Обеспечение информационной безопасности бизнеса - В. Андрианов
Шрифт:
Интервал:
Закладка:
В связи с этим для нас состоянием процесса целенаправленной деятельности будет состояние уже идентифицированных факторов риска. Иные состояния, находящиеся ниже «уровня видимости», не могут быть нами учтены. Для идентифицированных факторов часть состояний будет нами различаться, но пока в связи с невозможностью еще их оценивания будет временно игнорироваться и направляться для обобщения в процедуру накопления знаний.
Процесс целенаправленной деятельности может менять свое состояние, и смена состояния является событием. Это, однако, не рисковое событие, которое наступает, только когда все обуславливающие его риск-факторы принимают «неблагоприятные» значения и приводят к ущербу. Поэтому реально рисковому событию предшествует временной ряд простых событий, связанных с изменением значений риск-факторов. Эти события могут интерпретироваться как рисковые события, зависящие от изменившихся факторов, но не способные нанести ущерб. Часто их различают, называя рисковое событие, повлекшее ущерб, инцидентом.
Разные факторы обладают разной степенью изменчивости, есть быстро изменяющие состояние, есть медленно. В случае, когда группа медленно изменяющихся факторов установилась в неблагоприятное состояние, можно говорить о том, что в процессе целенаправленной деятельности сложилась рисковая ситуация. Выделение рисковых ситуаций практически существенно упрощает процедуры анализа и оценки рисков и принятие решений по ним. Примерами рисковых ситуаций могут быть ситуации, связанные с персоналом (невозможно быстро переобучить или заменить персонал на более компетентный); с операционной средой (невозможно одномоментно сменить большой объем компьютеров) и т. д.
Природа рисков такова, что одно и то же рисковое событие может порождать разные по видам и величине ущербы. Как это уже было указано, ущербы характеризуются неопределенностью и зависимостью от факторов, определяющих состояние процесса целенаправленной деятельности. Можно указать на практически полную аналогию величины возникающего ущерба с рисковыми событиями с точки зрения его возникновения, анализа и оценки. Однако ущерб рассматривается как условная сущность (при условии, что рисковое событие произошло), а влияние выделенных факторов величины ущерба рассматривается на практике с учетом естественной способности процесса противостоять рисковым событиям. Такое свойство процесса называется защищенностью или обратной ей сущностью уязвимостью (более распространено) процесса к рисковым событиям определенного вида.
Другой особенностью представления ущерба факторной моделью является то, что описывается потенциально возможный ущерб. Реальный ущерб определяется парой «потенциально возможный ущерб, уязвимость». Уязвимость, таким образом, может быть определена на практике по соотношению возможного ущерба и реального ущерба. При этом если потенциальный ущерб большой, а реальный маленький, то уязвимость мала, и, наоборот, если реальный ущерб близок к возможному, то уязвимость большая.
Риск-ориентированный подход к целенаправленной деятельности существенно трансформирует понятие «злоумышленник». Оно расширяется, поскольку наличие «злого умысла» уже не является основным признаком деятельности субъекта, приводящей к инциденту. Для организации важно и опасно, когда деятельность субъекта (ов) вне зависимости от его (их) намерений порождает (увеличивает) риск для ее целей. Это обстоятельство является основой для своевременной идентификации рисковых событий. Наличие умысла в действиях субъекта может быть установлено в дальнейшем в ходе расследований, и это является важным с точки зрения правильного (адекватного) реагирования на возникающую проблему.
Понятно, что речь идет только о субъекте, действующем в области внутренних (управляемых) факторов риска. Если субъект действует в стохастической области бизнеса (в области внешних неуправляемых факторов), то возникновение связанных с его деятельностью рисковых событий неизбежно, и контроль (оценка) деятельности такого субъекта возможен только по ее конечному результату.
Противодействовать возникновению рисковых событий — значит своевременно их идентифицировать и осуществлять компенсационные воздействия на риск-факторы, в том числе и на постоянной основе с помощью защитных мер. При этом основная задача — не допустить одновременного действия критического сочетания риск-факторов.
1.3.3. Обобщенная модель распределения ресурсов организации в условиях рисков
Основное содержание любого бизнеса — управление ресурсами в пространстве и времени для достижения цели. Не претендуя на построение общей модели бизнеса, которая могла быть использована для практических целей, таких как его улучшение, увеличение прибыли и т. п., рассмотрим некоторую сильно упрощенную (обобщенную) модель управления ресурсами организации, применимую для целей анализа влияния ИБ на бизнес, и, как следствие, лучшего понимания места и роли ИБ в организациях.
Основными особенностями бизнеса являются:
а) привлекаемый (используемый) ресурс для достижения цели (производства продукта, предоставления услуги) приобретается в общем случае на заемные средства;
б) производимый продукт реализуется на рынке, и выручка, полученная в ходе реализации, есть источник покрытия всех издержек.
Будем считать, что бизнес осуществляется в виде двух операций: заем, инвестирование — и характеризуется временем реализации цели TЦ. Под целью понимается своевременный возврат заемных средств и получение прибыли в результате реализации продукта, произведенного за счет инвестирования заемных средств. При этом предполагается, что кроме заемных средств собственник (организация), осуществляющий бизнес, располагает собственными средствами в виде некоей совокупности активов, часть из которых ликвидная.
Вследствие того, что только параметр TZ является фиксированным, а остальные параметры процесса подвержены рискам различной природы, может оказаться, что на момент возврата инвестиций ΔV < 0. Возникающая коллизия может быть покрыта в конечном счете только из собственных средств организации, ее способность разрешать такие коллизии является рисковой категорией.
Рассмотрим последовательно некоторые виды возникающих рисков. По факторам, от которых они зависят, их можно разделить на две группы:
— неуправляемые риски, полностью определяемые внешними факторами — в первую очередь рыночные риски Rp;