1.3.
Выбор защитных мер
и последующие этапы
управления рисками
Оценивая
стоимость защитных мер, приходится,
разумеется, учитывать не только прямые
расходы на закупку оборудования и/или
программ, но и расходы на внедрение новинки
и, в частности, на обучение и переподготовку
персонала. Эту стоимость также можно
выразить по трехбалльной шкале и затем
сопоставить ее с разностью между вычисленным
и приемлемым риском. Если по этому показателю
новое средство оказывается экономически
выгодным, его можно принять к дальнейшему
рассмотрению (подходящих средств, вероятно,
будет несколько). Однако, если средство
окажется дорогим, его не следует сразу
отбрасывать, памятуя о приближенности
расчетов. Выбирая подходящий способ защиты,
целесообразно учитывать возможность
экранирования одним сервисом безопасности
сразу нескольких прикладных сервисов.
Так поступили в Массачусетском технологическом
институте, защитив несколько тысяч компьютеров
сервером аутентификации Kerberos. Важным
обстоятельством является совместимость
нового средства со сложившейся организационной
и аппаратно-программной структурой, с
традициями организации. Меры безопасности,
как правило, носят недружественный характер,
что может отрицательно сказаться на энтузиазме
сотрудников. Порой сохранение духа открытости
важнее минимизации материальных потерь.
Впрочем, такого рода ориентиры должны
быть расставлены в политике безопасности
верхнего уровня. Можно представить ситуацию,
когда для нейтрализации риска не существует
эффективных и приемлемых по цене мер.
Например, компания, базирующаяся в сейсмически
опасной зоне, не всегда может позволить
себе строительство защищенной штаб-квартиры.
В таком случае приходится поднимать планку
приемлемого риска и переносить центр
тяжести на смягчение последствий и выработку
планов восстановления после аварий, стихийных
бедствий и иных происшествий. Продолжая
пример с сейсмоопасностью, можно рекомендовать
регулярное тиражирование данных в другой
город и овладение средствами восстановления
первичной базы данных. Как и всякую иную
деятельность, реализацию и проверку новых
регуляторов безопасности следует предварительно
распланировать. В плане необходимо учесть
наличие финансовых средств, сроки обучения
персонала. Нужно составить план тестирования
(автономного и комплексного), если речь
идет о программно-техническом механизме
защиты. Когда намеченные меры приняты,
необходимо проверить их действенность,
то есть убедиться в том, что остаточные
риски стали приемлемыми. Если это на самом
деле так, значит, все в порядке и можно
спокойно намечать дату ближайшей переоценки.
В противном случае придется проанализировать
в срочном порядке ошибки, которые были
допущены, и провести повторный сеанс
управления рисками.
2.
Процесс оценки рисков
Процесс
оценки рисков можно подразделить на
девять основных этапов:
- определение
характеристик информационной системы;
- идентификация
уязвимостей;
- идентификация
угроз;
- анализ регуляторов
безопасности;
- определение
вероятностей;
- анализ воздействий;
- определение
рисков;
- рекомендуемые
контрмеры;
- результирующая
документация. Идентификация уязвимостей
и угроз, а также анализ регуляторов безопасности
и воздействий могут выполняться относительно
независимо и параллельно после того,
как завершен первый этап и определены
характеристики информационной системы.
На Рис.
1 показаны
основные этапы процесса оценки рисков
вместе с входной и выходной информацией
для каждого из них. Рисунок
1. Основные этапы процесса
оценки рисков, их входная
и выходная информация.
Определение характеристик информационной
системы
Первым
шагом в процессе оценки рисков является
определение объекта оценки, то есть
границ анализируемой информационной
системы, а также ресурсов и информации,
образующих ИС. О системе необходимо собрать
следующую информацию:
- архитектура
ИС;
- используемое
аппаратное обеспечение;
- используемое
программное обеспечение;
- системные
интерфейсы (внутренняя и внешняя связность);
- топология
сети;
- присутствующие
в системе данные и информация;
- поддерживающий
персонал и пользователи;
- миссия системы
(то есть процессы, выполняемые ИС);
- критичность
системы и данных;
- чувствительность
(то есть требуемый уровень защищенности)
системы и данных. Требуется также собрать
информацию об эксплуатационном окружении
системы:
- функциональные
требования к ИС;
- политики
безопасности, положения которых затрагивают
ИС;
- меры защиты
доступности, конфиденциальности и целостности
хранимых данных;
- потоки данных,
принадлежащих системе, входные и выходные
данные;
- существующие
программно-технические регуляторы безопасности
(то есть встроенные или дополнительные
защитные средства, поддерживающие идентификацию
и аутентификацию, управление доступом,
протоколирование и аудит, защиту остаточной
информации, криптографические функции
т.д.);
- существующие
регуляторы безопасности административного
уровня (политика и программы безопасности,
меры планирования безопасности, правила
поведения и т.п.);
- существующие
регуляторы безопасности процедурного
уровня (кадровая безопасность, процедуры
управления пользователями, управление
разделением обязанностей пользователей,
обеспечение бесперебойной работы, резервное
копирование, хранение данных вне производственных
площадей, восстановление после аварий,
сопровождение системы);
- меры физической
защиты ИС (физическая защита производственных
площадей, контроль доступа в центр обработки
данных и т.п.);
- защита ИС
от угроз со стороны окружающей среды
(средства контроля температуры, влажности,
загрязнения, электропитание, водоснабжение
т.д.). Если информационная система находится
в стадии инициации или проектирования,
необходимые сведения могут быть получены
из проектной документации или спецификаций
(требований). Если система находится в
стадии разработки, необходимо определить
ключевые правила и атрибуты безопасности,
которые предполагается реализовать.
В таком случае полезными источниками
информации являются проектная документация
и план обеспечения информационной безопасности.
Для информационных систем, находящихся
в производственной эксплуатации, собираются
сведения об их эксплуатационном окружении,
включая данные о конфигурации системы,
ее связности, документированных и недокументированных
процедурах и сложившейся практике эксплуатации.
Таким образом, описание системы может
основываться на мерах безопасности, реализованных
в рамках существующей инфраструктуры,
или на имеющихся планах повышения уровня
безопасности ИС. Для сбора сведений об
информационной системы в пределах ее
эксплуатационных границ могут использоваться
следующие методы. Вопросники. Они
могут касаться прежде всего административных
и процедурных регуляторов безопасности,
существующих или планируемых. Вопросники
распространяются среди административного
и технического персонала, проектирующего
и/или обслуживающего систему. Интервью.
Обычно беседы проводятся у заказчика
с административным и техническим персоналом
и концентрируются на темах эксплуатации
и управления. Кроме того, визиты к заказчику
позволяют увидеть и оценить меры физической
и эксплуатационной безопасности, защиту
от угроз со стороны окружающей среды.
Просмотр документации. Политика безопасности,
нормативные документы, техническая документация
(например, руководства пользователя и
администратора, требования безопасности,
архитектурная и закупочная документация),
предыдущие отчеты по оценке рисков, анализ
воздействий на миссию организации, оценка
критичности ресурсов, результаты аудита
и тестирования, планы безопасности и
т.п. — ценный источник информации о существующих
и планируемых регуляторах безопасности,
о степени критичности и чувствительности
систем и данных. В условиях действия разнообразных
внешних и внутренних факторов риска могут
использоваться различные способы снижения
риска, воздействующие на те или иные стороны
деятельности предприятия.
3.
Методы управления рисками.
Многообразие
применяемых в предпринимательской
деятельности методов управления риском
можно разделить на 4 группы, c которыми
вы можете ознакомиться:
Методы
управления рисками:
1. методы
уклонения от рисков
2. методы
локализации рисков
3. методы
диверсификации рисков
4. методы
компенсации рисков
При выборе конкретного метода управления
рисками риск-менеджер должен исходить
из следующих принципов:
- нельзя рисковать
больше, чем это может позволить собственный
капитал;
- нельзя рисковать
многим ради малого;
- следует предугадывать
последствия риска.
Рассмотрим
более подробно способы управления
риском как методы уклонения от риска.
Методы уклонения
от риска наиболее распространены в
хозяйственной практике, ими пользуются
предприниматели, предпочитающие действовать
наверняка. Методы уклонения от риска
подразделяются на:
- отказ от
ненадежных партнеров, т.е. стремление
работать только с надежными, проверенными
партнерами, не расширение круга партнеров;
отказ от участия в проектах, связанных
с необходимостью расширить круг партнеров,
отказ от инвестиционных и инновационных
проектов, уверенность в выполнимости
или эффективности которых вызывает сомнения;
- отказ от
рискованных проектов, т.е. отказ от инновационных
и иных проектов, реализуемость или эффективность,
которых вызывает сомнение;
- страхование
рисков, основной прием снижения риска,
страхование вероятных потерь служит
не только надежной защитой от неудачных
решений, но и повышает ответственность
лиц, принимающих решения, принуждая их
серьезнее относится к разработке и принятию
решений, регулярно проводить защитные
мероприятия в соответствии со страховыми
контрактами. Правда, трудно использовать
механизм страхования при освоении новой
продукции или новых технологий, так как
страховые компании не располагают в таких
случаях достаточными данными для проведения
расчетов;
- поиск гарантов,
т.о. при поиске гарантов, как и при страховании,
целью является перенос риска на какое-либо
третье лицо. Функции гаранта могут выполнять
различные субъекты (различные фонды,
государственные органы, предприятия)
при этом необходимо соблюдать принцип
равной взаимной полезности, т.е. желаемого
гаранта можно заинтересовать уникальной
услугой, совместной реализацией проекта;
- увольнение
некомпетентных работников. Рассмотрим
более подробно способы управления риском
как методы локализации рисков. Методы
локализации рисков используются в
редких случаях, когда удается довольно
четко идентифицировать риски и источники
их возникновения. Выделив экономически
наиболее опасные этапы или участки деятельности
в обособленные структурные подразделения,
можно сделать их более контролируемыми
и снизить уровень риска. К таким методам
локализации относятся:
- создание
венчурных предприятий предполагает создание
небольшого дочернего предприятия как
самостоятельного юридического лица для
высокотехнологических (рискованных)
проектов. Рискованная часть проекта локализуется
в дочернем предприятии, при этом сохраняется
возможность использования научного и
технического потенциала материнской
компании;
- создание
специальных структурных подразделений
(с обособленным балансом) для выполнения
рискованных проектов;
- заключение
договоров о совместной деятельности
для реализации рискованных проектов.
Рассмотрим более подробно способы управления
риском как методы диверсификации рисков.
Методы диверсификации
рисков заключаются в распределении
общего риска и подразделяются на:
- распределение
ответственности между участниками проекта
необходимо при распределении работ между
участниками проекта четко разграничить
сферы деятельности и ответственность
каждого участника, а так же условия перехода
работ и ответственности от одного участника
к другому и юридически это закрепить
в договорах. Не должно быть этапов, операций
или работ с размытой или неоднозначной
ответственностью;
- диверсификация
видов деятельности и зон хозяйствования
это увеличение числа применяемых технологий,
расширение ассортимента выпускаемой
продукции или оказываемых услуг, ориентация
на различные социальные группы потребителей,
на предприятия различных регионов;
- диверсификация
сбыта и поставок, т.е. работа одновременно
на нескольких рынках, когда убытки на
одном рынке, могут быть компенсированы
успехами на других рынках, распределение
поставок между многими потребителями,
стремясь к равномерному распределению
долей каждого контрагента. Так же мы можем
диверсифицировать закупку сырья и материалов,
что предполагает взаимодействие со многими
поставщиками, позволяя ослабить зависимость
предприятия от его "окружения". При
нарушении поставок по разным причинам
предприятие безболезненно сможет переключится
на работу с другим поставщиком аналогичного
продукта;
- диверсификация
инвестиций это предпочтение реализации
нескольких относительно небольших по
вложениям проектов, чем реализация одного
крупного инвестиционного проекта, требующего
задействовать все ресурсы и резервы предприятия,
не оставляя возможностей для маневра.
- распределение
риска во времени (по этапам работы), т.е.
необходимо распределять и фиксировать
риск во времени при реализации проекта.
Это улучшает наблюдаемость и контролируемость
этапов проекта и позволяет при необходимости
сравнительно легко их корректировать.
Рассмотрим более подробно способы управления
риском как методы компенсации рисков.
Методы компенсации
рисков связаны с созданием механизмов
предупреждения опасности. Методы компенсация
рисков более трудоемки и требуют обширной
предварительной аналитической работы
для их эффективного применения:
- стратегическое
планирование деятельности как метод
компенсация риска дает положительный
эффект, если разработка стратегии охватывает
все сферы деятельности предприятия. Этапы
работы по стратегическому планированию
могут снять большую часть неопределенности,
позволяют предугадать появление узких
мест при реализации проектов, заранее
идентифицировать источники рисков и
разработать компенсирующие мероприятия,
план использования резервов;
- прогнозирование
внешней обстановки, т.е. периодическая
разработка сценариев развития и оценки
будущего состояния среды хозяйствования
для участников проекта, прогнозирование
поведения партнеров и действий конкурентов
общеэкономическое прогнозирование;
- мониторинг
социально-экономической и нормативно-правовой
среды предполагает отслеживание текущей
информации о соответствующих процессах.
Необходимо широкое использование информатизации
- приобретение и постоянное обновление
систем нормативно-справочной информации,
подключение к сетям коммерческой информации,
проведение собственных прогнозно-аналитических
исследований, привлечение консультантов.
Полученные данные позволят уловить тенденции
развития взаимоотношений между хозяйствующими
субъектами, дадут время для подготовки
к нормативным новшествам, предоставят
возможность принять соответствующие
меры для компенсации потерь от новых
правил хозяйственной деятельности и
скорректировать оперативные и стратегические
планы;
- создание
системы резервов этот метод близок к
страхованию, но сосредоточенному внутри
предприятия. На предприятии создаются
страховые запасы сырья, материалов, комплектующих,
резервные фонды денежных средств, разрабатываются
планы их использования в кризисных ситуациях,
не задействуются свободные мощности.
Актуальным является выработка финансовой
стратегии для управления своими активами
и пассивами с организацией их оптимальной
структуры и достаточной ликвидности
вложенных средств.
- обучение
персонала и его инструктирование.
Заключение
Понятие
«риск» известно с давних времен. В отечественной
экономике исследование вопросов теории
риска было в определенной степени востребовано
лишь до конца 20-х годов 20 века. В дальнейшем
усиливалась роль командно-административных
методов управления. Все это в соединении
с устранением рыночной мотивации экономики
привело к отрицанию проблемы хозяйственного
и социального риска. Отдельные же разработки
по вопросам производственных, хозяйственных
рисков не могли претендовать на право
считаться научным направлением.
Этапы
процесса осуществления риск-менеджмента
наглядно представляют систему его
реализации в практическом смысле.
Это механизм и система принципов,
с помощью которых менеджер устанавливает
рискованные для предприятия
объекты и осуществляет контроль
за недопущением появления рисков.
В
условиях рыночных отношений проблема
оценки и учета риска приобретает
самостоятельное теоретическое
и прикладное значение как важная
составная часть теории и практики
управления.
Большинство
управленческих решений принимается
в условиях риска, что обусловлено рядом
факторов – отсутствием полной информации,
наличием противоборствующих тенденций,
элементами случайности и многим другим.
Бизнес
невозможен без риска. Чтобы выжить
в условиях рыночных отношений, нужно
решаться на внедрение технических новшеств
и на смелые, нетривиальные действия, а
это усиливает риск.
Отсюда
следует, что предпринимателю надо
не избегать риска, а уметь оценивать
степень риска и уметь управлять
риском, чтобы уменьшить его. Следует
отметить, что полученные оценки риска
имеют ценность не только сами по себе,
сколько в связи с необходимостью принятия
решения в конкретных ситуациях.
Список
использованных источников
1.http://www.risk24.ru/metodi4.htm
2. http://www.finrisk.ru/article/this/id_257.asp
3. http://www.management.com.ua/finance/fin097.html
4. http://www.citforum.ru/security/articles/risk_management/4.shtml#PIC61
5. Хохлов
Н.В. Управление риском: учебное пособие.-
М.: ЮНИТИ-ДАНА, 2001
6. Чернова
Г. В., Кудрявцев А.А. Управление
рисками: учеб. пособие. – М.: ТК
Велби, Изд-во Проспект, 2006.
7. http://bibliotekar.ru/finance-7/37.htm