Главная » Дача

Риск ландшафт 4 элемента

Содержание
  1. Информационная безопасность
  2. Страницы
  3. среда, 2 ноября 2011 г.
  4. Практика ИБ \ FAIR — методология анализа рисков (Часть 3)
  5. Управление рисками в коммерческих банках: интегративный подход (стр. 10 )
  6. Таблица 7. Инструменты управления рисками
  7. Таблица 8. Методическое обеспечение риск-менеджмента

Информационная безопасность

Практика информационной безопасности

Страницы

среда, 2 ноября 2011 г.

Практика ИБ \ FAIR — методология анализа рисков (Часть 3)

Прежде чем мы сможем приступить к анализу любого сценария риска, мы должны понять компоненты, из которых состоит ландшафт риска. FAIR включает в себя четыре основных компонента – угрозы, активы, сама компания и внешняя среда. Все элементы сценария попадают в одну из этих категорий, все они имеют свои характеристики (или факторы), которые увеличивают или уменьшают риск.

В этом разделе мы посвятим большую часть времени компоненту «угроза», т.к.правильный результат даже самого простого анализа по методике FAIR зависит от четкого понимания аналитиком угроз.

Как было сказано ранее, угроза – это что-то (например, объект, вещество, человек и т.д.), что способно действовать против актива таким образом, который может нанести ему вред. Например, угрозой является торнадо, наводнение или хакер. Ключевым моментом здесь является то, что угроза применяет некоторую силу (вода, ветер, вредоносный код и т.д.) в отношении актива, что может привести к возникновению ущерба.

По мере изучения этого документа, мы увидим, что фактор «угроза» играет важную роль при оценке вероятности ущерба. Проблема состоит в том, что мы не можем знать, кто будет следующей жертвой злоумышленника, точно так же, как мы не знаем, выпадет ли «решка», когда мы в следующий раз бросим монету. Однако, понимая основные характеристики монеты и броска, мы можем разумно предположить, что при следующих 500 бросках в 50% случаев выпадет «решка» (но это только вероятность, мы не можем сказать точно). Таким же образом мы можем определить и охарактеризовать угрозу, а затем обоснованно оценить вероятность в отношении частоты и характера атак.

Источник угрозы (threat agent) — отдельный представитель совокупности угроз. Практически кто или что угодно может, при определенных обстоятельствах, быть источником угрозы – например, неопытный пользователь компьютера, который, не желая навредить, просто по незнанию останавливает работу всей компании, введя неправильную команду. Другим примером может быть представитель надзорного органа, выполняющий проверку компании, или мышь, грызущая кабель, по которому передаются данные.

Сообщество угроз (threat community) — подмножество в совокупности источников угроз, которое объединяют общие ключевые характеристики. Понятие сообщества угроз является мощным инструментом для понимания, кому или чему мы противостоим, пытаясь управлять риском. Например, рассмотрим следующий профиль сообщества угроз:

  • Мотив: идеология
  • Основная цель: повреждение / уничтожение
  • Поддержка: неофициальная
  • Предпочтительные основные характеристики цели: объекты или люди, которые придерживаются иной (конфликтующей) идеологии
  • Предпочтительные дополнительные характеристики цели: высокая значимость, высокая заметность
  • Предпочтительные цели: люди, инфраструктура (здания, коммуникации, энергоснабжение и т.д.)
  • Возможности: изменяются в зависимости от вектора атаки (технологичность: средняя)
  • Личная толерантность к риску: высокая
  • Беспокойство о сопутствующем ущербе: низкое

Источник угрозы, имеющий такие характеристики, очевидно попадает в сообщество террористических угроз.

Вероятность того, что ваша компания станет объектом атаки со стороны террористического сообщества, во многом зависит от ее особенностей, имеющих отношение к мотивам, намерениям и возможностям террористов. Связана ли ваша компания с идеологией, конфликтующей с известными идеологиями активных террористических групп? Имеет ли ваша компания высокую значимость, высокое влияние? Является ли ваша компания уязвимой целью? Как ваша компания выглядит по сравнению с другими потенциальными объектами террористической угрозы? Если атака будет все-таки направлена против вашей компании, какие объекты вероятнее всего будут ее целью? Например, какова вероятность того, что террористическая атака будет направлена на информацию или информационные системы вашей компании?

Следующие сообщества угроз, с которыми сталкиваются многие компании, являются примерами угроз, исходящих от вредоносных действий человека:

  • Внутренние
    • Сотрудники
    • Подрядчики (и поставщики)
    • Партнеры
  • Внешние
    • Кибер-преступники (профессиональные хакеры)
    • Шпионы
    • Непрофессиональные хакеры
    • Активисты
    • Спецслужбы государственного уровня (например, организации, подобные ЦРУ и т.п.)
    • Авторы вредоносных программ (вирусов, червей и т.д.)

Обратите внимание, что вы можете разделить сообщество угроз по более детальным (или по иным) характеристикам, в зависимости от ваших потребностей. Например, при анализе рисков часто имеет смысл разделить сотрудников на тех, кто обладает повышенными привилегиями доступа и большими техническими знаниями (например, системные и сетевые администраторы), и тех, кто не имеет повышенных привилегий и технических знаний (большинство сотрудников компании). Когда вы разделяете сообщества или определяете новые сообщества, очень важно, чтобы вы четко понимали, что является отличительными характеристиками одного сообщества от другого, новых сообществ — от уже существующих.

Также важно понимать, что членство в сообществе угроз не является взаимоисключающим. Иными словами, источник угрозы может входить более чем в одно сообщество. Например, непрофессиональный хакер может являться сотрудником компании или ее подрядчиком. Кроме того, характеристики отдельного источника угрозы не всегда можно однозначно отнести к какому-либо сообществу. Отдельные характеристики источника угрозы могут не совпадать с аналогичными характеристиками остального сообщества. К примеру, отдельный «террорист» может иметь низкий уровень толерантности к личным рискам. Помните, что перед вами не стоит задача разработать идеальные характеристики ландшафта угроз — это невозможно. Ваша задача состоит в том, чтобы разработать обоснованный и понятный ландшафт угроз. Это позволит вам более точно оценивать вероятности и находить наиболее эффективные решения по управлению рисками.

Читайте также:  Зимние занавески для беседки

Мы можем выделить любое количество разнообразных характеристик источника угрозы для составления профиля сообщества угроз. Однако в большинстве случаев, действительно существенных характеристик сравнительно немного. А слишком большое количество характеристик в нашем анализе значительно усложняет использование модели, давая при этом относительно небольшое улучшение результатов. Это говорит о том, что при моделировании рисков очень важно найти правильный баланс между точностьюи практичностью.

Существует четыре основных компонента, на которых основана систематизация рисков для определения характеристик источников угроз:

  • Частота, с которой источники угрозы вступают в контакт с нашей компанией или ее активами
  • Вероятность того, что источники угрозы будут действовать против нашей компании или ее активов
  • Вероятность того, что действия источника угрозы будут успешны, и он сможет преодолеть реализованные защитные меры
  • Вероятный характер (тип и степень тяжести) воздействия на активы компании

Для нас очень важно понять факторы, влияющие на эти отличительные характеристики, чтобы иметь возможность эффективно оценивать вероятность атаки и, в случае атаки, вероятный характер, цель атаки и ее последствия. Чуть позже мы рассмотрим эти факторы более подробно.

В рамках ландшафта информационных рисков, мы можем определить Актив (asset), как некие данные, устройство или другой компонент среды, обеспечивающий или поддерживающий зависящую от информации деятельность компании, и на который может быть оказано воздействие, приводящее в итоге к потерям. Активы имеют характеристики, представляющие собой факторы риска, связанные с ценностью актива, обязательствами в отношении него, а также силой защитных мер, реализованных для обеспечения его безопасности.

Актив подвержен потенциальной возможности потерь только в том случае, если он имеет одну или несколько характеристик, представляющих собой ценность или устанавливающих обязательства. Например, от определенного актива может зависеть работоспособность компании. Нанесение вреда этому активу может остановить работу компании. Кроме того, независимо от ценности актива, компания может иметь правовые (законодательные или договорные) обязательства по защите этого актива, и нанесение вреда этому активу потенциально может привести к юридической ответственности компании.

Чтобы учесть это в FAIR, мы разделим ценность активов и относящиеся к ним обязательства на три категории:

  • Критичность (criticality) – характеристика актива, которая связана с влиянием актива на работу компании. Например, повреждение основной базы данных компании приведет к тому, что компания лишится прибыли.
  • Стоимость (cost) – расходы, связанные с заменой актива, который был украден или уничтожен. Примером могут быть расходы на замену украденного ноутбука или восстановление поврежденного взрывом здания.
  • Чувствительность (sensitivity) – последствия, связанные с разглашением или неправильным использованием конфиденциальной информации.

Сама природа любого бизнеса несет в себе риски. Нанесение вреда активам компании может воздействовать на все или только отдельные планы компании (подробнее об этом позже). Компания может потерять свои ресурсы и способность функционировать. Некоторые особенности компании могут служить дополнительным фактором, привлекающим внимание отдельных сообществ угроз, что может увеличить частоту инцидентов.

Источник статьи: http://dorlov.blogspot.com/2011/11/fair-3.html

Управление рисками в коммерческих банках: интегративный подход (стр. 10 )

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

Исследование основополагающих методик работы с рисками принятых на международном уровне можно кратко суммировать следующими тезисами:

1. России необходимо присоединиться к формату Базель 2 и сопутствующему ему комплекту базельских стандартов KYC, хотя это юридически, организационно и квалификационно будет не просто сделать. На этом пути не следует ни торопиться, ни мешкать, ибо любая неадекватность развитию банковской теории и практики чревата потерями и для отдельных российских банков, и для банковской системы, и для экономики страны в целом.

2. Формат Базель 2 методологически шире, чем это определено в самом документе.

3. Один из фундаментальных принципов, заложенных в Базель 2, – расширение самостоятельности банков в сфере оценки общей рискованности заемщиков и других клиентов методами внутреннего рейтинга. Этого, однако, недостаточно: нам кажется, что следует применять методологию интегративного подхода к управлению рисками.

4. Логика и методология Базеля 2 отражает общее нарастание неопределенности в экономике и усиление потребности в укреплении стабильности банковской системы. Формат Базель 2 не дает окончательных решений. Он, по-видимому, в той или иной форме будет развиваться и далее.

5. Стабильность коммерческого банка требует не только учета актуального рискового профиля самого банка, как это констатирует Базель 2, но, во-первых, учета полного рискового ландшафта банка, и, во-вторых, учета рискового ландшафта клиентуры банка, как специфического финансово-промышленного холдинга или финансовой группы. В качестве методической основы интеграции в рамках формата Базель 2 можно использовать формат COSO, который подходит для обустройства системы управления рисками в организациях любого типа. Необходимо развивать методологию интегративного управления рисками банка и его клиентуры, как единой финансовой группы, к чему подталкивает и логика Базеля 2.

Читайте также:  Чем обработать теплицу весной народные средства

7. Для внедрения эффективного интегративного подхода к управлению рисками в банковской системе России потребуются серьезные усилия в научной, организационной и законотворческой сферах.

8. Необходимо также поддерживать и развитие системы внешней независимой оценки рисковой позиции организаций различного типа. Можно ожидать, что в ближайшем будущем будет продолжаться обобщение других методических форматов изучения и описания рисков банков и их клиентуры как в потоке базельского движения (подобно методике RAROC) и потоках других научно-практических форматов (подобно французскому движению синдиники, канадскому пути стандартизации государственного оттенка, британскому подходу стандартизации работы профессиональных риск-менеджеров, ассоциативному движению стандартизации работы участников ассоциаций, австрало-новозеландскому подходу стандартизации самой работы по управлению рисками и американскому пути поддержания развивающихся инструкций для банковских аудиторов ОСС).

9. Можно также определенно ожидать, что в это движение будет вовлекаться все больший круг инструментов риск-менеджмента, предлагаемых различными практическими консультативными группами и исследовательскими центрами.

Об инструментах управления рисками имеет смысл поговорить подробнее. Чаще всего они подразделяются на два понятных класса — страховые и нестраховые инструменты. Однако, как справедливо считает 53, существует еще один класс методов — уклонение от риска, т. е. управление рисками «без покрытия» (см. табл. 7).

Таблица 7. Инструменты управления рисками

Страхование (обязательное и добровольное)

Покрытие риска инструментами риск-менеджмента

Инструменты, иногда позволяющие удерживать риски без покрытия

1. Страховой перенос риска:

— групповое страхование рисков (для групп рисков одного блока предприятия);

— зонтичное страхование рисков (для нескольких блоков предприятия);

— интегральное страхование рисков (совокупность всех рисков во всех модулях, что дает экономию средств страхования);

1. Предотвращение рисков.

2. Воздействие на источник риска.

3. Сокращение времени нахождения под риском.

4. Разработка стратегии и тактики функционирования в условиях риска.

Дублирование операций, объектов и ресурсов.

6. Сокращение величины потенциальных потерь.

7. Сокращение величины фактических потерь.

8. Распределение риска по разным партнерам.

9. Разукрупнение или укрупнение рисков.

10. Распределение рисковых экспозиций в пространстве.

11. Сокращение деятельности рисковых экспозиций.

12. Диверсификация активов предприятия.

13. Балансирование активов и обязательств.

14. Выстраивание процедурных конфигураций, способных уменьшить риск или оттянуть время наступления рисковой ситуации.

15. Превентивный периодический удит (анализ) предприятия.

16. Формирование программ управления рисками (в рамках возможности малого предприятия).

17. Разбиение деятельности на этапы, транши, стадии и т. п.

1. Уклонение от рисков.

2. Сокращение объема рискового поведения.

3. Изоляция взаимовлияющих и взаимоусиливающих рисков.

4. Нестраховой перенос риска.

6. Уменьшение вероятности наступления риска.

7. Дезинформация и маскировка намерений.

8. Развитие сети особых отношений внутри и вне предприятия.

9. Харизматическое управление предприятием.

10. Моральные ограничения, накладываемые при принятии решений.

11. Использование посредников.

12. Использование арбитров.

13. Развитие корпоративной и общенациональной экономической культуры.

14. Использование явных и скрытых наблюдений.

15. Манипулирование границами предприятия и их проницаемостью.

16. Установление лимитов.

Заметим только, что в приведенной таблице отсутствует такой мощный инструмент управления, каковым является программный метод. В упоминавшейся выше диссертационной работе обоснована целесообразность разработки 4-х видов программ управления рисками: текущими (рутинными) рисками; ситуационными рисками; проектными рисками (связанными с реализацией какого-либо проекта коммерческой организации); трансформационными рисками (связанными со структурными преобразованиями-реструктуризацией, слиянием, вхождением коммерческой организации в какую-либо группу и др.).

предложил развернутую процедуру программного управления, включающую следующие этапы:

— экспресс-диагностика проблем предприятия, позволяющая определить наиболее значимые риски;

— выбор временного горизонта планирования программ управления рисками;

— построение или фиксация организационно-структурной схемы коммерческой организации (что необходимо для последующего анализа рисков на уровне подразделений);

— составление списка ценностей предприятия, находящихся под риском;

— сопоставление источников возникновения рисковых ситуаций с ценностями коммерческой организации;

— определение ценностей, в наибольшей степени подверженных риску со стороны тех или иных подразделений;

— оценка рисковой напряженности подразделений и построение их рисковых профилей, т. е. напряженности генерируемых ими рисков;

— экспертная оценка рисковой напряженности коммерческой организации в целом (понятно, что она не равна сумме показателей рисковой напряженности подразделений, здесь закономерности не арифметического, а иного типа);

— экспертное сравнение и корректировка рисковых профилей коммерческой организации в целом и ее подразделений;

— определение величины возможных потерь в подразделениях по каждой ценности;

— определение объема расходов, необходимых коммерческой организации для полного восстановления ее ценностей;

— разработка плана мероприятий по защите каждой ценности от риска;

Читайте также:  Зимние теплицы полиэтиленовой пленки

— формирование сводного плана мероприятий;

— разработка бюджета для реализации каждого мероприятия;

— формирование сводного бюджета;

— оценка возможности финансирования каждого мероприятия;

— оценка возможностей финансирования мероприятий по каждому риску в каждом подразделении;

— определение возможности суммарного финансирования программы управления рисками и сравнение с бюджетом коммерческой организации;

— анализ возможности групповой, зонтичной, и интегральной защиты от риска;

— пересчет финансирования программы в связи с данными, полученными на предыдущем этапе;

— подготовка контрактов и других документов по реализации программы;

— мониторинг и контроль, корректировка программы по текущим обстоятельствам.

Мы позволили себе привести столь подробное описание процедуры разработки программы управления рисками, дабы показать трудоемкость процесса разработки программного управления и ту тщательность, с которой она должна быть выполнена. Разумеется, здесь все приведено что называется «по максимуму», каждая конкретная программа позволяет исключить или не принимать во внимание некоторые этапы процедуры.

Несколько слов о мотивации в риск-менеджменте. Конечно, на практике существуют разные схемы материальных и моральных компенсаций работникам за успехи в предотвращении рисков-потерь или использовании рисков-шансов. Однако, как показало наше обследование ряда коммерческих организаций, различные модификации системы оплаты риск-менеджеров не выходят за рамки известного. Другое дело, когда разрабатывается такая корпоративная система оплаты труда, в которую включены премии за своевременное предвидение и хорошее управление рисками. Конкретные размеры бонусов должны определяться самой коммерческой организацией, прежде всего исходя из реализуемой ею стратегии.

Рассмотрев основные теоретические и методические проблемы управления рисками, предложим структуру цикла управления рисками, учитывающую как его интегративную, так и функциональную парадигмы54:

— анализ симптоматики рисков;

— диагностика, идентификация и картографирование рисков, т. е. составление карты полных рисков коммерческой организации;

— выявление текущих, ситуационных, проектных и трансформационных рисков;

— измерение и оценка рисков;

— разработка программ интегративного управления рисками;

— функциональное управление рисками;

— организационное обеспечение управления рисками;

— выбор инструментов управления рисками;

— реструктуризация системы управления коммерческой организации или ее адаптация к внешним и внутренним рискам;

Проанализировав основные проблемы теоретического и методического обеспечения риск-менеджмента, позволим себе сделать следующие выводы:

1. Потребность коммерческих организаций в интегративном риск-менеджменте все более осознается и нарастает. Теоретическую основу для его развития можно считать сложившейся, а практика успешных, в основном крупных компаний различной отраслевой принадлежности показывает высокую эффективность использования даже ныне имеющихся методических приемов и опыта. При этом интегративный риск-менеджмент ни в коем случае не противоречит функциональному или предметному риск-менеджменту, а включает его в свою предметную сферу и использует методы, инструментарий и приемы анализа и управления рисками, созданные и развиваемые в ряде смежных наук, объектом исследования которых являются риски, а предмет имеет свою специфику.

2. Появились новые информационно-аналитические технологии (нейросетевые методы обработки информации, мощные компьютеры, различного рода интеллекуальные системы), которые в реальном режиме времени смогут перерабатывать огромные массивы данных, что позволит решить проблему многомерного описания, идентификации и анализа рисков.

3. Существенный блок теоретических проблем интегративного риск-менеджмента уже нашел свое решение, в том числе в работах автора настоящего исследования: определение функции интегративного риск-менеджмента; классификация рисков коммерческих организаций; классификация задач управления рисками коммерческих организаций; аспекты управления рисками; методы управления рисками; прогнозирование определенных видов рисковых ситуаций и др.

4. Вместе с тем современная проблематика интегративного риск-менеджмента настоятельно требует решения большой группы теоретических проблем, включающих: классификаторы рисков, учитывающих отраслевую и региональную принадлежность коммерческих организаций, масштаб их деятельности; методы диагностики и идентификации многоаспектных рисков, их многомерного и многоуровнего описания; оценка синергетического влияния рисковых ситуаций на результаты деятельности коммерческих организаций; методы обеспечения непрерывности бизнеса в условиях риска; оценка влияния рисков утраты не материальных ресурсов на результаты деятельности коммерческих организаций; интеграция межорганизационного управления рисками и целый ряд других. Решение ряда отмеченных проблем, связанных, в основном, с управлением интегральными рисками коммерческого банка и его корпоративных клиентов, предложено в настоящей работе.

5. Методическое обеспечение риск-менеджмента представлено значительным числом разработок, сделанных как в рамках теории управления экономикой, так и в смежных науках, в той или иной степени занимающихся проблематикой рисков. В таблице 8 представлена оценка состояния методического обеспечения риск-менеджмента, отнесенная к приведенным выше этапам его управленческого цикла.

Приведенные в таблице оценки даны «в среднем», поскольку этапы цикла даны укрупненно, а не все детали цикла разработаны в одинаковой степени, в его составе присутствуют и нормированные, и эвристические операции. Например, на этапе «функциональное управление рисками» среди множества операций существуют операции воздействия на источник рисковой ситуации. Для одних рисков соответствующие методы разработаны, для других отсутствуют. Можно привести и другие примеры по этому и другим этапа цикла риск-менеджмента. Поэтому и оценки укрупнены.

Таблица 8. Методическое обеспечение риск-менеджмента

Циклы управления рисками

Степень разработанности методического обеспечения

Источник статьи: http://pandia.ru/text/80/042/20073-10.php

Оцените статью
© 2024 Про дачу