Портал №1 по управлению цифровыми
и информационными технологиями

Как формулировать риск

Опубликовано 13 декабря 2014
Рубрики: Управление рисками
Комментарии

risk-miscalculationРиски, угрозы, дестабилизирующие воздействия, нежелательные события – в литературе и, как следствие, в практике можно встретить совершенно различное понимание всех «неприятностей», которые поджидают ИТ-услуги на их и так не простом пути формирования ценности для заинтересованных сторон. Все бы ничего, но когда дело доходит до составления реестра, рисками называют и события, и угрозы, которые приводят к наступлению нежелательных событий, и уязвимости, и негативное влияние. Это затрудняет и непосредственно процесс оценки, и разработку мероприятий по снижению рисков. А ведь там и без того сложностей хватает. Хочется разобраться.

Открыв ISO 31000, можно увидеть, что "риск – это влияние неопределенности на цели", где:

  • Влияние (воздействие, эффект) – отклонение от ожидаемого/желаемого.
  • Неопределенность – состояние нехватки информации для понимания события, последствий, вероятности.
  • Цели в пояснении вроде бы не нуждаются.

Влияние реализуется через наступление события. Событие – случай или изменение некоторого набора обстоятельств, которые имеют значение в контексте цели. Событие имеет причины и последствия. Причина – то, что приводит к наступлению события. Последствия – исход события, непосредственно воздействующий на цели организации (проекта/услуги/подразделения – в зависимости от объекта анализа). Последствия ­– вообще говоря, то, почему данное событие нас беспокоит.

Вернемся к определению. Получается, что риск – это [событие, влияющее на достижение целей], обусловленное [причинами] и способное привести к [последствиям].

Пользу от такой формулировки риска постараюсь проиллюстрировать:

risk_defТо, что обычно называют угрозами или источниками риска – действия злоумышленников, конкурентов, природные катаклизмы, изменения рынка и т.д. – обычно не зависящие от нас факторы, обусловленные средой, но мы их должны взять в расчет, так как эти причины могут привести к наступлению нежелательных событий. Приведут или не приведут – определяется нашим уровнем защищенности или, как чаще говорят, уязвимости.

Если нежелательное событие происходит, это может привести к массе неприятных последствий: простой бизнес-процессов, затраты на восстановление, штрафы/санкции, репутационные потери. Насколько велики будут эти потери, зависит как от характера события, так и от, например, длительности негативного воздействия, а также наших действий по реагированию на случившуюся неприятность.
Получается, что вероятность в этом выражении возникает трижды:
  • Вероятность наступления причин, появления источника риска, угрозы. Зависит от среды, в которой ведется деятельность.
  • Вероятность, что появление угрозы приведет к наступлению события. Чем выше уязвимость (подверженность угрозе) и/или сила угрозы, тем выше эта вероятность.
  • И, наконец, вероятность того, что произошедшее событие приведет к описанным последствиям. PMBOK, например, предлагает описывать пессимистический, наиболее вероятный, оптимистический сценарий. А в общем случае исходов множество.

Разумеется, такая формулировка  не единственно возможный вариант и точно не догма, но, на мой взгляд, удобный способ быстро перейти к более глубокому анализу и оценке риска, так как все его составляющие уже прояснены и их остается только уточнить. Кроме того, далее можно естественным образом прийти к списку возможных контрмер  ради чего все и затеивается. 

Учебные курсы и сертификация на русском языке
специалистов по ИТ-менеджменту

Комментариев: 22

  • Алексей

    Зачем изобретать велосипед? Не проще ли воспользоваться стандартами по информационной безопасности? Если они слабы – обоснуйте.

    • Justmag

      Алексей,
       воспользоваться конечно проще, НО 
      приведите пример стандарта, результаты использования которого дают однозначное и понятное измеренное значение риска ИБ… желательно еще повторимое и статистически проверенное на многих реальных примерах

      • Justmag

        p.s. под "проверенное на примерах" я имел ввиду методику измерения

        • Алексей

          Я к тому, что перед тем как вводить свои понятия и методики, было бы разумно проанализировать существующие понятия и методики в ИБ, провести критический анализ, выявить действующие недостатки, ввести и обосновать свои понятия…эта стандартная инженерная и научная практика…

          А действующие стандарты по инфомрационной безопасности – это, упрощенно говоря, и есть лучшие практики. Что значит "повторимое и статистически проверенное"

          Для примера действующих стандартов, приведу базовые  серии ISO/IEC 27001, и банковский стандарт – калька СТО БР ИББС

          Это то, что уже работает, и на что выделяют деньги. Оптимизация? Должна быть обоснована.

          "дают однозначное и понятное измеренное значение риска ИБ"

          Риск – величина Вероятностная. И измерить ее точно – согласитесь, звучит логически некорректно. Используются методики оценки рисков, вещь не сложная, но "муторная", и зачастую, конечно, субъективная.

          P.S. Ваша статья, несомненно, интересна, но довольна упрощенна.

           

           

          • justmag

            прошу прощения, но я писал про "однозначное" и "понятное" измерение риска, а не "точное". Это бльшая разница.

            Ни 1 из известных мне стандартов не имеет такой методики.

            "Лучшие практики" это маркетинг.

            Ни по 1 из них не я не встречал реальных статистических данных (или иных измерений) по анализу влияния оценки риска по их методикам на результаты управления риском.

            • Алексей

              Так Риск- величина вероятностная. Как вероятность может быть "однозначной"?;))

              "Понятное" – а что там не понятного? Теория вероятностей?

              А методики, построенные на такой базе не будут давать однозначный результат. Это очевидно.

              Критиковать существующие подходы – легко. Предложите конструктивно свой подход.

              • justmag

                Риск – это не величина.

                Вероятностная величина – это значение (или оценка) риска.

                Методика основанная на системном (научном) подходе будет проверена на экспериментах и будет выдавать одинаковый результат при одинаковых входных данных при применении разными людьми.
                По применению научных методов пишут статьи с описанием экспериментов и результатов применения на практике, с цифрами в единицах СИ.
                Я не встречал подобного применительно к COBIt, CMMI, и даже к ISO.

                А про Понятное…
                а)чем отличаются 2 процесса с бюджетом 1 МЛН. и одинаковым уровнем зрелости 3?
                б)в каком из 2 процессов большй риск: в том, у которого вероятность реализации риска по ISO 27005 "5" и влияние "5" или в том у которого  вероятность реализации риска по ISO "5" и влияние "5"? (опечаток в предложении нет!)

                P.s. я по молодости пытался применить "лучшие практики" для решения задач, свой метод предложу

  • Павел С.

    Согласен с пердыдущим оратором по поводу велосипеда.

    Ещё хотелось бы добавить, что не стоит путать определение явления и структуру явления.

    В вашем случае вы засунули в определение описание струкутры.

    Если его упростить, то получится, что Риск это Событие. Это в корне не верно.

    • Justmag

      Уважаемый Павел,

      Просветите пожалуйста, что же такое риск…

      • Павел С.

        Существует конечно же множество определений Риска, некоторые авторы определяют его и как соытие и как вероятность, но на мой взгля правильнее рассматривать Риск как явление, выражающееся в получении нежелательного исхода чего-либо.

        Если рассматривать более узко, риск как экономическую категорию, то Риск это возможность получения ущерба или убытка.

         Возникновение такого явления как риск связано с вероятностным характером окружающего нас мира.

        Мерой риска является вероятность получения убытка и размер этого убытка.

        Как-то так, примерно.
         

        • Justmag

          а разве явление, выразившееся в нежелательном исходе, это не событие? 🙂  событие которое может случиться ….

          i.e. реализация риска: наступил момент Х (тоже событие) и в это время наступил нежелательный исход от деятельности (событие)

          • Павел Солопов

            Событие, это слишком общее понятие. Событием можно назвать всё что угодно.
            Событие не является риском. Событие это вообще некая "объективная реальность", а риск это то, как мы воспринимаем это событие. Является ли оно для нас нежелательным, является ли его возникновение для нас неопределённым?
            Допустим мы вкладываем куда-то какие-то средства, заведома зная, что мы их потеряем, является ли в этом случае событие "потеря денег" для нас риском? Нет!
            А через событие можно дать определение чему угодно. Например:
            Прибыль – событие получения дохода превышающего расходы. Инцидент – событие, которое не должно было произойти в соответствии с регламентом работы системы. Автомобильная авария – событие, соприкосновения автомобиля с другим автомобилем или иным объектом.
            Более того, даже если ничего не произошло, это тоже событие.

            • Justmag

              все верно кроме последнего – если ничего не произошло, то и никакого события нет 🙂 т.е. событие – то о чем мы знаем и скорее то что мы предполагаем, ожидаем, рассматриваем. Если мы чего-то (в т.ч. событие) не знаем, мы узнаем позже, но в настоящем этого для нас не существует.

              событие – это просто и его можно выразить бинарно 1 или 0 (случаи когда риска нет мы здесь не рассматриваем)

              какова же разница если мы это назовем явлением?

              • Павел Солопов

                Не верно. "Ничего не произошло" это для нашего субъективного восприятия не событие. А с точки зрения причинно-следственных связий. Это такой же элемент цепочки событий.
                Каждое мгновение нашей жизни это многовариантная развилка.
                Пока я пишу это сообщение у нас в офисе могут выключить электричество, а могут и не выключить: к окончанию написания поста электричество не выключили это событие, которое даёт начало одной ветви дальнейших событий, электричество выключили – иное событие, иная ветвь.
                Хотя субъективно для меня ничего не произошло, поскольку электроэнергию не отключили, как я и полагал.

  • Justmag

    Павел, вы ставите правильные вопросы

    Взяв за основу туманное определение из ИСО 31000 вы пришли к верным выводам.

    Риск – это событие.
    Да, существует 3 а можт и больше вероятностей в анализе конкретного риска в зависимости от объекта анализа. На практике большинство из них потом станет 1.
    Кроме того, их можно упрощать и объединять по правилам теории вероятностей. 

  • Алексей, Павел, Justmag, спасибо за замечания! Вы, конечно, правы относительно определения и структуры. Я не пытаюсь дать еще одно определение риска (их как правильно заметили и так хватает), я пытаюсь прийти к некоторой конструкции, подходу к формулировке риска, так чтобы результат был:

    а) максимально ясным – не смешивались понятия источника/угрозы, события и последствий;

    б) максимально конкретным, практичным – удобным для последующего анализа и оценки.

    Приведенная структура, на мой взгляд, может помочь в получении такого результата. 

    И в первую очередь при управлении рисками, полагаю, нас интересуют именно нежелательные события: их понимание (включая причины и следствия), а затем поиск того, как их предотвратить и/или как с ними справляться.  

    • Алексей

      .Для ясности понятийного аппарата посоветовал бы воспользоваться определениями из стандарта по ИБ ГОСТ Р ИСО/МЭК 13335-1-2006 , где, на мой взгляд, отошли от "зоопарка" терминов, и пришли к наиболее актуальному и непротиворечивому.

      По поводу Риск и нежелательные события – здесь позволю привести определение риска из ГОСТ Р ИСО/МЭК 13335-1-2006 : "Риск – потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов" (выделенное – мною). Как видите, ущерб активу – это явно нежелательное событие. ))

      Также, посоветовал бы рассмотреть ГОСТ 15408-1-2008. Старый стандарт, но обратите внимание на п.5.1 "Контекст безопасности", в частности Рисунок 2 – "Понятия безопасности и их взаимосвязь"​. Кроме того, что Вы сможете увидеть целостную картину процессов ИБ, советую обратить внимание на единственную стрелочку, идущую сопротив общего направления.

      С уважением, Алексей.

       

  • justmag

    Хочу обратить внимание, что ИТ риск это не только риск ИБ, хотя иногда и ИБ риск может быть значительным.

    В действительности риск ИБ, как правило, переоценен.

    И если с формулировками понятий по рискам ИБ (см. пред. пост) сейчас все более-менее прилично, то с наиболее насущными "лучшими практиками" дело обстоит совсем плохо. Обратите внимание , например, на  PMBOK, COBIT.

    А от грамотных терминов зависит вся методика и коммуникации специалистов.

    • Алексей

      ИБ-риски включают в себя ИТ-риски.

      Если раскрыть аббревиатуру ИБ-риска правильно, то получим "риск нарушения информационной безопасности". Отсюда рассматриваем, что есть ИБ, какоая связь с ИТ.

      Да, от граммотных терминов  многое зависит. Наука начинается с понятийного аппарата. Оцените термины в ГОСТ 13335, для примера.

      • Justmag

        Алексей, только некоторые из множеств рисков ИТ пересекаются с множством рисков  ИБ , некоторые рисков ИТ являются подмножеством рисков ИТ

  • Алексей

    "некоторые рисков ИТ являются подмножеством рисков ИТ"??? Не понял тут

  • Артем

    А по мне так очень верный практический подход.
    И хорошо согласуется с концепциями производственных рисков.
    Например, ISO 14971


Добавить комментарий для JustmagОтменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM