Факторы, определяющие сущность менеджмента рисков информационной безопасности



Факторы, определяющие сущность менеджмента рисков информационной безопасности

Макеев Андрей Сергеевич, студент

Дальневосточный федеральный университет

В данной статье описывается сущность менеджмента рисков информационной безопасности и рассматриваются его основные составляющие. Освещаются вопросы асимметрии принятия решений, а также ограничения риск-менеджмента.

Ключевые слова: сущность риск-менеджмента, критерии принятия риска, ограничения риск-менеджмента, асимметрия принятия решений.

Риск является вероятностной характеристикой, так как связан с неопределенностью, то есть неуверенностью в полноте полученной информации. Безусловно, учитывая все аспекты, можно приблизительно точно определить последствия от реализации конкретной угрозы на определенный актив. Между тем, полнота информации является относительным понятием. Можно быть абсолютно уверенным в том, что были учтены все аспекты, а нежелательное событие все равно произошло. Так, например, невозможно предусмотреть все маловероятные события: падение самолета на здание организации, природные катаклизмы. Вероятность реализации этих инцидентов крайне низка, но они гипотетически могут произойти и принести колоссальный ущерб. Кроме того, следует учитывать тот факт, что, в случае нештатных ситуаций, при отказе работы сразу нескольких устройств, остальные, взаимосвязанные с ними, будут выведены из строя с геометрической прогрессией. Дело в том, что при оценке рисков, учитывается влияние конкретной угрозы на определенный актив. В случае влияния совокупности угроз, либо влияния угрозы на совокупность активов, последствия могут быть совсем иные. Понимание всех этих аспектов выливается в отсутствие уверенности в том, что обязательно произойдет в будущем. Невозможность «абсолютного» прогноза порождает существование риска. Это означает, что деятельность любой организации связана с риском, признает она этого или нет. В связи с этим, управляя рисками, организация тем самым повышает эффективность своей деятельности. Это, в том числе, касается и области информационной безопасности. Между тем, для обеспечения высокой результативности риск-менеджмента необходимо осознавать и учитывать ряд факторов, определяющих сущность менеджмента рисков информационной безопасности, которым посвящена данная работа.

Сущность риска

Важным условием принятия рациональных решений является полнота и точность информации. Между тем, как и другие ресурсы, информация, как правило, ограниченна, поэтому большинство решений принимается в условиях неполной осведомленности [1]. Следствием принятия решений в данных условиях является неопределенность результатов. Таким образом, под неопределенностью следует понимать невозможность оценки будущего развития событий, как с точки зрения вероятности их реализации, так и с точки зрения вида их проявления. А вот неполную определенность, другими словами риск, можно оценить с определенной достоверностью. Иначе говоря, неполную определенность можно трактовать как «размытость» будущих событий, подлежащих вероятностной оценке. То есть, управляя рисками, организация заведомо сокращает свои убытки посредством выбора наиболее оптимальных для нее решений.

Для риска также характерны такие черты, как альтернативность и противоречивость. Альтернативность предполагает необходимость выбора из нескольких возможных вариантов решений. В случае отсутствия возможности выбора не возникает рискованная ситуация, что свидетельствует об отсутствии риска. Противоречивость связана с субъективной оценкой объективно существующих рискованных действий, что подчеркивает субъективно-объективную природу риска. Люди могут по-разному воспринимать одну и ту же величину риска в силу различия психологических и идеологических принципов. Так, человек, выбравший определенную альтернативу, может считать ее рискованной, а другой может расценивать ее как консервативную, лишенную всякого риска. В этом и заключается субъективность. В то же время объективность отражает происходящие в жизни явления, которые не зависят от воли и сознания человека. Важно понимать, что риск существует независимо от того, осознают ли его наличие или нет, учитывают или игнорируют.

Исходя из этого, сущность риска заключается в возможности потерь для организации, связанных с выбором определенной альтернативы в условиях неопределенности и, как следствие, отсутствием уверенности в достижении поставленной цели. Таким образом, риск-менеджмент представляет собой деятельность, учитывающую неопределенность в ситуации неизбежного выбора.

Принятие риска

Главным аспектом риск-менеджмента применительно к информационной безопасности является осознание руководством необходимости внедрения системного подхода к обеспечению безопасности организации от информационных угроз. Этот аспект играет ключевую по значимости роль в планировании мероприятий по обеспечению информационной безопасности, поскольку без поддержки руководства одной только красноречивостью руководителя службы информационной безопасности многого не добиться [2]. Таким образом, по степени осознания можно выделить несколько уровней зрелости организации (рис. 1).

Рис. 1. Уровни зрелости организации

Краеугольным камнем риск-менеджмента для любой организации является определение уровня риска, который она готова принять для достижения своих целей в области информационной безопасности. В первую очередь, исходя из уровня ее зрелости, а также условий функционирования и стратегических целей, руководство определяет предпочтительный риск («риск-аппетит»), то есть то, сколько организация готова и может потерять в случае реализации инцидентов информационной безопасности. В то же время тот уровень риска, который организация готова поддерживать для достижения своих целей после его обработки называется допустимым риском («толерантностью к риску»). Отличие данных понятий состоит в том, что предпочтительный риск — это то, к чему стремиться организация, а допустимый — это те потери и выгоды, которые она готова принять в случае реализации рискованного события, не останавливая основные процессы своей деятельности. Разумеется, границы допустимого риска не должны выходить за пределы риск-аппетита. Предпочтительный риск находит свое отражение в Политике информационной безопасности. Данный документ определяет общие намерения и направление деятельности организации в этой области. В соответствии с ним руководство распределяет обязанности и выделяет необходимые ресурсы для их исполнения с учетом предпочтительного риска. В свою очередь, допустимый риск связан с целями организации и представляет собой приемлемый уровень отклонения от поставленной цели. Деятельность в рамках допустимого риска предоставляет руководству уверенность в том, что организация не превысит уровень предпочтительного риска, что, в свою очередь, предоставляет относительную гарантию достижения поставленных целей.

На определение уровня допустимого риска оказывают влияние как условия функционирования организации, так и уровень ее зрелости. На практике учитываются мнения и опыт экспертов, а также доступные статистические данные об инцидентах информационной безопасности. Организация должна установить критерии принятия рисков, определяющие максимально допустимый уровень рисков, исходя из целей риск-менеджмента. Критерии принятия риска могут включать многие пороговые значения, но при условии, что при определённых обстоятельствах руководство может принимать риски, находящиеся выше указанного уровня. Это связано с тем, что установленные критерии могут не учитывать все возможные условия, в которых окажется организация на момент принятия решения. Те риски, которые превышают установленный руководством допустимый уровень являются неприемлемыми, а связанная с ними деятельность — рискованной. Без дальнейшей обработки могут быть приняты только риски, оцененные ниже этого уровня. В качестве примера будет рассмотрена стандартная матрица риска (рис. 2). Значения вероятности наступления инцидента и тяжести последствий условно будут располагаться в интервале от 1 до 5. Так как задача состоит в описании процесса определения допустимого уровня риска, то приведенной матрицы с качественными значениями будет вполне достаточно для понимания принципа определения допустимого уровня риска [3].

Рис. 2. Матрица риска

В данном примере величина рисков определяется по шкале от 1 до 9:

– Величина риска в диапазоне от 1 до 3 соответствует низкому уровню риска, который может быть принят без дальнейшей обработки.

– Величина риска в диапазоне от 4 до 6 соответствует среднему уровню риска, который требует обработки.

– Величина риска в диапазоне от 7 до 9 соответствует высокому уровню риска, который должен быть обработан в первую очередь.

Как видно из примера, риск, находящийся в диапазоне от 1 до 3, может быть принят. Если руководство организации в силу ограниченности временных или финансовых ресурсов выбирает более рискованную стратегию своей деятельности, то уровень допустимого риска может быть завышен, например, в диапазоне уже от 1 до 4. Принимая на себя такую ответственность, руководство должно осознавать, что дополнительное принятия ряда рисков без их обработки, конечно, сократит расходы на информационную безопасность по сравнению с первоначальным вариантом, однако, может обернуться еще большим ущербом. Взвешивая все «за» и «против», каждая организация, таким образом, для себя определяет границы допустимости риска, исходя из стратегии своей деятельности.

Ограничения менеджмента рисков информационной безопасности

На эффективность менеджмента рисков информационной безопасности организации оказывают влияние следующие основные ограничения: субъективность суждения, ограниченность ресурсов, халатность работников. Ключевым ограничением, характерным для риск-менеджмента, является субъективность суждения [4]. Дело в том, что лица, принимающие решения по вопросам, связанным с неопределенностью, делают выбор на основе мнения, имеющегося на данный момент, исходя из доступной информации. Через некоторое время может возникнуть необходимость пересмотра определенных решений в силу изменения обстоятельств (получение более полной информации о рассматриваемых альтернативах, изменение контекста организации и т. д.). Кроме того, субъективность принимаемых решений заключается в психологических особенностях человека. Во-первых, каждый индивидуум воспринимает рассматриваемую проблему под определенным углом. Один человек может считать сделанный выбор консервативным, в то время как другой — рискованным. Во-вторых, лица, принимающие решения, могут быть чрезмерно уверены в своей способности оценивать ситуацию, и не признавать неопределенности, которая на самом деле существует. Следующим ограничением риск-менеджмента является ограниченность ресурсов. Очевидно, что количество финансовых средств и наличие технических средств защиты информации, а также временные сроки напрямую оказывают влияние на тот перечень мероприятий по обеспечению информационной безопасности, который можно внедрить, исходя из этих условий. Кроме того, необходимо рационально использовать ограниченные ресурсы организации. В частности, выделение ценных ограниченных ресурсов для управления и мониторинга за незначительными рисками представляет собой непродуктивное решение. С другой стороны, недостаток контроля порождает неразумный риск. В связи с этим, необходимо обеспечить надлежащий баланс между затратами и выгодами. Не следует исключать из перечня основных ограничений риск-менеджмента халатность работников, которые могут случайным образом навредить внедренной системе управления рисками. Так, персонал может совершить ошибки по причине небрежности и рассеянности. Кроме того, сотрудники, временно замещающие постоянных работников, могут оказаться не способными в полной мере выполнять установленные функции. Эти аспекты также необходимо учитывать и контролировать с целью поддержания эффективности риск-менеджмента на должном уровне.

Асимметрия принятия решений

Управление рисками в организации осуществляется людьми, результаты действий которых не всегда одинаковы. Каждый сотрудник обладает уникальным опытом и имеет личные приоритеты, в связи с чем, рассматривает деятельность организации под особым углом, что влияет на то, каким образом он распознает риск, оценивает и реагирует на него. Люди стараются уйти от риска, когда дело касается доходов и, наоборот, рискнуть, чтобы уйти от гарантированных потерь. Данную проблемную область изучает экономическая теория — теория перспектив, получившая развитие благодаря исследованиям Даниэля Канемана и Амоса Тверски [5]. Основные идеи данной теории в 1979 году ученые изложили в статье «Prospect Theory: An Analysis of Decision under Risk», описывающей как индивидуумы оценивают потери и выигрыши.

Канеман и Тверски выяснили, что асимметричность принятия решений встречается постоянно в самых разных экспериментах. В частности, ученые предложили одной аудитории представить, что некий населенный пункт стал жертвой редкого заболевания, которое должно унести жизни 600 человек. Согласно первой программе поведения гарантированно будут спасены 200 человек. Второй вариант предполагает гибель 600 человек с вероятностью 67 %, однако, в случае успеха, есть возможность спасения всех людей с вероятностью 33 % соответственно. В эксперименте 72 % опрашиваемых выбрали менее рискованную программу с гарантированным спасением 200 человек. В другой аудитории тот же вопрос был поставлен иначе. Первый вариант предполагал гарантированную гибель 400 человек из 600. Вторая программа предлагала 33 % шансов того, что будут спасены абсолютно все, и, соответственно, 67 % за то, что могут погибнуть 600 человек. Присутствующие в аудитории не смогли смириться с перспективой непременной потери 400 жизней и, как отмечают Канеман и Тверски, 78 % опрошенных пожелали рискнуть (рис. 3). Данные результаты противоречат предположению о рациональности выбора, так как ответ на вопрос не должен зависеть от формы постановки проблемы. Объясняя результаты проведенного эксперимента, ученые отмечают, что люди не столько избегают неопределенности, сколько не приемлют потерь.

Рис. 3. Сущность асимметрии принятия решений

Осознание описанной концепции асимметрии принятия решений позволяет понять психологию людей при выборе альтернатив в условиях риска в области информационной безопасности. В частности, это объясняет, почему от руководства довольно сложно добиваться финансирования мероприятий по обеспечению информационной безопасности, даже когда ущерб от реализации инцидентов может быть куда выше стоимости внедрения контрмер. Все дело в том, что руководители осуществляют выбор между гарантированными потерями, выраженными стоимостью внедрения контрмер, и вероятностью того, что инцидент информационной безопасности может не произойти. К сожалению, зачастую, в силу ограниченности бюджета организации, выбирается последний вариант.

Вывод

В данной работе были затронуты вопросы сущности риска и его основных черт, принципы определения допустимого уровня риска, основные ограничения риск-менеджмента, а также психологические аспекты принятия решений в условиях риска. В совокупности все эти факторы составляют суть риск-менеджмента, поэтому понимание этих концептуальных основ необходимо при изучении вопросов управления рисками. В частности, наличие неопределенности значительно усложняет процесс выбора наиболее подходящих мероприятий по обеспечению информационной безопасности в условиях ограниченности ресурсов. Характер неопределенности включает в себя осознание достаточности полученной информации о риске, его источниках, причинах и последствиях для достижения установленных целей. Необходимо понять, что полностью избавиться от влияния факторов неопределенности невозможно. В связи с этим, риск-менеджмент следует рассматривать как деятельность, направленную на учет риска с целью выбора рациональных альтернатив. Не менее важная составляющая риск-менеджмента — допустимость риска. Корректное определение того уровня риска, который организация готова принять позволит защитить ее от преследования слишком нереалистичных целей. Кроме того, необходимо учитывать ограничения риск-менеджмента. Очевидно, что внедрение контрмер, нейтрализующих информационные угрозы, следует осуществлять в ограниченные обязательствами сроки. Также важно проводить постоянный мониторинг внедренного процесса менеджмента рисков информационной безопасности с целью отклонения от установленных целей риск-менеджмента. Главным образом это связано с внешними и внутренними изменениями условий функционирования организации, порождающими новые угрозы и уязвимости. Однако, не стоит забывать и про субъективность решений, принимаемых в условиях неполной осведомленности. Учитывая вышесказанное, важно понимать, что внедрение менеджмента рисков информационной безопасности позволит повысить эффективность деятельности организации и обеспечить защиту от информационных угроз. Между тем, недостаточно только внедрения данного процесса, необходимо добиваться его высокой результативности, чтобы риск-менеджмент смог предоставлять воспроизводимые результаты. Для этого необходимо учитывать факторы, описанные в данной работе.

Литература:

1. Неопределенность и риск // URL: http://mirznanii.com/info/neopredelennost-i-risk_161470
2. Астахов А. М. Искусство управления информационными рисками. — М.: ДМК Пресс, 2010. — 314 с.
3. Макеев А. С. Основные аспекты управления рисками информационной безопасности // Молодой ученый. — 2016. — № 8. — С. 126–134.
4. Enterprise Risk Management — Integrated Framework (ERM, USA), 2004. // URL: http://www.coso.org/documents/coso_erm_executivesummary.pdf
5. Теория риска и моделирование рисковых ситуаций: Учебник / А. С. Шапкин, В. А. Шапкин. — 5-е изд. — М.: Издательско-торговая корпорация «Дашков и К°», 2012. — 880 с.