Методами выявления потенциальных рисков на предприятии являются: опросные (оценочные) листы, метод структурных диаграмм, карты потоков или потоковые диаграммы, анализ финансовой и управленческой отчетности. В результате использования данных методов на предприятии выявляются основные риски, сопутствующие его деятельности.
Для получения исходной информации о производственном объекте менеджер может использовать опросные (оценочные) листы – универсальные и специализированные. Универсальный опросный лист, как правило, содержит перечень вопросов общего характера и может использоваться для разных типов производства. Специализированный опросный лист содержит перечень вопросов, ориентированных на конкретный объект производства или вид деятельности.
Метод структурных диаграмм предназначен для анализа особенностей предприятия и вытекающих из этого рисков. Данные, полученные при использовании данного метода, полезны для оценки внутренних предпринимательских рисков, связанных с качеством менеджмента, организацией сбыта и рекламы, коммерческих рисков.
КАК провести оценку рисков САМОСТОЯТЕЛЬНО?
Карты потоков или потоковые диаграммы графически отображают отдельные технологические процессы производства и их взаимосвязь. Карты потоков позволяют выявить критические области производственного процесса, оценить масштабы «узких мест» определить, таким образом, технические, технологические и производственные риски.
Еще одним из методов выявления рисков является анализ финансовой и управленческой отчетности. Анализ финансового состояния предприятия позволяет определить некоторую группу факторов риска, порождаемых состоянием финансовых средств предприятия и перспективами его изменения. Эти факторы могут, как оказывать влияние на возможные колебания будущих доходов предприятия в целом, так и приводить к его банкротству и ликвидации.
Методы измерения риска. Существует несколько методов измерения риска. Наиболее общими можно считать статистический, экспертный и комбинированный методы измерения риска.
С помощью статистического метода возможно изучить статистику потерь, имевших место в аналогичных видах предпринимательской деятельности, установить частоту появления определенных уровней риска, а по частоте — прогнозировать вероятность. Так, если имеются данные об относительных потерях, исчисленных к запланированной выручке от данного вида предпринимательства, то, разделив число случаев, в которых имел место данный уровень потерь, на общее число рассмотренных случаев, получим частоту возникновения потерь данного уровня.
Экспертный метод, или способ экспертных оценок, применительно к предпринимательскому риску может быть реализован путем обработки оценочных мнений опытных специалистов. При экспертном методе даются оценки вероятностей возникновения определенных уровней потерь, по которым затем можно определить средние значения экспертных оценок и, при желании, с их помощью построить кривую распределения вероятностного уровня потерь.
Комбинированный – сочетание двух методов. Позволяет получить всестороннюю оценку риска.
5 2 Качественные методы измерения рисков
Классификация рисков.
Виды рисков по сферам проявления:
Политические риски — это риски прямых убытков и потерь или недополучения прибыли из-за неблагоприятных изменений политической ситуации в государстве или действий местной власти.
Социальные риски — это риски, связанные с социальными кризисами.
Экологические риски — это риски, связанные с вероятностью наступления гражданской ответственности за нанесение ущерба окружающей среде, а также жизни и здоровью третьих лиц.
Коммерческие риски — это риски экономических потерь, возникающие в любой коммерческой, производственно- хозяйственной деятельности. В состав коммерческих рисков включают финансовые риски (связанные с осуществлением финансовых операций) и производственные риски (связанные с производством продукции, осуществлением любых видов производственной деятельности).
Профессиональные риски — это риски, связанные с выполнением профессиональных обязанностей.
Виды рисков по возможности предвидения:
Прогнозируемые риски — это риски, которые связаны с циклическим развитием экономики, сменой стадий конъюнктуры финансового рынка, предсказуемым развитием конкуренции и т.п. Например, инфляционный риск, процентный риск и некоторые другие их виды.
Непрогнозируемые риски — это риски, отличающиеся полной непредсказуемостью проявления. Например, форс-мажорные риски, налоговый риск и др.
Виды рисков по источникам возникновения:
Внешний (систематический или рыночный) риск — это риск, не зависящий от деятельности предприятия. Этот риск возникает при смене отдельных стадий экономического цикла, изменении конъюнктуры финансового рынка и в ряде других случаев, на которые предприятие в своей деятельности повлиять не может. К этой группе рисков могут быть отнесены инфляционный риск, процентный риск, валютный риск, налоговый риск.
Внутренний (несистематический или специфический) риск — это риск, зависящий от деятельности конкретного предприятия. Он может быть связан с неквалифицированным финансовым менеджментом, неэффективной структурой активов и капитала, чрезмерной приверженностью к рисковым операциям с высокой нормой прибыли, недооценкой хозяйственных партнёров и другими факторами, отрицательные последствия которых в значительной мере можно предотвратить за счёт эффективного управления рисками.
Виды рисков по размеру возможного ущерба:
Допустимый риск — это риск, потери по которому не превышают расчётной суммы прибыли по осуществляемой операции.
Критический риск — это риск, потери по которому не превышают расчётной суммы валового дохода по осуществляемой операции.
Катастрофический риск — это риск, потери по которому определяются частичной или полной утратой собственного капитала (может сопровождаться утратой заёмного капитала).
Виды рисков по комплексности исследования:
Простой риск характеризует вид риска, который не расчленяется на отдельные его подвиды. Например, инфляционный риск.
Сложный риск характеризует вид риска, который состоит из комплекса подвидов. Например, инвестиционный риск (риск инвестиционного проекта и риск конкретного финансового инструмента).
Виды рисков по финансовым последствиям:
Риск, влекущий только экономические потери, несёт только отрицательные последствия (потеря дохода или капитала).
Риск, влекущий упущенную выгоду, характеризует ситуацию, когда предприятие в силу сложившихся объективных и субъективных причин не может осуществить запланированную операцию (например, при снижении кредитного рейтинга предприятие не может получить необходимый кредит).
Риск, влекущий как экономические потери, так и дополнительные доходы, присущ, как правило, спекулятивным финансовым операциям (например, риск реализации реального инвестиционного проекта, доходность которого в эксплуатационной стадии может быть ниже или выше расчётного уровня).
Виды рисков по характеру проявления во времени:
Постоянный риск характерен для всего периода осуществления операции и связан с действием постоянных факторов.
Временный риск характеризует риск, носящий перманентный характер, возникающий лишь на отдельных этапах осуществления финансовой операции.
Виды рисков по возможности страхования:
Страхуемые риски — это риски, которые могут быть переданы в порядке внешнего страхования соответствующим страховым организациям.
Нестрахуемые риски — это риски, по которым отсутствует предложение соответствующих страховых продуктов на страховом рынке.
Виды рисков по частоте реализации:
Высокие риски — это риски, для которых характерна высокая частота наступления ущерба.
Средние риски — это риски, для которых характерна средняя частота нанесения ущерба.
Малые риски — это риски, для которых характерна малая вероятность наступления ущерба.
Источник: infopedia.su
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
- ценность активов в денежном выражении;
- полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
- частота реализации каждой угрозы;
- потенциальный ущерб от каждой угрозы;
- рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Безопасность
Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.
Безопасность
Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.
Источник: kontur.ru
8.3. Процесс измерения рисков предприятия
. Информация, которая характеризует факторы риска, может быть условно разделена на следующие группы:
- статистическая информация;
- учетные данные;
- нормативные данные;
- интуитивная информация, основанная на опыте и знаниях специалистов;
- предметное описание.
В процессе измерения оценки рисков предприятия могут использовать следующие методы:
- статистический метод;
- метод аналогий;
- метод экспертных оценок;
- расчетно-аналитический метод.
1. Статистический метод предполагает использование методов математической статистики и математического программирования и моделирования. Он позволяет анализировать частоту возникновения той или иной рисковой ситуации, определить величину возможных потерь, степень отклонения от заданных параметров и вероятность наступления той или иной рисковой ситуации. Необходимо отметить, что данный метод является тем более достоверным, чем точнее информация, на которую опираются при статистической обработке.
Для измерения степени риска, прежде всего, следует определять границы и скорость изменения конкретного экономического показателя вследствие воздействия определенного фактора риска. Проведение такого рода анализа позволяет устанавливать допустимые границы риска и функциональную зависимость:
где R — величина риска; х — f-й фактор риска; i — 1,2. п.
Коэффициент размаха вариации экономического показателя определяется как отношение максимального значения экономического показателя к его минимальному значению. Использование такого коэффициента представляется весьма эффективным при сравнении тенденций изменения риска, а также при сравнении альтернативных вариантов стратегий развития предприятий.
В большинстве случаев основной целью развития любого вида бизнеса является получение максимальной прибыли. В этой связи оценка реализации любой стратегии развития предприятия предполагает определение ее доходности, рассматриваемой как прирост стоимости активов.
Вместе с тем необходимо отметить, что статистический метод измерения риска дает высокую степень достоверности оценки только при достаточно большом объеме наблюдений. Поскольку опыт оценки макроэкономических рисков в нашей стране весьма незначителен, а информационная инфраструктура слабо развита, постольку пока не представляется возможным статистическими методами оценивать риски внешней дальней окружающей среды.
- Метод аналогий предполагает изменение уровня риска по аналогии с уже имевшими место событиями. Вместе с тем для изменения риска в процессе реализации стратегии развития предприятий данный метод представляется малоэффективным вследствие сложности выбора подходящего аналога. Возможно, лишь проводить выбор аналога по воздействию отдельного фактора на прогнозируемый результат. 3. Метод экспертных оценок целесообразно использовать при отсутствии достоверной информации, он позволяет статистическими методами измерять возможные риски. Проведение экспертной оценки может осуществляться в следующей последовательности:
- подбор экспертов;
- определение показателей, характеризующих прогнозируемый результат, вероятности его реализации и критериев оценки воздействия факторов риска на этот результат;
- формирование опросных листов (анкет);
- согласование процедуры выполнения экспертной оценки;
- обработка и анализ данных экспертной оценки.
Необходимо отметить, что экспертные оценки лишь частично базируются на информации, обработанной статистическими методами. Большое значение для повышения достоверности и точности измерения риска на основе использования экспертных оценок имеет подбор соответствующих специалистов-экспертов. Суть данного метода заключается в определении по ранее разработанной методике группой экспертов с учетом накопленного опыта и интуиции показателей и степени риска. Метод экспертных оценок предполагает идентификацию факторов риска, присвоение балльной приоритетности степени влияния факторов риска и оценку влияния каждого из них.
4. Расчетно-аналитический метод измерения рисков позволяет прогнозировать различные сценарии развития событий и строить графики кривой риска, дающие возможность определять характер зависимости результатов от изменения факторов. К числу наиболее распространенных методов оценки вероятности наступления неблагоприятных событий, которые могут использоваться в процессе разработки такого рода сценариев, можно отнести метод построения «дерева событий», метод «событие—последствие», метод построения дерева отказов.
Метод построения «дерева событий» позволяет графически исследовать последовательность отдельных промежуточных событий и выполнить вероятностную оценку их осуществления. Исследование событий проводится с оценкой двух возможностей: реализация события или отказ. Предполагается, что каждое последующее звено реализуется только при реализации предыдущего. Для независимых событий вероятность реализации события равна произведению вероятностей каждого из событий рассмотренной цепочки.
Метод «событие—последствие» предполагает расчленение сложных событий на отдельные более анализируемые части. Каждая такая часть анализируется вышеперечисленными методами, а затем проводится оценка события во взаимосвязи его частей. Данный метод предлагает выполнить следующие этапы:
- выделить отдельные элементы исследуемого события, процесса или объекта;
- идентифицировать возможные опасности и риски;
- определить нормативные значения показателей оценки; выявить перечень и размер отклонений от нормативных значений показателей;
- исследовать причины отклонений и выявить функциональные значения зависимости отклонений показателей результата от факторов, характеризующих причины отклонений;
- разработать стратегию управления рисками и повышения безопасности работы.
Метод «дерева отказа» позволяет определить траектории, по которым отдельные события и факторы могут в совокупном воздействии или во взаимосвязи друг с другом создать рисковое событие. Данный метод предусматривает проведение следующих работ:
• характеристику возможного риска;
- идентификацию факторов риска и исследование параметров (траекторий) их изменений;
- определение взаимосвязей между факторами, в том числе между факторами и возможным риском.
Вероятность возможного риска определяется произведением вероятностей факторов риска. Данный метод используется для анализа чувствительности отдельных событий к отклонениям параметров, характеризующих возможный риск, или к отклонениям наиболее существенных факторов риска.
Риски конкретного предприятия или внутренние риски имеют свою специфику измерения. Она связана с:
- внутренними факторами организации процесса принятия решений при реализации стратегии развития предприятия;
- качеством ресурсного потенциала и возможностями его пополнения;
- финансовой устойчивостью предприятия и уровнем его конкурентоспособности;
- субъективной оценкой степени риска и допустимого размера риска.
Для измерения риска и оценки вероятности потерь необходимо:
- определить для всех субъектов риска все виды потерь и критерии их оценки;
- установить допустимые границы отклонений по выбранным критериям оценки;
- идентифицировать факторы воздействия на выбранные показатели и установить степень их влияния;
- определить чувствительность к изменениям каждого влияющего фактора и к суммарному изменению факторов.
Источник: studfile.net
