Сущность любого подхода к управлению рисками заключается в анализе факторов риска и принятии адекватных решений по обработке рисков. Факторы риска – это те основные параметры, которыми мы оперируем при оценке рисков:
- актив (Asset);
- ущерб (Loss);
- угроза (Threat);
- уязвимость (Vulnerability);
- механизм контроля (Сontrol);
- размер среднегодовых потерь (ALE);
- возврат инвестиций (ROI).
Способы анализа и оценки этих параметров определяются используемой в организации методологией оценки рисков. При этом общий подход и схема рассуждений примерно одинаковы, какая бы методология не использовалась.
Процесс оценки рисков (assessment) включает в себя две фазы.
На первой фазе, которая определяется в стандартах как анализ рисков (analysis), необходимо ответить на следующие вопросы:
- Что является активом компании?
- Какова реальная ценность данного актива?
- Какие существуют угрозы в отношении данного актива?
- Каковы последствия этих угроз и ущерб для бизнеса?
- Насколько вероятны эти угрозы?
- Насколько уязвим бизнес в отношении этих угроз?
- Каков ожидаемый размер среднегодовых потерь?
На второй фазе, которая определяется стандартами как оценивание рисков (evaluation), когда величина риска уже определена, необходимо ответить на вопрос: какой уровень риска (размер среднегодовых потерь) является приемлемым для организации и какие риски превышают этот уровень.
Таким образом, по результатам оценки рисков, включающей в себя процессы анализа и оценивания рисков, мы получаем описание рисков, превышающих допустимый уровень, и оценку величины этих рисков, которая определяется размером среднегодовых потерь. На выходе данного процесса формируется реестр информационных рисков, подробно рассматриваемый ниже.
Далее необходимо принять решение по обработке рисков, т.е. ответить на следующие вопросы:
- Какой вариант обработки риска выбираем?
- Если принимается решение об уменьшении риска, то какие механизмы контроля необходимо использовать?
- Насколько эффективны эти механизмы контроля и какой возврат инвестиций они обеспечат?
На выходе данного процесса появляется план обработки рисков, определяющий способы обработки рисков, стоимость контрмер, а также сроки и ответственных за их реализацию.