Деятельность по управлению рисками
2.1. Введение
Цель лекции – кратко осветить деятельность по управлению рисками, познакомить слушателя с современными видами и типами рисков, заинтересовать и сформировать у него наиболее объективное представление о целях и задачах деятельности по управлению и анализу рисков, а так же дать краткое, вводное представление о существующих типах рисков.
Деятельность по управлению рисками, как каждая комплексная деятельность - это сложный итерационный процесс, который имеет свои стадии, цели и задачи. Любая стадия имеет свое назначение, "берет"/"получает" на вход своей деятельности данные, определенные "преддеятельностью" и на выходе формирует конечный/промежуточный результат.
Риск-менеджмент верхнего уровневого можно определить следующей последовательностью этапов:
- Идентификация риска;
- Оценка вероятности его наступления и масштаба последствий, которые могут возникнуть;
- Предварительный анализ и определение максимально-возможных убытков;
- Выбор методов и инструментов управления выявленным риском;
- Разработка риск-стратегии для снижения вероятности реализации риска и минимизации возможных негативных последствий;
- Реализация риск-стратегии;
- Оценка достигнутых результатов и корректировка риск-стратегии;
- Мониторинг проблемных областей
Отраженная последовательность этапов является всего лишь отдаленным представлением рассматриваемой активности, и будет в дальнейшем детализирована и экспертно расширенна. К примеру, представленная в данном плане "риск-стратегия" - это всего лишь набор определенных взаимосвязанных процессов и документов, которые отражают суть всех или некоторых этапов риск-менеджмента.
Управление рисками, как было сказано в первой лекции, это довольно молодая отрасль деятельности, в актуальном понимании её целей и задач. Она изучает степень влияния на различные сферы, процессы и т.д., как основные, так и косвенные/смежные, определенных событий, которые влекут за собой наступление различных видов ущерба или прибыли, и то, как ей можно управлять или, в крайнем случае, направлять или контролировать.
Управление и анализ рисков – это отдельная область, имеющая четко определенное отношение к ИТ. Но при этом, данное направление работ было бы некорректно называть наукой, а вполне правильно говорить о методологии, которая обладает собственным понятийным аппаратом, классификацией, видами анализа и т.д.
С представленной точки зрения, основной отличительной чертой данной методологии является терминология. Она представляет собой смесь между такими активностями, как информационные технологии, техника, инженерия, теория машин и механизмов, страховое дело и биржевое дело и т.п. Существование подобной "химеры" сложилось исторически, в соответствии с развитием риск-менеджмента и требует от специалиста, приобщенной к данной профессиональной области, широкого кругозора и разностороннего понимания не только "примерной" сути предмета, но и его деталей, а иначе профессионал рискует остаться за бортом понимания происходящего, что нивелирует его участие в данном процессе.
За каждым термином, которые будут приведены далее в этой лекции, скрывается определенный смысл и история развития исходный причин и следствий, которые приобрели своё право на существование благодаря тому, что их важность и постоянная актуальность была подтверждена временем и обоснованностью получаемых результатов, таких как успех или ущерб.
Таким образом, чтобы грамотно управлять и направлять развитие рисков, ведь результатом риска может быть не только урон, но и эффективный результат, необходимо подробнейшим образом разбираться в их категориях, классификациях и типах. Уникальность каждого риска состоит в том, что причины их порождающие, зависят от таких факторов, как тип активности, в которой они проявляются, окружение процесса или события, вид технологии и т.д.
Несмотря на то, что нами было объявлено, что управление и анализ рисков это скорее методология, чем отдельное научное направление в области информационных технологий, важность восприятия и понимания фундаментальных основ, которые имеют свое непосредственное отношение к, казалось бы, совсем не ИТ дисциплинам, это одно из составляющих успеха в овладении и применении знаний по риск-менеджменту в практической деятельности.
2.2. Определение основных понятий
Для того, чтобы говорить с Вами, уважаемые слушатели, на одном языке (ведь мы уже поняли насколько это важно), языке рисковой деятельности, необходимо сразу договориться о тех терминах, которые необходимо знать, для успешного освоения и применении на практики знаний риск-менеджмента.
С одной стороны, в силу специфики изучаемого предмета, рано говорить об устоявшейся терминологии в управлении рисками, применительно к информационным технологиям. Безусловно, данная объективная ситуация связана с разнообразием видов риска, которые являются объектом рассмотрения нашей дисциплины. Но нам необходимо очертить рамки наших исследований, а иначе мы с Вами рискуем (да, да, именно так) думать о разных вещах.
Определения риска было дано нами в первой лекции, здесь же, для формирования полной картины изучаемого предмета, и всестороннего взгляда на довольно сложное понятие, мы приведем его еще раз:
Риск – это потенциальная возможность наступления вероятного события/явления или их совокупности, которые могут вызывать определенную величину влияния на осуществляемую деятельность.
Учитывая комплексность и многообразие дисциплин, которые "наполняют" риск-менеджмент, целесообразно привести альтернативное понятие риска, приведенное в одном из финансово-инвестиционных учебников:
Риск-событие или группа родственных случайных событий, наносящих ущерб объекту, обладающим данным риском.
Приведенное "финансовое" определение риска обязывает нас расшифровать понятия, которые входят в него:
Случайность (многие люди ассоциируют понятие случайности и непредсказуемости, что является не совсем верным) наступления события означает невозможность определить время и место его возникновения.
Объект – материальный объект или интерес, свойство объекта.
Ущерб – ухудшение или потеря свойств объекта.
Вероятность события – это признак события, означающий возможность рассчитать частоту наступления события при наличии достаточного количества статистических данных.
Таким образом, риск, как самостоятельное событие, или часть более крупного события обладает двумя наиболее важными, с точки зрения управления рисками свойствами – вероятностью и ущербом.
Каждое событие порождается определенной причиной или набором причин. Такие причины принято называть инцидентами. Цепочка последовательных этапов, которые приводят от первоначального инцидента, к конечному событию – это сценарий развития. Зная те вероятности, которые привели к возникновению инцидентов, можно установить последовательность промежуточных шагов и рассчитать вероятности реализации сценария. Определяющим фактором освоения риск – менеджмента в информационных технологиях является способность одновременно анализировать, учитывать и синтезировать при рассмотрении конкретной ситуации или сценария три следующих домена:
- Домен риска
- Домен менеджмента
- Домен информационных технологий
Именно способность одновременно взаимосвязывать эти, казалось бы, абсолютно разные по своей природе предметы гуманитарного и технического характера способствует успеху в освоении и практическом применении области управления анализа рисков. Способность понимать и распознавать инциденты, относящиеся к различным "природам" возникновения и навык построения сценариев, различные стадий и шаги которых относятся к разным доменам, это важная характеристика высококлассного специалиста в риск-менеджменте.
2.3. Управление рисками на примере современных методик
На сегодняшний день многие популярные и основополагающие ИТ методологии из таких направлений как управление проектами (PMBOK), аналитика (BABOK), ИТ-аудит (COBIT), сервисная деятельность (ITIL), разработка программного обеспечения (MOF) и т.д., пытаются предоставить инструмент, который смог бы предложить эффективный алгоритм управления и анализа рисков. Таким "инструментарием" различных направлений деятельности домена информационных технологий являются следующие методы: CORAS, OCTAVE, CRAMM, MOF risk management, Risk it и т.д. Представленные процессы являются основными по востребованности и использованию, поэтому мы рассмотрим их все и попробуем разобраться в специфики каждого.
Стоит сделать маленькое лирическое отступление, от структуры нашего повествования и отметить, что информация, приведенная в обзоре далее, является, во многом, "опережающей" и будет описана в следующих лекциях. Сценарий нашего курса предполагает, что мы будем приводить "анонсирующие" данные специально, для того, чтобы слушатель начинал привыкать и вникать в те термины и определения, которые будут довольно часто использоваться нами в дальнейшем. Такой порядок изложения, на наш взгляд, позволит сделать наш курс более "жизненным" и с самого начала совместить теорию и практику, привить нашим студентам необходимый им в дальнейшем понятийный аппарат.
Краткий обзор методологий управления ИТ-рисками:
CORAS
Была разработана в рамках западной программы "Технологии информационного общества". Цель данной методологии состоит в адаптации, уточнении и комбинировании таких основных методов проведения анализа рисков, как Event-Tree-Analysis, цепи Маркова, HazOp и FMECA.
CORAS использует технологию UML и базируется на австралийском/новозеландском стандарте AS/NZS 4360: 1999 Risk Management и ISO/IEC 17799-1: 2000 Code of Practiсe for Information Security Management.
В CORAS информационные системы рассматриваются не только с точки зрения используемых технологий, а с нескольких сторон, точнее как сложный комплекс, в котором учтен и человеческий фактор. Правила данной методологии реализованы в виде Windows- и Java-приложений.
OCTAVE
Методология OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) была разработана в Институте программной инженерии при Университете Карнеги—Меллона (альма-матер многих современных ИТ-методологий и направления програмной инженерии) и предусматривает активное вовлечение владельцев информации в процесс определения критичных информационных активов и ассоциированных с ними рисков. Ключевые элементы OCTAVE:
- идентификация информационных активов подверженных риску и ущербу;
- идентификация угроз для критичных информационных активов;
- определение уязвимостей, ассоциированных с критичными информационными активами;
- оценка рисков, связанных с критичными информационными активами.
OCTAVE предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации методологии под собственные нужды. Методология разработана для применения в крупных компаниях, а ее растущая популярность привела к созданию версии OCTAVE-S для небольших предприятий.
OCTAVE не дает количественной оценки рисков, однако качественная оценка может быть использована в определении количественной шкалы их ранжирования. В оценку могут включаться различные области рисков, которые, за исключением технических рисков и рисков нарушения законодательства, напрямую не включены в методологию. Таковые учитываются косвенно, в ходе проведения интервью с владельцами информационных активов, во время которых выясняется, какие последствия могут наступить в случае реализации угроз.
CRAMM
Методология CRAMM (CCTA Risk Analysis and Management Method) разработана британским Центральным компьютерным и телекоммуникационным агентством в 1985 году и применяется как для крупных, так и для небольших организаций правительственного и коммерческого сектора. CRAMM предполагает использование технологий оценки угроз и уязвимостей по косвенным факторам с возможностью проверки результатов. В нее заложен механизм моделирования информационных систем с позиции безопасности с помощью обширной базы данных по превентивным мерам, позволяющим снизить/устранить воздействие рискам. CRAMM нацелен на детальную оценку рисков и эффективности предполагаемых к использованию комбинаций различных контрмер.
Модель управления рисками стандарта MOF (MOF Risk Model).
Эта методология заслуживает отдельного упоминания. Мы посвятим ей чуть больше материала и Вашего времени.
Она является самой распространенной на данный момент времени и определяет основные этапы управления рисками, которым в дальнейшем будет посвящена отдельная лекция, но которые мы упомянем и здесь:
- Идентификация рисков.
- Определение причин риска, условий его возникновения, последствий;
- Анализ рисков.
- Оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
- Планирование мероприятий.
- Определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также тут разрабатывается план действий в случае возникновения риска
- Отслеживание риска.
- Сбор информации об изменениях, с течением определенного промежутка времени, различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
- Контроль (Control). Выполнение запланированных действий в качестве реакции на возникновение рискового события.
Если рассмотреть модель управления рисками в отрыве от стандартов, где она используется (ITIL, MOF, и т.д.), то можно увидеть относительно неглубокое, но фундаментальное представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II (упомянутая в первой лекции) – подробнее описывает вопросы организации системы управления рисками в компании.
COBIT 5 for Risk (RiskIT)
Этот стандарт рассматривает подход к управлению рисками с двух аспектов: risk function и risk management.
В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.
Как Вам уже стало понятно, в ИТ области нет единого и централизованного взгляда на управление рисками. Множественность стандартов и методик вызвана, прежде всего, спецификой анализа и управления рисками в применении, к определенным отраслям и ресурсам, которые могут быть затрачены на их воплощение в жизнь. Но каждая из описанных методик имеет право "быть" только по тому, что они доказали свою состоятельность не только в качестве "книжных" значений, но и как конкретный и эффективный инструмент деятельности. Все из вышеприведенных методик решают, по сути, однотипные проблемы, вызванные похожими причинами и направленные на то, чтобы минимизировать ущерб от наступления риска или устранить его в принципе, но "заточены" по разные виды организаций и процессы, в которых планируется устранять или минимизировать риски. Из изложенных методов наиболее универсальным, без сомнения является MOF, которые с той или иной степенью адаптации может быть использован в любом типе активности, а вот остальные являются, по большей части, специализированными инструментами, требующими разного степени внимания и разных ресурсов. При желании, каждый из Вас может в "глобальной паутине" найти более подробную информацию об изложенных методах.
2.4. Общие причины рисков
В основе любой конструктивной деятельности заключено ясное понимание целей, задач и ресурсов, которые необходимы для достижения конечного результата.
Чем более определенными и однозначными являются эти факторы, тем ниже степень неопределенности, которая потенциально может повлиять на достижимость поставленной цели. На основе этого абсолютно очевидно, что главной причиной любого риска является степень неопределенности, которая заложена в тех постулатах, которые являются рамками процесса или проекта, инициирующими рассматриваемую нами активность. То, насколько очевидными являются наши проблемы и те ресурсы, которые выделены для их решения, определяет рискованность нашей деятельности. Неопределенные задачи, априори, обречены на то, что возможность составления и реализации жизнеспособного плана по их разрешению является "тычком" пальцем в "никуда".
Более высокая неопределенность условий как внешней, так и внутренней среды приводит к тому, что ресурсы, выделяемые на преодоление этих условий, должны быть как можно более качественные. Многие негативные факторы и причины можно предвидеть и "искоренять" основываясь только на опыте специалистов, имеющих высокие навыки по работе с рисками, но это вряд ли можно считать прогнозируемым фактором, который нужно использовать при построении системы риск-менеджмента. Проблема "ограниченности" ресурсов – это проблема, которая приводит к возникновению дефицита продуктивности.
При реализации проектов, которые имеют высокую степень неопределенности, необходимо уделять повышенное внимание общеиспользуемой системе анализа и управления рисками. Такая система должна учитывать специфику, как деятельности, в которой происходят процессы, связанные с рисками, так и организационную составляющую проекта и организации, в которой он выполняется.
Организационная составляющая и внимание, которое уделяется работе с рисками это отдельная тема и направление деятельности, которому, к сожалению, в России отводится мизерные затраты. Примером этому может являться то, что во многих руководящих документах не рассматриваются аспект рисков в принципе, их допустимый уровень и ответственность за принятие определенного уровня рисков.
В развитых странах это не так. К примеру, в американском глоссарии по безопасности можно найти термин Designated Approving Authority –это лицо, уполномоченное принять решение о допустимости определенного уровня рисков, что свидетельствует о качественно ином отношении к анализу и управлению рисками, к которому в нашей стране, конечно со временем придут, но затратив для этого множество бесполезных ресурсов.
Вовлеченность всех работниках на всех уровнях структурной иерархии любого предприятия в деятельность по анализу рисков и более пристальное отношение со стороны руководства, смогли бы коренным образом изменить, годами складывающиеся, пессимистичные тенденции в данной области и тем самым вывести основные процессы ИТ отрасли на качественно иной уровень.
Ясное понимание целей и задач осуществляемой деятельности помогают выявлять и минимизировать подавляющее число причин, которые приводят к возникновению рисков.