Как формулировать риск

risk-miscalculationРиски, угрозы, дестабилизирующие воздействия, нежелательные события – в литературе и, как следствие, в практике можно встретить совершенно различное понимание всех «неприятностей», которые поджидают ИТ-услуги на их и так не простом пути формирования ценности для заинтересованных сторон. Все бы ничего, но когда дело доходит до составления реестра, рисками называют и события, и угрозы, которые приводят к наступлению нежелательных событий, и уязвимости, и негативное влияние. Это затрудняет и непосредственно процесс оценки, и разработку мероприятий по снижению рисков. А ведь там и без того сложностей хватает. Хочется разобраться.

Открыв ISO 31000, можно увидеть, что "риск – это влияние неопределенности на цели", где:

  • Влияние (воздействие, эффект) – отклонение от ожидаемого/желаемого.
  • Неопределенность – состояние нехватки информации для понимания события, последствий, вероятности.
  • Цели в пояснении вроде бы не нуждаются.

Влияние реализуется через наступление события. Событие – случай или изменение некоторого набора обстоятельств, которые имеют значение в контексте цели. Событие имеет причины и последствия. Причина – то, что приводит к наступлению события. Последствия – исход события, непосредственно воздействующий на цели организации (проекта/услуги/подразделения – в зависимости от объекта анализа). Последствия ­– вообще говоря, то, почему данное событие нас беспокоит.

Вернемся к определению. Получается, что риск – это [событие, влияющее на достижение целей], обусловленное [причинами] и способное привести к [последствиям].

Пользу от такой формулировки риска постараюсь проиллюстрировать:

risk_defТо, что обычно называют угрозами или источниками риска – действия злоумышленников, конкурентов, природные катаклизмы, изменения рынка и т.д. – обычно не зависящие от нас факторы, обусловленные средой, но мы их должны взять в расчет, так как эти причины могут привести к наступлению нежелательных событий. Приведут или не приведут – определяется нашим уровнем защищенности или, как чаще говорят, уязвимости.

Если нежелательное событие происходит, это может привести к массе неприятных последствий: простой бизнес-процессов, затраты на восстановление, штрафы/санкции, репутационные потери. Насколько велики будут эти потери, зависит как от характера события, так и от, например, длительности негативного воздействия, а также наших действий по реагированию на случившуюся неприятность.
Получается, что вероятность в этом выражении возникает трижды:
  • Вероятность наступления причин, появления источника риска, угрозы. Зависит от среды, в которой ведется деятельность.
  • Вероятность, что появление угрозы приведет к наступлению события. Чем выше уязвимость (подверженность угрозе) и/или сила угрозы, тем выше эта вероятность.
  • И, наконец, вероятность того, что произошедшее событие приведет к описанным последствиям. PMBOK, например, предлагает описывать пессимистический, наиболее вероятный, оптимистический сценарий. А в общем случае исходов множество.

Разумеется, такая формулировка  не единственно возможный вариант и точно не догма, но, на мой взгляд, удобный способ быстро перейти к более глубокому анализу и оценке риска, так как все его составляющие уже прояснены и их остается только уточнить. Кроме того, далее можно естественным образом прийти к списку возможных контрмер  ради чего все и затеивается. 

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

ITIL ITIL Practitioner — новый учебный курс 2016

Правильный следующий шаг после ITIL Foundation.
 

Узнайте больше!

Комментарии и мнения

    1. Justmag

      Алексей,

       воспользоваться конечно проще, НО 

      приведите пример стандарта, результаты использования которого дают однозначное и понятное измеренное значение риска ИБ... желательно еще повторимое и статистически проверенное на многих реальных примерах

      0
      0
        1. Алексей

          Я к тому, что перед тем как вводить свои понятия и методики, было бы разумно проанализировать существующие понятия и методики в ИБ, провести критический анализ, выявить действующие недостатки, ввести и обосновать свои понятия...эта стандартная инженерная и научная практика...

          А действующие стандарты по инфомрационной безопасности — это, упрощенно говоря, и есть лучшие практики. Что значит "повторимое и статистически проверенное"

          Для примера действующих стандартов, приведу базовые  серии ISO/IEC 27001, и банковский стандарт — калька СТО БР ИББС

          Это то, что уже работает, и на что выделяют деньги. Оптимизация? Должна быть обоснована.

          "дают однозначное и понятное измеренное значение риска ИБ"

          Риск — величина Вероятностная. И измерить ее точно — согласитесь, звучит логически некорректно. Используются методики оценки рисков, вещь не сложная, но "муторная", и зачастую, конечно, субъективная.

          P.S. Ваша статья, несомненно, интересна, но довольна упрощенна.

           

           

          0
          0
          1. justmag

            прошу прощения, но я писал про "однозначное" и "понятное" измерение риска, а не "точное". Это бльшая разница.

            Ни 1 из известных мне стандартов не имеет такой методики.

            "Лучшие практики" это маркетинг.

            Ни по 1 из них не я не встречал реальных статистических данных (или иных измерений) по анализу влияния оценки риска по их методикам на результаты управления риском.

            0
            0
            1. Алексей

              Так Риск- величина вероятностная. Как вероятность может быть "однозначной"?;))

              "Понятное" — а что там не понятного? Теория вероятностей?

              А методики, построенные на такой базе не будут давать однозначный результат. Это очевидно.

              Критиковать существующие подходы — легко. Предложите конструктивно свой подход.

              0
              0
              1. justmag

                Риск — это не величина.

                Вероятностная величина — это значение (или оценка) риска.

                Методика основанная на системном (научном) подходе будет проверена на экспериментах и будет выдавать одинаковый результат при одинаковых входных данных при применении разными людьми.

                По применению научных методов пишут статьи с описанием экспериментов и результатов применения на практике, с цифрами в единицах СИ.

                Я не встречал подобного применительно к COBIt, CMMI, и даже к ISO.

                А про Понятное...

                а)чем отличаются 2 процесса с бюджетом 1 МЛН. и одинаковым уровнем зрелости 3?

                б)в каком из 2 процессов большй риск: в том, у которого вероятность реализации риска по ISO 27005 "5" и влияние "5" или в том у которого  вероятность реализации риска по ISO "5" и влияние "5"? (опечаток в предложении нет!)

                P.s. я по молодости пытался применить "лучшие практики" для решения задач, свой метод предложу

                0
                0
  1. Павел С.

    Согласен с пердыдущим оратором по поводу велосипеда.

    Ещё хотелось бы добавить, что не стоит путать определение явления и структуру явления.

    В вашем случае вы засунули в определение описание струкутры.

    Если его упростить, то получится, что Риск это Событие. Это в корне не верно.

    0
    0
      1. Павел С.

        Существует конечно же множество определений Риска, некоторые авторы определяют его и как соытие и как вероятность, но на мой взгля правильнее рассматривать Риск как явление, выражающееся в получении нежелательного исхода чего-либо.

        Если рассматривать более узко, риск как экономическую категорию, то Риск это возможность получения ущерба или убытка.

         Возникновение такого явления как риск связано с вероятностным характером окружающего нас мира.

        Мерой риска является вероятность получения убытка и размер этого убытка.

        Как-то так, примерно.

         

        0
        0
        1. Justmag

          а разве явление, выразившееся в нежелательном исходе, это не событие? 🙂  событие которое может случиться ...

          i.e. реализация риска: наступил момент Х (тоже событие) и в это время наступил нежелательный исход от деятельности (событие)

          0
          0
          1. Павел Солопов

            Событие, это слишком общее понятие. Событием можно назвать всё что угодно.

            Событие не является риском. Событие это вообще некая "объективная реальность", а риск это то, как мы воспринимаем это событие. Является ли оно для нас нежелательным, является ли его возникновение для нас неопределённым?

            Допустим мы вкладываем куда-то какие-то средства, заведома зная, что мы их потеряем, является ли в этом случае событие "потеря денег" для нас риском? Нет!

            А через событие можно дать определение чему угодно. Например:

            Прибыль — событие получения дохода превышающего расходы. Инцидент — событие, которое не должно было произойти в соответствии с регламентом работы системы. Автомобильная авария — событие, соприкосновения автомобиля с другим автомобилем или иным объектом.

            Более того, даже если ничего не произошло, это тоже событие.

            0
            0
            1. Justmag

              все верно кроме последнего — если ничего не произошло, то и никакого события нет 🙂 т.е. событие — то о чем мы знаем и скорее то что мы предполагаем, ожидаем, рассматриваем. Если мы чего-то (в т.ч. событие) не знаем, мы узнаем позже, но в настоящем этого для нас не существует.

              событие — это просто и его можно выразить бинарно 1 или 0 (случаи когда риска нет мы здесь не рассматриваем)

              какова же разница если мы это назовем явлением?

              0
              0
              1. Павел Солопов

                Не верно. "Ничего не произошло" это для нашего субъективного восприятия не событие. А с точки зрения причинно-следственных связий. Это такой же элемент цепочки событий.

                Каждое мгновение нашей жизни это многовариантная развилка.

                Пока я пишу это сообщение у нас в офисе могут выключить электричество, а могут и не выключить: к окончанию написания поста электричество не выключили это событие, которое даёт начало одной ветви дальнейших событий, электричество выключили — иное событие, иная ветвь.

                Хотя субъективно для меня ничего не произошло, поскольку электроэнергию не отключили, как я и полагал.

                0
                0
  2. Justmag

    Павел, вы ставите правильные вопросы

    Взяв за основу туманное определение из ИСО 31000 вы пришли к верным выводам.

    Риск — это событие.

    Да, существует 3 а можт и больше вероятностей в анализе конкретного риска в зависимости от объекта анализа. На практике большинство из них потом станет 1.

    Кроме того, их можно упрощать и объединять по правилам теории вероятностей. 

    0
    0
  3. Павел Дёмин Автор

    Алексей, Павел, Justmag, спасибо за замечания! Вы, конечно, правы относительно определения и структуры. Я не пытаюсь дать еще одно определение риска (их как правильно заметили и так хватает), я пытаюсь прийти к некоторой конструкции, подходу к формулировке риска, так чтобы результат был:

    а) максимально ясным – не смешивались понятия источника/угрозы, события и последствий;

    б) максимально конкретным, практичным – удобным для последующего анализа и оценки.

    Приведенная структура, на мой взгляд, может помочь в получении такого результата. 

    И в первую очередь при управлении рисками, полагаю, нас интересуют именно нежелательные события: их понимание (включая причины и следствия), а затем поиск того, как их предотвратить и/или как с ними справляться.  

    0
    0
    1. Алексей

      .Для ясности понятийного аппарата посоветовал бы воспользоваться определениями из стандарта по ИБ ГОСТ Р ИСО/МЭК 13335-1-2006 , где, на мой взгляд, отошли от "зоопарка" терминов, и пришли к наиболее актуальному и непротиворечивому.

      По поводу Риск и нежелательные события — здесь позволю привести определение риска из ГОСТ Р ИСО/МЭК 13335-1-2006 : "Риск - потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов" (выделенное — мною). Как видите, ущерб активу — это явно нежелательное событие. ))

      Также, посоветовал бы рассмотреть ГОСТ 15408-1-2008. Старый стандарт, но обратите внимание на п.5.1 "Контекст безопасности", в частности Рисунок 2 — "Понятия безопасности и их взаимосвязь"​. Кроме того, что Вы сможете увидеть целостную картину процессов ИБ, советую обратить внимание на единственную стрелочку, идущую сопротив общего направления.

      С уважением, Алексей.

       

      0
      0
  4. justmag

    Хочу обратить внимание, что ИТ риск это не только риск ИБ, хотя иногда и ИБ риск может быть значительным.

    В действительности риск ИБ, как правило, переоценен.

    И если с формулировками понятий по рискам ИБ (см. пред. пост) сейчас все более-менее прилично, то с наиболее насущными "лучшими практиками" дело обстоит совсем плохо. Обратите внимание , например, на  PMBOK, COBIT.

    А от грамотных терминов зависит вся методика и коммуникации специалистов.

    0
    0
    1. Алексей

      ИБ-риски включают в себя ИТ-риски.

      Если раскрыть аббревиатуру ИБ-риска правильно, то получим "риск нарушения информационной безопасности". Отсюда рассматриваем, что есть ИБ, какоая связь с ИТ.

      Да, от граммотных терминов  многое зависит. Наука начинается с понятийного аппарата. Оцените термины в ГОСТ 13335, для примера.

      0
      0

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ОКТ
19
ОКТ
23