Как формулировать риск

risk-miscalculationРиски, угрозы, дестабилизирующие воздействия, нежелательные события – в литературе и, как следствие, в практике можно встретить совершенно различное понимание всех «неприятностей», которые поджидают ИТ-услуги на их и так не простом пути формирования ценности для заинтересованных сторон. Все бы ничего, но когда дело доходит до составления реестра, рисками называют и события, и угрозы, которые приводят к наступлению нежелательных событий, и уязвимости, и негативное влияние. Это затрудняет и непосредственно процесс оценки, и разработку мероприятий по снижению рисков. А ведь там и без того сложностей хватает. Хочется разобраться.

Открыв ISO 31000, можно увидеть, что "риск – это влияние неопределенности на цели", где:

  • Влияние (воздействие, эффект) – отклонение от ожидаемого/желаемого.
  • Неопределенность – состояние нехватки информации для понимания события, последствий, вероятности.
  • Цели в пояснении вроде бы не нуждаются.

Влияние реализуется через наступление события. Событие – случай или изменение некоторого набора обстоятельств, которые имеют значение в контексте цели. Событие имеет причины и последствия. Причина – то, что приводит к наступлению события. Последствия – исход события, непосредственно воздействующий на цели организации (проекта/услуги/подразделения – в зависимости от объекта анализа). Последствия ­– вообще говоря, то, почему данное событие нас беспокоит.

Вернемся к определению. Получается, что риск – это [событие, влияющее на достижение целей], обусловленное [причинами] и способное привести к [последствиям].

Пользу от такой формулировки риска постараюсь проиллюстрировать:

risk_defТо, что обычно называют угрозами или источниками риска – действия злоумышленников, конкурентов, природные катаклизмы, изменения рынка и т.д. – обычно не зависящие от нас факторы, обусловленные средой, но мы их должны взять в расчет, так как эти причины могут привести к наступлению нежелательных событий. Приведут или не приведут – определяется нашим уровнем защищенности или, как чаще говорят, уязвимости.

Если нежелательное событие происходит, это может привести к массе неприятных последствий: простой бизнес-процессов, затраты на восстановление, штрафы/санкции, репутационные потери. Насколько велики будут эти потери, зависит как от характера события, так и от, например, длительности негативного воздействия, а также наших действий по реагированию на случившуюся неприятность.
Получается, что вероятность в этом выражении возникает трижды:
  • Вероятность наступления причин, появления источника риска, угрозы. Зависит от среды, в которой ведется деятельность.
  • Вероятность, что появление угрозы приведет к наступлению события. Чем выше уязвимость (подверженность угрозе) и/или сила угрозы, тем выше эта вероятность.
  • И, наконец, вероятность того, что произошедшее событие приведет к описанным последствиям. PMBOK, например, предлагает описывать пессимистический, наиболее вероятный, оптимистический сценарий. А в общем случае исходов множество.

Разумеется, такая формулировка  не единственно возможный вариант и точно не догма, но, на мой взгляд, удобный способ быстро перейти к более глубокому анализу и оценке риска, так как все его составляющие уже прояснены и их остается только уточнить. Кроме того, далее можно естественным образом прийти к списку возможных контрмер  ради чего все и затеивается. 

ITIL ITIL Practitioner — новый учебный курс 2016

Правильный следующий шаг после ITIL Foundation.
 

Узнайте больше!

Комментарии и мнения

    1. Justmag

      Алексей,

       воспользоваться конечно проще, НО 

      приведите пример стандарта, результаты использования которого дают однозначное и понятное измеренное значение риска ИБ... желательно еще повторимое и статистически проверенное на многих реальных примерах

        1. Алексей

          Я к тому, что перед тем как вводить свои понятия и методики, было бы разумно проанализировать существующие понятия и методики в ИБ, провести критический анализ, выявить действующие недостатки, ввести и обосновать свои понятия...эта стандартная инженерная и научная практика...

          А действующие стандарты по инфомрационной безопасности — это, упрощенно говоря, и есть лучшие практики. Что значит "повторимое и статистически проверенное"

          Для примера действующих стандартов, приведу базовые  серии ISO/IEC 27001, и банковский стандарт — калька СТО БР ИББС

          Это то, что уже работает, и на что выделяют деньги. Оптимизация? Должна быть обоснована.

          "дают однозначное и понятное измеренное значение риска ИБ"

          Риск — величина Вероятностная. И измерить ее точно — согласитесь, звучит логически некорректно. Используются методики оценки рисков, вещь не сложная, но "муторная", и зачастую, конечно, субъективная.

          P.S. Ваша статья, несомненно, интересна, но довольна упрощенна.

           

           

          1. justmag

            прошу прощения, но я писал про "однозначное" и "понятное" измерение риска, а не "точное". Это бльшая разница.

            Ни 1 из известных мне стандартов не имеет такой методики.

            "Лучшие практики" это маркетинг.

            Ни по 1 из них не я не встречал реальных статистических данных (или иных измерений) по анализу влияния оценки риска по их методикам на результаты управления риском.

            1. Алексей

              Так Риск- величина вероятностная. Как вероятность может быть "однозначной"?;))

              "Понятное" — а что там не понятного? Теория вероятностей?

              А методики, построенные на такой базе не будут давать однозначный результат. Это очевидно.

              Критиковать существующие подходы — легко. Предложите конструктивно свой подход.

              1. justmag

                Риск — это не величина.

                Вероятностная величина — это значение (или оценка) риска.

                Методика основанная на системном (научном) подходе будет проверена на экспериментах и будет выдавать одинаковый результат при одинаковых входных данных при применении разными людьми.

                По применению научных методов пишут статьи с описанием экспериментов и результатов применения на практике, с цифрами в единицах СИ.

                Я не встречал подобного применительно к COBIt, CMMI, и даже к ISO.

                А про Понятное...

                а)чем отличаются 2 процесса с бюджетом 1 МЛН. и одинаковым уровнем зрелости 3?

                б)в каком из 2 процессов большй риск: в том, у которого вероятность реализации риска по ISO 27005 "5" и влияние "5" или в том у которого  вероятность реализации риска по ISO "5" и влияние "5"? (опечаток в предложении нет!)

                P.s. я по молодости пытался применить "лучшие практики" для решения задач, свой метод предложу

  1. Павел С.

    Согласен с пердыдущим оратором по поводу велосипеда.

    Ещё хотелось бы добавить, что не стоит путать определение явления и структуру явления.

    В вашем случае вы засунули в определение описание струкутры.

    Если его упростить, то получится, что Риск это Событие. Это в корне не верно.

      1. Павел С.

        Существует конечно же множество определений Риска, некоторые авторы определяют его и как соытие и как вероятность, но на мой взгля правильнее рассматривать Риск как явление, выражающееся в получении нежелательного исхода чего-либо.

        Если рассматривать более узко, риск как экономическую категорию, то Риск это возможность получения ущерба или убытка.

         Возникновение такого явления как риск связано с вероятностным характером окружающего нас мира.

        Мерой риска является вероятность получения убытка и размер этого убытка.

        Как-то так, примерно.

         

        1. Justmag

          а разве явление, выразившееся в нежелательном исходе, это не событие? 🙂  событие которое может случиться ...

          i.e. реализация риска: наступил момент Х (тоже событие) и в это время наступил нежелательный исход от деятельности (событие)

          1. Павел Солопов

            Событие, это слишком общее понятие. Событием можно назвать всё что угодно.

            Событие не является риском. Событие это вообще некая "объективная реальность", а риск это то, как мы воспринимаем это событие. Является ли оно для нас нежелательным, является ли его возникновение для нас неопределённым?

            Допустим мы вкладываем куда-то какие-то средства, заведома зная, что мы их потеряем, является ли в этом случае событие "потеря денег" для нас риском? Нет!

            А через событие можно дать определение чему угодно. Например:

            Прибыль — событие получения дохода превышающего расходы. Инцидент — событие, которое не должно было произойти в соответствии с регламентом работы системы. Автомобильная авария — событие, соприкосновения автомобиля с другим автомобилем или иным объектом.

            Более того, даже если ничего не произошло, это тоже событие.

            1. Justmag

              все верно кроме последнего — если ничего не произошло, то и никакого события нет 🙂 т.е. событие — то о чем мы знаем и скорее то что мы предполагаем, ожидаем, рассматриваем. Если мы чего-то (в т.ч. событие) не знаем, мы узнаем позже, но в настоящем этого для нас не существует.

              событие — это просто и его можно выразить бинарно 1 или 0 (случаи когда риска нет мы здесь не рассматриваем)

              какова же разница если мы это назовем явлением?

              1. Павел Солопов

                Не верно. "Ничего не произошло" это для нашего субъективного восприятия не событие. А с точки зрения причинно-следственных связий. Это такой же элемент цепочки событий.

                Каждое мгновение нашей жизни это многовариантная развилка.

                Пока я пишу это сообщение у нас в офисе могут выключить электричество, а могут и не выключить: к окончанию написания поста электричество не выключили это событие, которое даёт начало одной ветви дальнейших событий, электричество выключили — иное событие, иная ветвь.

                Хотя субъективно для меня ничего не произошло, поскольку электроэнергию не отключили, как я и полагал.

  2. Justmag

    Павел, вы ставите правильные вопросы

    Взяв за основу туманное определение из ИСО 31000 вы пришли к верным выводам.

    Риск — это событие.

    Да, существует 3 а можт и больше вероятностей в анализе конкретного риска в зависимости от объекта анализа. На практике большинство из них потом станет 1.

    Кроме того, их можно упрощать и объединять по правилам теории вероятностей. 

  3. Павел Дёмин Автор

    Алексей, Павел, Justmag, спасибо за замечания! Вы, конечно, правы относительно определения и структуры. Я не пытаюсь дать еще одно определение риска (их как правильно заметили и так хватает), я пытаюсь прийти к некоторой конструкции, подходу к формулировке риска, так чтобы результат был:

    а) максимально ясным – не смешивались понятия источника/угрозы, события и последствий;

    б) максимально конкретным, практичным – удобным для последующего анализа и оценки.

    Приведенная структура, на мой взгляд, может помочь в получении такого результата. 

    И в первую очередь при управлении рисками, полагаю, нас интересуют именно нежелательные события: их понимание (включая причины и следствия), а затем поиск того, как их предотвратить и/или как с ними справляться.  

    1. Алексей

      .Для ясности понятийного аппарата посоветовал бы воспользоваться определениями из стандарта по ИБ ГОСТ Р ИСО/МЭК 13335-1-2006 , где, на мой взгляд, отошли от "зоопарка" терминов, и пришли к наиболее актуальному и непротиворечивому.

      По поводу Риск и нежелательные события — здесь позволю привести определение риска из ГОСТ Р ИСО/МЭК 13335-1-2006 : "Риск - потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов" (выделенное — мною). Как видите, ущерб активу — это явно нежелательное событие. ))

      Также, посоветовал бы рассмотреть ГОСТ 15408-1-2008. Старый стандарт, но обратите внимание на п.5.1 "Контекст безопасности", в частности Рисунок 2 — "Понятия безопасности и их взаимосвязь"​. Кроме того, что Вы сможете увидеть целостную картину процессов ИБ, советую обратить внимание на единственную стрелочку, идущую сопротив общего направления.

      С уважением, Алексей.

       

  4. justmag

    Хочу обратить внимание, что ИТ риск это не только риск ИБ, хотя иногда и ИБ риск может быть значительным.

    В действительности риск ИБ, как правило, переоценен.

    И если с формулировками понятий по рискам ИБ (см. пред. пост) сейчас все более-менее прилично, то с наиболее насущными "лучшими практиками" дело обстоит совсем плохо. Обратите внимание , например, на  PMBOK, COBIT.

    А от грамотных терминов зависит вся методика и коммуникации специалистов.

    1. Алексей

      ИБ-риски включают в себя ИТ-риски.

      Если раскрыть аббревиатуру ИБ-риска правильно, то получим "риск нарушения информационной безопасности". Отсюда рассматриваем, что есть ИБ, какоая связь с ИТ.

      Да, от граммотных терминов  многое зависит. Наука начинается с понятийного аппарата. Оцените термины в ГОСТ 13335, для примера.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ОКТ
22
ОКТ
29