Журнал "Системы Безопасности" № 3‘2019

S E C U R I T Y A N D I T M A N A G E M E N T 21 практическом плане значимыми для ПО видами рисков могут быть: l физический риск, связанный с причинением вреда объектам защиты ПО от реализации актов незаконного вмешательства наруши- телей; l финансово-экономический риск, обуслов- ленный внеплановыми затратами на проти- водействие внешним и внутренним угрозам ПО. Показатели оценки указанных рисков опреде- ляются, как правило, экспертными методами, позволяющими избежать необходимости накопления статистических данных об учиты- ваемых факторах рисков. Количественная оценка рисков представляет собой совокупность регулярных процедур ана- лиза риска, идентификации источников его возникновения, определения возможных мас- штабов последствий проявления факторов риска и роли каждого источника в общем про- филе риска 3 . Количественные оценки рисков являются осно- вой для исследования влияния рисков на обес- печение безопасности ПО и выбора методов управления ими в условиях ПО. Находят при- менение два основных методических подхода к количественной оценке рисков: 1) расчетный метод, заключающийся в про- гнозировании ущерба на основе априорных данных о возможности появления рисковых событий; 2) вероятностный метод, базирующийся на определении вероятности наступления риско- вых событий и оценке размеров предполагае- мых последствий. Вероятностный подход к оценке рисков в виде характеристик случайных величин – математи- ческих ожиданий, дисперсий, функций распре- деления – является предпочтительным. Указан- ный подход позволяет получить комплексную оценку риска в сфере обеспечения безопасно- сти ПО как произведение вероятности возник- новения риска на значение возможного ущерба от его реализации. Практика управления рисками на ПО Рассмотрим в первую очередь цели и принципы управления рисками. Управление рисками – это "система организа- ционно-технических и экономических мероприя- тий и методов, направленных на своевременное выявление, оценку и предупреждение событий случайного и непредсказуемого характера, а также на снижение риска" 2 . Его целью является активный контроль со стороны ПО за идентифи- цированными видами рисков, угрожающих без- опасности его производственной деятельности, и базируется на принципах комплексности, научности и системности. Соблюдению подлежит также непреложное правило: издержки на пред- отвращение риска и сокращение потерь не долж- ны превышать возможных размеров ущерба. Само управление рисками, как правило, строится исходя из концепции приемлемого риска, а уровень приемлемого риска опреде- ляется отношением к нему руководства ПО. При этом принимается во внимание, что указанная концепция допускает возможность компромис- са лишь до некоторого предела, который при- нято называть допустимым. Эффективное управление рисками достигается на основе четкого представления об областях и зонах идентифицированных рисков, вероятно- сти их наступления и масштабах последствий реализации событий рисков. 4 Методы управления рисками Все применяемые на практике методы управле- ния рисками принято подразделять на четыре типа 1 : 1) методы уклонения от риска; 2) методы диссипации риска; 3) методы локализации риска; 4) методы компенсации риска. Абстрагируясь от детализации сути перечислен- ных методов, укажем, что применительно к обеспечению безопасности ПО наибольший интерес для него могут представлять методы локализации и компенсации рисков. Методы локализации рисков возможны в тех случаях, когда удается достаточно четко и кон- кретно вычленить и идентифицировать источ- ники рисков. Тогда, выделив наиболее опасный этап производственной деятельности ПО, можно сделать его контролируемым и таким образом снизить уровень риска. Среди методов компенсации рисков наиболее распространено создание специального фонда риска (самострахование), что способствует, в случае профессионального управления ука- занным фондом, сглаживанию колебаний в уровне потерь в течение длительного време- ни. Самострахование рассматривается как аль- тернатива заключению договора страхования либо как дополнение к нему. Контроль рисков Этот способ реагирования на события рисков предполагает борьбу с нежелательными последствиями не до, а после наступления риска. Обычной практикой при этом является заранее предусмотренное выделение дополни- тельных ресурсов в случае наступления событий рисков. Передача рисков В данном случае речь идет о передаче риска страховой компании с возложением на нее по условиям контракта определенной доли ответ- ственности в компенсации потерь от событий риска или полной передаче этих потерь. Режим страхования рисков в страховой ком- пании устанавливается с учетом страховой премии. Оценка уровня решения задачи управления рисками Согласно описанным процедурам, оценка уровня решения задачи управления рисками обеспечения безопасности ПО практически осуществляется по степени соответствия каж- дого идентифицированного вида риска величине адекватного ему приемлемого риска. При этом основной задачей ПО являет- ся выбор и реализация комбинации меро- приятий, нацеленных на снижение уровня идентифицированных рисков или удержание их в допустимых пределах. n www.secuteck.ru июнь – июль 2019 СПЕЦПРОЕКТ ЭНЕРГЕТИКА. НЕФТЕГАЗ. ПРОМЫШЛЕННОСТЬ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Таблица. Классификация видов рисков, влияющих на обеспечение безопасности ПО Признак классификации Вид риска По природе возникновения Субъективный Объективный По масштабам проявления Локальный Местный Территориальный Региональный По сфере возникновения Экзогенный (внешний) Эндогенный (внутренний) По видам деятельности Физический Производственный Научно-технический Юридический Инвестиционный Инновационный По возможностям страхования Чистый (страхуемый) Спекулятивный (нестрахуемый) По возможности диверсификации Системный Специфический По степени допустимости Пренебрежимо малый Приемлемый Недопустимый По направленности Представляющий опасность для: персонала ПО производственных процессов материальных ценностей информации 3 Саати Т. Принятие решений. Метод анализа иерархий. – М.: Радио и связь, 1993. 4 Клейнер Г.В., Тамбовцев В.Л., Качалов Р.М. Предприятие в нестабильной экономической среде: риски, стратегии, безопасность. – М.: Экономика, 1997.