Виды анализа рисков

4.1. Введение

Цель лекции – предложить коллегам знания и навыки, которые позволят им успешно ориентироваться в видах анализа рисков и применять их на практике в своей повседневной рабочей деятельности, того домена ИТ, где, по их мнению, возможно проявление рисков.

На сегодняшней день множественная типизация рисков, вызванная неоднородностью самого этого понятия, и природы его возникновения, привела к появлению и существованию большого числа способов по их анализу и дальнейшим методам по работе с ними на разных этапах жизненного цикла, начиная с момента появления возможности возникновения до конечного/промежуточно-конечного состояния.

Различные по своим причинам/характеристикам/ и т.д. риски имеют строго определенные или рекомендованные тактики и стратегии по их обработке. Каждая их таких видов активностей должна содержать в себе один или несколько подходов, любой из которых основан на четком алгоритме. Такие подходы к исследованию явных, скрытых или потенциальных причин рисков принято называть видами анализа рисков.

4.2. Анализ рисков. Идентификации ИТ активов

Введем понятие анализа рисков:

Анализ рисков - процедуры выявления факторов рисков и оценки их значимости на конкретное событие, группу событий, систему.

По сути, анализ рисков – это анализ вероятности того, что произойдут определенные нежелательные события и отрицательно повлияют на достижение поставленных целей.

Анализ рисков, в сфере информационных технологий, состоит из оценки риска, по определенным метрикам, методы работы с рисками, такие, как снижение риска, его игнорирование, уменьшения связанных с ним неблагоприятных последствий и т.д.

Анализ рисков в области ИТ, связан, прежде всего, с созданием/развитием/ вводом в эксплуатацию/ выводом из эксплуатации/сопровождением и т.д. информационных систем (ИС), технологий и любых других ИТ активов, сопровождающих домен информационных технологий конкретного предприятия.

ИТ Активы – это все артефакты, имеющие определенную ценность для организации, использующей их в своей деятельности. Активы могут быть выражены как в конкретном стоимостном значении, так и не иметь четко определенной ценности, в актуальный момент времени.

Все ИТ активы, прямо или косвенно участвуют в формировании дохода предприятия или создании конечного продукта/сервиса, от реализации которого зависит успех организации (сотрудники, техника, уникальные процессы, сервера и т.д.).

От правильного учета и управления ИТ активами, зависит степень подверженности того или иного процесса, использующего данные активы, рисковому влиянию. Особо важные и критичные активы должны быть идентифицированы, оценены и задокументированы, в соответствии со спецификой бизнеса, в котором проводится анализ рисков (минимально достаточным документом является реестр активов по аналогии с уже рассмотренным реестром рисков).

При идентификации ИТ активов необходимо учитывать их комплексность и возможную взаимосвязанность с другими видами активов. Установление подобных связей позволит добиться прозрачности процессов и ресурсов, которые их используют. Это, в свою очередь, окажет влияние как на оптимизацию и повышение качества процедур классификации и идентификации рисков, рассмотренных нами ранее, так и на активности, связанные с последующими стадиями процесса анализа и управления рисками, такими, как качественный и количественный анализы рисков, создание комплексной системы по работе с рисками и т.д.

Каждый актив должен иметь владельца, в обязанности которого должно входить управление и контроль за подотчетный ему актив. Это позволит предварить и избежать появления возможных коллизий, связанных с нерегламентированным, неправомерным, низкоэффективным использованием актива, при условии осведомленности и квалифицированности его "хозяина".

Конечно, при идентификации активов необходимо помнить цели, преследуемые процессом анализа и управления рисками, чтобы не "впасть в крайности" и не отклониться от поставленных задач. В процессе идентификации, у неопытного специалиста, может появиться соблазн включить и описать, как можно больше активов. Необходимо помнить о том, что над каждым описанным активом надо провести довольно скрупулезную работу по его описанию и вести дальнейшее поддержание созданной документации в актуальном состоянии.

После того, как активы выявлены, наступает этап выявления и оценки рисков, влияющих на определенный актив.

4.3. Оценка информационных рисков

Оценка информационных рисков – процедура ранжирования приоритета конкретных условий и факторов, которые могут стать причиной нарушения целостности системы.

При оценивании рисков, влияющих на определенные активы, учитываются многие факторы: ценность актива, значимость угроз, эффективность имеющихся и планируемых ресурсов актива. Факторы зависят от конкретной ситуации, вида актива и риска.

В свете изучаемого материала стоит сразу привести альтернативное определение понятия оценки:

Оценка информационных рисков - это определение количественным и/или качественным способом величины (степени) рисков. Количественные и качественные виды анализов будут рассмотрены нами далее.

Стоит сделать небольшое лирическое отступление и провести экскурс в актуальное состояние дел, связанных с активностью анализа риска в целом, и его оценки, в частности, в РФ. То, что современные технологии анализа рисков, мягко говоря, в России используются сравнительно редко, было показано нами ранее. Одна из основных причин такого положения состоит в том, что в руководящих документах, на большинстве законодательных уровней, как в государственном масштабе, так и на уровне частного предпринимательства, не рассматриваются аспекты рисков, их допустимый уровень и то, что на наш взгляд самое главное, ответственность за принятие определенного уровня рисков.

Риск, это интуитивное понятие, которое каждый подсознательно или осознанно учитывает, принимая то или иное решение. То, что о рисках не говорят, это не значит, что их нет. Риски появляются, вместе с появлением активов и соответственно, появляется ответственность, которая должна быть четко и однозначно персонифицирована. Только при таком подходе можно говорить о том, что система по анализу и управлению рисками будет приносить результаты. Принимать и игнорировать правильно только те риски, которые идентифицированы, исследованы и оценены, как не критичные, для конкретного случая или системы.

Оценка риска должна обеспечить понимание возможного масштаба проблем, событий и принятие решений о том, каким образом надо обрабатывать тот или иной риск.

Оценка может быть выполнена с различной степени детализации, используя один или несколько методов. Форма оценки и её результат должны быть совместимы с критериями риска для определенной ситуации и применяемого метода, который должен удовлетворять таким условиям, как:

• Тип организации;
• Окружение потенциально "ущербной" ситуации;
• Форма результатов должна повышать осведомленность о виде риска и его периодичности;
• Верификация причин, процесса и результатов;

Так же, при выборе способа оценки риска необходимо учитывать такие характеристики окружения риска, свойственного определенному активу, как:

• Цели организации;
• Цели исследования риска;
• Ответственность возможных вариантов решения;
• Тип риска и его характеристики;
• Последствия от риска, в случае его реализации;

При оценке риска следующие факторы влияют на полноту и качество получаемых результатах о риске:

• Степень качества и полноты используемых экспертиз;
• Доступность однозначной и непротиворечивой информации о риске, и его окружении;
• Необходимость в периодичном обновлении данных о риске;
• Временные и ресурсные ограничения на процедуру оценки рисков;

Необходимо помнить о том, что такая характеристика, как неопределенность, может быть неотъемлема от целей организации, для которой проводится оценка риска. Данные, на основе которых проводится оценка, не всегда могут обеспечить достоверность процедуры прогнозирования. В целях совершенствования качества активностей по работе с рисками, и однозначном понимании полученных результатов, стэйкхолдеры (лица принимающие решения) и исполнители процессов по анализу и управлению рисками должны поддерживать постоянный контакт и взаимное информирование друг друга данными, необходимыми для сопровождения "рисковой" составляющей.

Задача оценки конкретного риска может быть довольно сложной, в зависимости от параметров, сопровождающих актив, который подвержен риску. К примеру, в сложных информационных системах оценка риска, как инкапсулированной составляющей, будет некорректна. Каждая часть информационной системы не существует сама по себе, а связана с другими компонентами и частями. Это приводит к тому, что один компонент, подверженный риску, ставит "под угрозу" связанные с ним элементы и связи, по которым осуществляется взаимодействие между ними, а так же все компоненты, являющиеся потребителями результатов процессов, в деятельности которых задействован рисковый элемент.

Методы оценки рисков имеют множественную классификацию для обеспечения понимания их преимуществ и недостатков. Мы перечислим методы, приведенные в ГОСТ Р ИСО/МЭК 31010-2011. При желании наши уважаемые коллеги могут более подробно с ними познакомиться, изучив упомянутый стандарт:

• Мозговой штурм;
• Структурированные или частично структурированные интервью;
• Метод Делфи;
• Контрольные листы;
• Предварительный анализ опасностей;
• Исследование опасности и работоспособности;
• Анализ опасности и критических контрольных точек;
• Оценка токсикологического риска;
• Структурированный анализ сценариев методом "что, если?" (SWIFT);
• Анализ сценариев;
• Анализ воздействия на бизнес;
• Анализ первопричин;
• Анализ видов и последствий отказов (FMEA);
• Анализ дерева неисправностей;
• Анализ дерева событий;
• Анализ причин и последствий;
• Причинно-следственный анализ;
• Анализ уровней защиты;
• Анализ дерева решений;
• Анализ влияния человеческого фактора;
• Анализ "галстук-бабочка";
• Техническое обслуживание, направленное на обеспечение надежности;
• Анализ скрытых дефектов;
• Марковский анализ;
• Моделирование методом Монте-Карло;
• Байесовский анализ и сети Байеса;
• Кривые FN;
• Индексы риска;
• Матрица последствий и вероятностей;
• Анализ эффективности затрат;
• Мультикритериальный анализ решения;

Часть из этих методов является более универсальными, другая менее и применимы только для конкретных, узкоспециализированных отраслей (К примеру метод - "Оценка токсикологического риска"), но не перечислить мы их не могли Наиболее применимые для использования на практике в ИТ, мы рассмотрели в прошлой лекции.

Подводя итоги процесса оценки риска, мы приведем примерное содержание работ по оценке рисков и их последовательность, которая наиболее полно и оптимально отражает процедуру выполняемых работ, по нашему мнению:.

1. Сбор данных и сведений;
2. Формирование цели и задач;
3. Идентификация ИТ активов;
4. Составление реестра ИТ активов, значимых для данной ситуации;
5. Документирование и синтез полученной информации;
6. Обоснование и выбор метода по оценке рисков;
7. Предварительная оценка рисков и масштаба возможных проблем;
8. Выбор наиболее значимых рисков и дальнейший их анализ;
9. Выводы по проведенной работе для руководства. Резюме;
10. Планирование дальнейших работ;

Важнейшей частью работы является резюме рисков, которое необходимо представить руководству, принимающему "жизненноважные решения" решению управлению и анализу рисками. На этом этапе работ, в доступной и наглядной форме должны быть описаны самые опасные для конкретной деятельности риски и ИТ активы, которые их "порождают". Дополнительное внимание руководства можно акцентировать на этом документе, приведя в нем возможную величину среднегодового ущерба, перечислив уязвимости, которые будут способствовать появлению заданных рисков.

На этом оценка рисков не заканчивается. Высокоуровневая оценка, расставившая приоритеты, выявившая и обосновавшая группы рисков, которые имеют наибольшее значение для организации, может быть достаточной для организаций, с относительно низкой степенью зависимости от информационных технологий, для остальных же потребуется более низкоуровненая оценка.