Опубликован: 04.06.2015 | Доступ: платный | Студентов: 0 / 0 | Длительность: 07:11:00
Лекция 4:

Виды анализа рисков

< Лекция 3 || Лекция 4: 12 || Лекция 5 >
Аннотация: Четвертая лекция курса "Процессы анализа и управления рисками в области ИТ" будет посвящена конспективному обзору видов анализа рисков, используемых на практике для полного цикла работы над рассматриваемым объектом. В прошлый раз нами был изучен процесс идентификации рисков, который является первой ступенью такого цикла. В ходе предыдущей лекции мы обзорно обсудили некоторые виды анализа рисков, применимые для выявления возможных рисков. Сегодня мы выполним более подробное и комплексное рассмотрение процесса анализа рисков и существующих его видов. Мы ставим себе одной из задач лекции, попытаться определить взаимосвязанные с рисками процессы и события, оценить степень их влияния на конечный результат/процесс/продукт подверженный рисковому влиянию, понять то, как оптимально выбрать определенный вид анализа для работы с рисками в конкретной ситуации, с определенными внешними и внутренними условиями. Рассматриваемая тема будет особо актуальна для тех коллег, кто уже столкнулся с практикой отечественных предприятий (а вернее её отсутствием), которая демонстрирует, что только относительно небольшая часть из них делают анализ и последующее обоснование того, как управлять риском в процессе внедрения новых проектов или сопровождения текущей деятельности.

4.1. Введение

Цель лекции – предложить коллегам знания и навыки, которые позволят им успешно ориентироваться в видах анализа рисков и применять их на практике в своей повседневной рабочей деятельности, того домена ИТ, где, по их мнению, возможно проявление рисков.

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточно-конечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строго определенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потенциальных причин рисков принято называть видами анализа рисков.

4.2. Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков - процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его "хозяина".

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не "впасть в крайности" и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

4.3. Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков - это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, это интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

  • Тип организации;
  • Окружение потенциально "ущербной" ситуации;
  • Форма результатов должна повышать осведомленность о виде риска и его периодичности;
  • Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

  • Цели организации;
  • Цели исследования риска;
  • Ответственность возможных вариантов решения;
  • Тип риска и его характеристики;
  • Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

  • Степень качества и полноты используемых экспертиз;
  • Доступность однозначной и непротиворечивой информации о риске, и его окружении;
  • Необходимость в периодичном обновлении данных о риске;
  • Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения "рисковой" составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит "под угрозу" связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

  • Мозговой штурм;
  • Структурированные или частично структурированные интервью;
  • Метод Делфи;
  • Контрольные листы;
  • Предварительный анализ опасностей;
  • Исследование опасности и работоспособности;
  • Анализ опасности и критических контрольных точек;
  • Оценка токсикологического риска;
  • Структурированный анализ сценариев методом "что, если?" (SWIFT);
  • Анализ сценариев;
  • Анализ воздействия на бизнес;
  • Анализ первопричин;
  • Анализ видов и последствий отказов (FMEA);
  • Анализ дерева неисправностей;
  • Анализ дерева событий;
  • Анализ причин и последствий;
  • Причинно-следственный анализ;
  • Анализ уровней защиты;
  • Анализ дерева решений;
  • Анализ влияния человеческого фактора;
  • Анализ "галстук-бабочка";
  • Техническое обслуживание, направленное на обеспечение надежности;
  • Анализ скрытых дефектов;
  • Марковский анализ;
  • Моделирование методом Монте-Карло;
  • Байесовский анализ и сети Байеса;
  • Кривые FN;
  • Индексы риска;
  • Матрица последствий и вероятностей;
  • Анализ эффективности затрат;
  • Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод - "Оценка токсикологического риска"), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой лекции.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:.

  1. Сбор данных и сведений;
  2. Формирование цели и задач;
  3. Идентификация ИТ активов;
  4. Составление реестра ИТ активов, значимых для данной ситуации;
  5. Документирование и синтез полученной информации;
  6. Обоснование и выбор метода по оценке рисков;
  7. Предварительная оценка рисков и масштаба возможных проблем;
  8. Выбор наиболее значимых рисков и дальнейший их анализ;
  9. Выводы по проведенной работе для руководства. Резюме;
  10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему "жизненноважные решения" решению управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их "порождают". Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.

< Лекция 3 || Лекция 4: 12 || Лекция 5 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

: