Рубрика: Глава 5. Обработка информационных рисков

На решение о принятии (сохранении) риска оказывают влияние различные обстоятельства. Например, стартующий высокотехнологичный бизнес может принимать более высокие риски, нежели солидная организация традиционного профиля.

Основными факторами, влияющими на решение о принятии рисков,являются:

• возможные последствия осуществления риска, т.е. расходы организации в каждом случае, когда это происходит;
• ожидаемая частота подобных событий.

Количественные оценки этих факторов, как мы видели, являются очень неточными и субъективными, поэтому лица, принимающие решение, должны осторожно взвешивать точность и достоверность информации, на основании которой они принимают решение, и величину потерь, которую они готовы принять.

К числу субъективных факторов, оказывающих влияние на принятие решений по рискам, относятся в том числе:

• готовность к принятию рисков (также известная как терпимость или склонность к риску);
• простота реализации механизма контроля;
• доступные финансовые, кадровые и информационные ресурсы;
• существующие деловые/технологические приоритеты;

политика организации и руководства, например, в отношении следования тем или иным требованиям.

Критерии принятия рисков

Каждая организация должна установить критерии принятия рисков, определяющие максимально допустимый уровень остаточного риска, а также возможные исключения для определенных рисков при определенных обстоятельствах.

Риски, превышающие установленный руководством организации допустимый уровень, – это те риски, которые являются неприемлемыми для бизнеса, а связанная с ними деятельность – слишком рискованной. Все остальные риски, ниже этого уровня, являются допустимыми и могут быть приняты без дальнейшей обработки.

На практике многие риски занимают промежуточное положение между однозначно приемлемыми и очевидно неприемлемыми. Такие риски также нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены при обеспечении хорошего возврата инвестиций. Поэтому в дополнение к максимально допустимому уровню остаточного риска мы также используем уровень однозначно приемлемого риска.

________________________________________

Уровни принятия риска:

·        Низкий риск (уровень риска: от 0 до 2) – однозначно приемлемые риски, составляющие обычныйрисковый фон организации.

·        Средний риск (уровень риска: от 3 до 5) – потенциально приемлемые риски, уменьшение которых, однако, может дать положительный экономический эффект. Эти риски обычно нуждаются в обработке, но не в первую очередь.

·        Высокий риск (уровень риска: от 6 до 8) – неприемлемые риски, нуждающиеся в скорейшей обработке. Сохранение данных рисков руководство организации считает крайне рискованным для своего бизнеса.

___________________________________________

В ситуации, когда за разные риски отвечают разные подразделения организации, используемые критерии принятия рисков требуют согласования между этими подразделениями, а также с руководством организации. В противном случае возникает ситуация, при которой организация применяет разные критерии принятия рисков для разных областей контроля, что приводит к недооценке одних видов рисков и переоценке других.

На рисунке показано, как выглядят несогласованные критерии принятия рисков (1 – информационная безопасность, 2 – охрана труда, 3 – финансовый риск, 4 – операционный риск). В данном случае организация переоценивает риски информационной безопасности и недооценивает прочие операционные риски. Такая ситуация порождает определенные трудности с принятием решения по рискам.

Если организация применяет согласованные критерии принятия риска для всех областей деятельности в рамках единой системы управления рисками (ERM-системы), руководству значительно проще принимать решения по рискам. Это позволит избежать опасных последствий недооценки определенных видов рисков и необоснованных затрат на уменьшение рисков, которые, напротив, были переоценены.

После того как риск был оценен, руководством организации должно быть принято решение о способе обработки этого риска.

Помимо предполагаемых потерь в результате инцидентов безопасности, организация должна также рассмотреть затраты на реализацию решения по обработке риска в сравнении с отсутствием каких-либо действий и прогнозируемыми потерями. Организация должна убедиться в том, что она достигает оптимального баланса между достижением определенного уровня безопасности и получением связанных с этим преимуществ, при правильном инвестировании – с одной стороны, и сохранением рентабельности, успешности, эффективности и конкурентоспособности – с другой.

Существует четыре возможных способа обработки риска:

• принятие (сохранение) риска;
• уменьшение риска;
• передача риска;
• избежание риска.

Рассмотрим каждый из этих способов по порядку.

Целью обработки рисков является их уменьшение до приемлемого уровня путем уменьшения вероятности инцидента либо минимизации возможного ущерба. Однако не все риски возможно либо целесообразно уменьшать. Если организация не располагает необходимыми для этого ресурсами, например временем или квалификацией, то она может временно допустить высокий риск либо передать его третьей стороне путем заключения договора страхования или аутсорсинга. Возможен также вариант избежания риска путем отказа от рискованных операций либо переноса этих операций в более безопасное место.

Процесс обработки рисков включает в себя подготовку, выбор и принятие решений по способам обработки рисков. Способы эти могут быть самыми разными. Главное, чтобы они были реализуемы и экономически оправданы. При инвестировании денег в уменьшение риска в результате должен получаться положительный возврат инвестиций, который представляет собой разницу между затратами на безопасность и величиной предотвращаемого ущерба. Разница эта должна быть весьма существенной. Желательно, чтобы возврат инвестиций превышал затраты на безопасность в разы.

На вход этого процесса поступают результаты оценки рисков в виде отчета и прилагающегося к нему реестра информационных рисков. Если эти данные являются достаточными, тогда для каждой группы рисков принимаются решения по их обработке путем выбора одного из четырех способов обработки рисков либо их комбинации. При этом используются критерии принятия рисков, определяемые политикой организации в области управления рисками.

Результатом процесса обработки рисков является план обработки рисков, содержащий перечни мероприятий для каждой группы рисков и оценку остаточных рисков.

Выбираемые для уменьшения рисков механизмы контроля должны быть экономически обоснованы, т.е. обеспечивать положительный возврат инвестиций. Однако не все механизмы контроля можно легко экономически обосновать. Например, обеспечение непрерывности бизнеса вынуждено иметь дело с такими рисками, как природные и антропогенные катастрофы, которые с большой вероятностью могут вообще никогда не наступить. Для механизмов обеспечения непрерывности бизнеса сложно посчитать возврат инвестиций, т.к. зачастую не существует оценки среднегодовых потерь.

Способы обработки рисков не являются взаимоисключающими. Например, мы можем уменьшить риск до определенного уровня, а остаточных риск передать третьей стороне.

Определенные способы обработки рисков могут воздействовать сразу на группу рисков, – например, такой множественный эффект дает обучение.

В ходе обработки рисков могут быть сделаны выводы в том числе и об избыточности некоторых механизмов контроля. Однако, прежде чем от них оказываться, следует оценить их влияние на другие механизмы. Многие механизмы контроля взаимосвязаны. Эффективность одних механизмов может снижаться до нуля в отсутствии других. Например, слабые пароли сводят на нет существующие в системе механизмы разграничения доступа, антивирусные средства и средства обнаружения вторжений требуют непрерывного обновления сигнатур, а политики безопасности не работают в отсутствии программы обучения и повышения осведомленности персонала.

Приемлемая величина остаточного риска не должна превышать максимально допустимый уровень риска, утвержденный руководством, который может быть сопоставим, например, со стандартными издержками одного производственного процесса организации. После выбора способов обработки риска следует оценить остаточный риск, и если этот риск не приемлем, тогда необходимо повторить обработку.

В случае если оценочная величина остаточного риска превышает максимально допустимый уровень риска, то для его уменьшения должны быть выбраны дополнительные механизмы контроля, обеспечивающие наилучший возврат инвестиций и позволяющие уменьшить остаточный риск до приемлемого уровня.

В случае невозможности либо экономической нецелесообразности уменьшения риска до приемлемого уровня должны быть рассмотрены варианты передачи данного риска третьей стороне, в качестве которой может выступать страховая компания или компания, предоставляющая услуги по аутсорсингу ИТ процессов и сервисов безопасности, а также варианты избежания риска, связанные с отказом от рискованных операций либо их заменой на менее рискованные.

В случае отсутствия других приемлемых вариантов обработки риска, превышающего установленный в организации максимально допустимый уровень, руководством компании может быть принято решение о принятии данного риска.

«Чтобы сделать что-либо, требуется не так уж много сил; но решить, что именно надо сделать, – вот что требует огромной затраты сил».

Фрэнк Хаббард, американский литератор

_________________________________

• Процесс обработки рисков
• Способы обработки рисков
• Оценка возврата инвестиций
• Принятие решения по обработке рисков
• План обработки рисков
• Декларация о применимости

_________________________________

Оценка рисков позволяет получить ответы на три важнейших вопроса, а именно – какие информационные активы, от чего и зачем следует защищать. После этого успешность организации будет зависеть от того, какие меры она будет применять для обработки выявленных рисков. Основной вопрос руководителей: «Что делать?». Для того чтобы с этим вопросом разобраться, потребуется рассмотреть способы обработки рисков, а также подходы к оценке возврата инвестиций в безопасность и принятию остаточных рисков. Результатом этих усилий являются два ключевых документа, о которых пойдет речь далее: Декларация о применимости механизмов контроля и План обработки рисков.