значение для успешной реализации поставленных задач. Все функциональные отделы или бизнес-процессы, не охваченные КБ, оцениваются и рассматриваются ДП, ПМ, и служащим для обеспечения адекватного поведения в отношении появления риска. Идентификация рисков представляет собой процесс определения того, какие события могут повлиять на деятельность предприятия, и документирования их характеристик. Важно отметить, что идентификация риска является повторяющимся процессом. Первая итерация является предварительной оценкой и проверкой по рискам команды, по мере необходимости, с идентификатором риска. Вторая итерация включает в себя презентацию, просмотр и обсуждение. Процесс управления рисками включает три отдельных этапа по характеристике рисков: выявление, оценка и корректировка, и подтверждение.

Графическое изображение процесса идентификации рисков представлено на рис. 2.

Рис. 2. Структурная схема алгоритма идентификации риска

В результате его внедрения может быть разработан комплекс мероприятий, позволяющих оценить операционные риски предприятия, интегральный риск, количественная оценка которого основана на комплексном анализе финансовой и бухгалтерской отчётности, и проведение оценки интегрального риска на основе всех уровней ответственности предприятия.

Заключение

Управление рисками на химических предприятиях необходимо осуществлять в рамках системного и процессного подходов, с учетом специфики отрасли с использованием современных эффективных методов управления и организаций производства, а также с использованием инструментов риск-менеджмента. Система риск-менеджмента деятельности химического предприятия должна обязательно учитывать требования безопасности, установленными государственными органами власти, и обеспечивать безопасность и сохранение здоровья персонала, связанного с опасным технологическим объектом. В целях эффективного риск-менеджмента предприятия необходима система управления интегральным риском, которая заключается в комплексном подходе к оценке максимального числа факторов риска деятельности предприятия, осуществляемой в условиях динамичной экономической среды. Автор считает, что разработка вышеописанного комплекса мероприятий будет сопутствовать повышению уровня управления и оценки рисков в промышленных организациях.

Источник

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник

Что представляет собой анализ риска

Главная картинка статьи №21

Виды анализа рисков

Доброго времени суток, Уважаемые коллеги!

Предыдущую статью мы посвятили активности идентификации рисков.

Сегодня мы хотим поговорить про виды анализов рисков и обосновать необходимость их применения при определенных условиях.

Рассматриваемая тема будет особо актуальна для тех коллег, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них выполняют анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

Введение

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними, на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточноконечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строгоопределенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потнециальных причин рисков принято называть видами анализа рисков.

Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков — процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его «хозяина».

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не «впасть в крайности» и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков — это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, при первичном выявлении, это во многом интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

  • Тип организации;
  • Окружение потенциально «ущербной» ситуации;
  • Форма результатов должна повышать осведомленность о виде риска и его периодичности;
  • Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

  • Цели организации;
  • Цели исследования риска;
  • Ответственность возможных вариантов решения;
  • Тип риска и его характеристики;
  • Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

  • Степень качества и полноты используемых экспертиз;
  • Доступность однозначной и непротиворечивой информации о риске, и его окружении;
  • Необходимость в периодичном обновлении данных о риске;
  • Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения «рисковой» составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит «под угрозу» связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

  • Мозговой штурм;
  • Структурированные или частично структурированные интервью;
  • Метод Делфи;
  • Контрольные листы;
  • Предварительный анализ опасностей;
  • Исследование опасности и работоспособности;
  • Анализ опасности и критических контрольных точек;
  • Оценка токсикологического риска;
  • Структурированный анализ сценариев методом «что, если?» (SWIFT);
  • Анализ сценариев;
  • Анализ воздействия на бизнес;
  • Анализ первопричин;
  • Анализ видов и последствий отказов (FMEA);
  • Анализ дерева неисправностей;
  • Анализ дерева событий;
  • Анализ причин и последствий;
  • Причинно-следственный анализ;
  • Анализ уровней защиты;
  • Анализ дерева решений;
  • Анализ влияния человеческого фактора;
  • Анализ «галстук-бабочка»;
  • Техническое обслуживание, направленное на обеспечение надежности;
  • Анализ скрытых дефектов;
  • Марковский анализ;
  • Моделирование методом Монте-Карло;
  • Байесовский анализ и сети Байеса;
  • Кривые FN;
  • Индексы риска;
  • Матрица последствий и вероятностей;
  • Анализ эффективности затрат;
  • Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод — «Оценка токсикологического риска»), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой статье.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:

  1. Сбор данных и сведений;
  2. Формирование цели и задач;
  3. Идентификация ИТ активов;
  4. Составление реестра ИТ активов, значимых для данной ситуации;
  5. Документирование и синтез полученной информации;
  6. Обоснование и выбор метода по оценке рисков;
  7. Предварительная оценка рисков и масштаба возможных проблем;
  8. Выбор наиболее значимых рисков и дальнейший их анализ;
  9. Выводы по проведенной работе для руководства. Резюме;
  10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему «жизненноважные решения» по управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их «порождают». Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.

Обработка информационных рисков

Оценка информационных рисков дает ответы на вопросы, связанные с информационными активами, направлением защиты от рисков, которым подвержены данные активы и то, от чего именно следует защищаться. После этого успех поставленных целей будет зависеть от того, какая стратегия защиты будет выбрана. Для того, чтобы наиболее оптимально выбрать стратегию защиты риск должен быть «разложен» на качественную и количественную составляющие.

Целью обработки рисков является выявление метрик, с помощью которых становится возможным уменьшить до приемлемого для организации уровня или устранить возможный ущерб.

Итогом процесса обработки риска должно стать решение о том, до какой степени детализации и дальнейших действий над ним, необходимо будет подвергнуть тот или иной риск. Данное решение должно быть принято ответственными исполнителями, в зависимости от имеющейся у них информации, и в дальнейшим пройти согласование с лицами, принимающими решение.

Виды анализа информационных рисков. Обзор

Каждый риск, в зависимости от изученности и степени влияния на анализируемую активность, должен подвергнуться определенному типу исследования. Чем с более сложным, комплексным и малоизученным риском сталкивается организация, тем более подробно он должен быть изучен и исследован.

На текущий момент, наиболее популярным и экономически оправданным является следующая классификация анализов рисков по типам работы над ними:

  • качественный;
  • количественный.

Качественный и количественный анализы являются взаимно дополняющими видами анализа, представляя собой последовательные этапы единого и самодостаточного процесса работы над рисками.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, свойственных проекту или процессу. При качественном анализе рисков определяются, описываются причины и факторы, влияющий на уровень данного вида риска и его влияние на деятельность в целом. Кроме того, желательно описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить дальнейшие варианты по работе над выявленными рисками. Стоимостная оценка может быть представлена виде абсолютной шкалы, так как цель качественного анализа рисков заключается в верхнеуровневом выявлении рисков.

Данный тип анализа, как правило, проводится на стадии разработки бизнес-плана, а предварительное исследование рисков позволяет сформировать базисную информацию для начала работы над рисками. К дополнительным, но также весьма значимым, результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Количественный анализ рисков предполагает численное определение величин реализации отдельных рисков, выявленных в результате качественного анализа рисков. Методы количественного анализа рисков основаны на строгих математических алгоритмах (метод Монте-Карло), теории вероятности, математической статистике, теории исследований операций и т.д., которые реализуют и поддерживают определение числовых метрик, описывающих возможный потенциальный и явный ущерб от осуществления риска.

Для того, чтобы количественный анализ рисков был выполнен наиболее эффективно и смог достигнуть результатов своего выполнения необходимы два условия:

  • наличие проведенного базисного расчета проекта и его последовательностей;
  • проведение полноценного качественного анализа.

Таким образом, уместно будет отметить, что количественный анализ рисков выполняется только при условии выполненного качественного анализа рисков. Этот вид анализа является более дорогим и требовательным к исходным данным, по сравнению с качественным, что делает его менее доступным для широкой аудитории специалистов. Количественный анализ рисков целесообразен для выполнения только в крупных компаниях, заинтересованным в «зрелых» и качественных результатах деятельности по работе с рисками.

Выводы

Сегодняшняя статья стала введение в активность анализа рисков, послужив «мостом» между процессом оценки рисков и рассмотрением видов анализа рисков, проводить которые оправданно, в зависимости от целей процесса управления и анализа рисков, которые преследует организация, выполняющая данную активность.

Выбор конкретного метода анализа рисков, по нашему мнению, зависит от следующих факторов, влияющих на качество выполняемой деятельности:

  • Полнота и подробность информационной базы исследуемой области;
  • Требований к конечным результатам (показателям);
  • Уровень квалификации персонала;
  • Финансирование;
  • и т.д.

Для небольших проектов можно, а в некоторых случаях даже нужно, ограничиться простыми методами анализа рисков, которые оправданны окружением и видом процесса\проекта, для которого осуществляется анализ рисков. В случаях, для которых необходим более тщательный анализ рисков простыми методами будет не ограничиться, и следует привлечь более сложные методики.

Методы анализа рисков следует применять комплексно, используя наиболее простые из них на стадии предварительной оценки (качественный анализ), а сложные и требующие дополнительной информации — при окончательном обосновании выбранного пути проекта или процесса (количественный анализ).

В следующий раз мы посвятим большее количество времени и вашего внимания рассмотрению качественного анализа рисков, сосредоточив Ваше внимание на конкретных методиках и описанию активностей, способствующих данному анализу рисков.

Источник

On: