Основные этапы управления рисками

Возможный формат плана реализации контрмер

План реализации контрмер можно  оформить в виде таблицы (см. Таб. 1).

Таблица 1. Возможный формат сводной  таблицы плана реализации контрмер.

Угроза (пара уязвимость/угроза)	Неавторизованные пользователи могут  зайти на сервер X по протоколу telnet под  именем guest и просмотреть файлы  организации
Уровень риска	Высокий
Рекомендованные контрмеры	Запретить входящие соединения по протоколу telnet. Запретить доступ "прочих" пользователей к чувствительным файлам организации Отключить счет guest или присвоить ему трудный для подбора пароль
Приоритет действия	Высокий
Выбранные планируемые контрмеры	Запретить входящие соединения по протоколу  telnet. Запретить доступ "прочих" пользователей к чувствительным файлам организации Отключить счет guest
Требуемые ресурсы	10 часов на реконфигурирование  и тестирование системы
Ответственные	С. Иванов, администратор сервера X. А. Петров, администратор межсетевых экранов
Даты начала и завершения работ	01/09/2006 — 02/09/2006
Сопровождение: требования/ комментарии	Периодически пересматривать и  тестировать защищенность сервера X

 

Возможные трактовки  и способы вычисления рисков

Риски и управление ими исследуются в нескольких предметных областях, таких как страхование, экономика, управление, медицина, исследование операций, инженерия, и рассматриваются с разных точек зрения.

В простейшем случае риск приравнивается к возможному негативному событию  и определяется как "событие, представляющее материальную угрозу чьему-либо состоянию". Иными словами, риски приравниваются к возможным нежелательным событиям (или к возможному снижению полезности). В контексте управления рисками под "чьим-либо состоянием" понимается благополучие организации. С этой точки зрения управлять рисками можно, применяя страхование и получая компенсацию, если негативное событие произойдет. Другой возможный подход — планирование бесперебойной работы, позволяющее продолжить функционирование после нежелательных событий.

В некоторых предметных областях, таких как медицина, акцент делается на вероятности негативных событий, а не на их последствиях, поскольку последние зачастую являются необратимыми, фатальными (например, смерть пациента в результате инфаркта) и заострять внимание на них нет смысла. Определяются факторы, влияющие на вероятности (наследственность, вредные привычки и т.п.), а риск трактуется как "вероятность опасного неблагоприятного исхода". Данный подход применяется при страховании жизни, где для получения оценок вероятностей используются таблицы смертности, а "приемлемый риск" относится к людям с низкой вероятностью умереть в течение страхового периода (и, соответственно, с низкой вероятностью выплаты компенсации страховой компанией).

Финансисты считают риском вариацию распределения исходов, а мерой  риска — диапазон колебаний. Риск определяется как непостоянство  стоимости портфеля ценных бумаг, а управление рисками означает решение минимаксной задачи — выбор между риском и доходами. Портфель ценных бумаг пытаются комплектовать так, чтобы обеспечить наивысшие ожидаемые доходы при заданном уровне рисков и наименьший уровень рисков для заданного ожидаемого дохода.

При страховании от несчастных случаев (в частности, при страховании  автомобилей) риск трактуется как ожидаемые  потери и определяется как произведение возможного ущерба на его вероятность. И ожидаемый ущерб, и его вероятность  могут меняться в широких пределах (от незначительного до полной утраты автомобиля, от очень небольшой для аккуратных водителей до заметной для лихачей).

При проведении анализа рисков важно  различать риски экзогенные и  эндогенные. Первые не поддаются управлению, они не зависят от чьих-либо действий. Примером могут служить землетрясения. Можно в какой-то степени влиять на размер ущерба, строя здания по определенным стандартам, но предотвратить землетрясение пока невозможно. Эндогенные риски зависят от действий людей. Многие риски, например, риск автомобильной аварии, являются смешанными. Водитель не может влиять на поведение других участников движения, но от его собственного поведения, его манеры езды (и от выбора автомобиля) зависит многое, в том числе ущерб от аварии, если таковая произойдет. Чтобы стимулировать поведение водителей, минимизирующее эндогенные риски, в страховой сумме предусматривают удерживаемую составляющую. Будучи ответственным за часть ущерба, водитель должен действовать с осторожностью.

Инструментальные средства управления рисками реализуются с учетом различия между экзогенными и эндогенными рисками. Например, финансисты считают неопределенность экзогенным риском и для управления рисками применяют такие методы, как диверсификация, страхование и распределение активов. Нет возможности непосредственно повлиять на вероятности событий. В медицине и инженерии часть рисков всегда являются эндогенными, поддающимися уменьшению. Пациентов информируют о том, на что они могут вилять, им рекомендуют здоровый образ жизни и специальные диеты. Работников знакомят с правилами техники безопасности, принимают меры по снижению аварийности и травматизма.

В информационных технологиях принят по сути тот же взгляд на риски, что и при страховании от несчастных случаев. Суммарный риск определяется как математическое ожидание ущерба, то есть как сумма произведений вероятностей каждого из негативных событий на величины потерь от них:

R = Сумма (по i) {P (Ui) * L (Ui)}

Несмотря на кажущуюся простоту и очевидность, приведенная формула  не подчиняется обычным арифметическим законам, поэтому желательно рассматривать  не только итоговую величину риска, но и ее составляющие. Причин тому несколько.

Оценка рисков действует на протяжении определенного периода. Чтобы иметь  основания применять аппарат  теории вероятностей, этот период должен быть достаточно большим (три-пять лет). Если вероятность события (например, пожара) мала, рассматриваемый период следует еще увеличить. Но за это время ИС существенно изменится и старые оценки потеряют смысл. Следовательно, при оценке рисков событиями с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик. Отметим, что это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью. На самом деле, на первом плане должны быть риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода.

Вероятность негативного события  нет возможности оценить сколько-нибудь точно. Для этого нет ни теоретических  предпосылок, ни накопленного статистического  базиса. Нет возможности и для обоснованной оценки влияния контрмер на вероятности; можно воздействовать на факторы, от которых вероятности зависят, но количественный эффект воздействий предсказать нельзя.

Наконец, негативные события могут  не быть независимыми. Одно из них может исключать другое (например, пожар и затопление) или, напротив, вызывать каскадный эффект, как это бывает при перегрузке критически важных компонентов.

В силу приведенных здесь соображений  целесообразно трактовать риски  не как числовые значения, а как точки на плоскости, где координатными осями служат вероятности и потери (см. Рис. 2). Линиями уровня для функции риска служат гиперболы.

Рисунок 2. Представление рисков в виде точек на координатной плоскости.

Риск события U1 относится к числу  обычно переоцениваемых руководителями; на практике, в силу низкой вероятности, большей частью подобных рисков целесообразно пренебречь.

Управлению рисками соответствует  перемещение точек по плоскости. Обычно стремятся приблизиться к  началу координат вдоль одной  оси, не меняя значения другой координаты. Впрочем, если удастся уменьшить сразу обе координаты, это будет еще лучше.

Обоснованное управление рисками  возможно только в сравнительно узких  областях, когда известны возможные  негативные события, когда число  их относительно невелико (обозримо, в  пределах нескольких десятков) и когда существуют реалистичные оценки вероятностей и потерь. В других случаях экономическая целесообразность нейтрализации рисков может оцениваться только интуитивно. Правда, нейтрализация многих рисков требуется действующим законодательством (например, обеспечение противопожарной безопасности), поэтому соответствующие контрмеры можно считать обязательными.

Одной из областей, важных с практической точки зрения и хорошо проработанных в плане управления рисками, является аутсорсинг по управлению информационной системой (в частности, контроль ее информационной безопасности). Здесь выделены восемь угроз:

Непредвиденно высокие  затраты на переход на новую дисциплину управления ИС. "Уязвимостями" (то есть факторами, способствующими негативному событию) являются отсутствие у организации опыта аутсорсинга, неопределенность в законодательстве.

Затраты на переход на обслуживание другой организацией (включая попадание  в заложники обслуживающей организации, возврат к исходному состоянию и переход на обслуживание новой организацией). Уязвимости: специфичность ИС, узкий выбор обслуживающих организаций, размеры и сложность ИС, взаимосвязь разных видов деятельности.

Дорогостоящие поправки к контракту. Уязвимости: неопределенность, технологический разрыв, сложность задачи.

Споры и тяжбы с обслуживающей  организацией. Уязвимости: проблемы измеримости, недостаток опыта (у одной или  обеих сторон) по заключению контрактов на аутсорсинг, неопределенность законодательства, недостаток культуры.

Снижение качества обслуживания. Уязвимости: взаимосвязь разных видов деятельности, недостаток опыта, слишком большой  размер и/или финансовая нестабильность обслуживающей организации, проблемы измеримости.

Превышение затрат. Уязвимости: недостаток опыта по управлению контрактом на аутсорсинг, проблемы измеримости, недостаток опыта у поставщика услуг.

Потеря компетенции. Уязвимости: размеры  и сложность ИС, близость к основной деятельности организации, взаимосвязь разных видов деятельности.

Скрытые затраты на обслуживание. Уязвимости: сложность разных видов  деятельности, проблемы измеримости.

Рассмотрим управление идентифицированными  рисками на примере страховой компании, отдавшей на аутсорсинг решение проблемы 2000 года для своих унаследованных систем. Вероятности и потери оценивались по семибалльной шкале. В Таб. 2 и на рис. Рис. 3 показаны риски до и после применения мер управления.

Таблица 2. Риски при аутсорсинге  проекта Y2K до и после применения мер управления.

Номер риска	Вероятности:		Потери:
=	до	после	до	после
1	1	1	1	1
2	1	1	4	1
3	1	1	2	2
4	1	1	3	3
5	1	1	5	3
6	1	1	4	1
7	4	2	1	1
8	1	1	1	1

Рисунок 3. Риски при аутсорсинге проекта Y2K до и после применения мер управления.

Из таблицы и рисунка видно, что удалось снизить три риска  с номерами (2), (5) и (6), причем в первых двух случаях уменьшались только возможные потери, а в последнем — и вероятность, и потери. Отметим, что единственным серьезным был риск номер (6), хотя руководители в первую очередь обращали внимание на риски (2) и (5), игнорируя их относительно небольшую вероятность.

Чтобы не стать заложником внешней  организации (управление риском (2)), страховая  компания разбила проект на этапы и заключала отдельный контракт для каждого из них. Тем самым каждый контракт имел обозримый срок, а его результаты могли реально контролироваться. Если работа внешней организации оказалась бы неудовлетворительной, отношения с ней могли быть оперативно прекращены. Со снижением качества обслуживания (риск (5)) страховая компания боролась, предусмотрев в контракте систему штрафов (в пять раз превышающих общую стоимость контракта). Для противодействия превышению затрат, страховая компания заранее оговорила гарантированную плату и методику измерения дополнительных расходов с учетом особенностей отдельных компонентов ИС. Тем самым понижалась и вероятность, и воздействие риска.

Представление рисков в виде точек  на плоскости является удачным с  психологической точки зрения, поскольку  оно разделяет два разных аспекта риска — вероятность и воздействие, и наглядно показывает, с чем в первую очередь нужно бороться и насколько это удалось.

Можно воспользоваться еще одним  представлением рисков — в виде деревьев уязвимостей, угроз и контрмер (см. Рис. 4). Здесь Vi — уязвимости, Ti,j — угрозы, эксплуатирующие уязвимости, Ci,j — контрмера, нейтрализующая угрозу i,j, Li,j — недостаток контрмер для угрозы i,j.

Рисунок 4. Представление рисков в виде дерева уязвимостей, угроз и контрмер.

Значение для Vi, Ti,j, Li,j и Ci,j целесообразно  нормировать, так чтобы суммы  по i Vi и Ti,j равнялись 1, а также Li,j + Ci,j = 1.

Кроме вероятностных параметров, в  оценке рисков участвуют константы  — критичность активов (CA) и их стоимость (CC). Общая ожидаемая сумма  потерь выражается соотношением

Общий остаточный риск * CA * CC

Предположим, имеется домашний компьютер, по отношению к которому рассматриваются пять уязвимостей с вероятностями 0.2, 0.2, 0.1, 0.05 и 0.45. Первую из них могут использовать две угрозы с вероятностями 0.35 и 0.65, вторую — три (0.4, 0.2, 0.4), третью — две (0.3, 0.7), Четвертую — три (0.25, 0.25, 0.5), пятую — две (0.3, 0.7). Пусть, наконец, значения недостатков контрмер оцениваются как 0.3, 0.4, 0.4, 0.1, 0.25, 0.25, 0.15, 0.25, 0.4, 0.4, 0.2, 0.15. Тогда общий остаточный риск составит 0.239375. Если критичность компьютера оценена как 0.4, а стоимость — как 2500, то ожидаемая сумма потерь составляет 239.38.