Н. Голдуев - Обеспечение информационной безопасности бизнеса

Природа рисков такова, что одно и то же рисковое событие может порождать разные по видам и величине ущербы. Как это уже было указано, ущербы характеризуются неопределенностью и зависимостью от факторов, определяющих состояние процесса целенаправленной деятельности. Можно указать на практически полную аналогию величины возникающего ущерба с рисковыми событиями с точки зрения его возникновения, анализа и оценки. Однако ущерб рассматривается как условная сущность (при условии, что рисковое событие произошло), а влияние выделенных факторов величины ущерба рассматривается на практике с учетом естественной способности процесса противостоять рисковым событиям. Такое свойство процесса называется защищенностью или обратной ей сущностью уязвимостью (более распространено) процесса к рисковым событиям определенного вида.

Другой особенностью представления ущерба факторной моделью является то, что описывается потенциально возможный ущерб. Реальный ущерб определяется парой «потенциально возможный ущерб, уязвимость». Уязвимость, таким образом, может быть определена на практике по соотношению возможного ущерба и реального ущерба. При этом если потенциальный ущерб большой, а реальный маленький, то уязвимость мала, и, наоборот, если реальный ущерб близок к возможному, то уязвимость большая.

Риск-ориентированный подход к целенаправленной деятельности существенно трансформирует понятие «злоумышленник». Оно расширяется, поскольку наличие «злого умысла» уже не является основным признаком деятельности субъекта, приводящей к инциденту. Для организации важно и опасно, когда деятельность субъекта (ов) вне зависимости от его (их) намерений порождает (увеличивает) риск для ее целей. Это обстоятельство является основой для своевременной идентификации рисковых событий. Наличие умысла в действиях субъекта может быть установлено в дальнейшем в ходе расследований, и это является важным с точки зрения правильного (адекватного) реагирования на возникающую проблему.

Понятно, что речь идет только о субъекте, действующем в области внутренних (управляемых) факторов риска. Если субъект действует в стохастической области бизнеса (в области внешних неуправляемых факторов), то возникновение связанных с его деятельностью рисковых событий неизбежно, и контроль (оценка) деятельности такого субъекта возможен только по еe конечному результату.

Противодействовать возникновению рисковых событий – значит своевременно их идентифицировать и осуществлять компенсационные воздействия на риск-факторы, в том числе и на постоянной основе с помощью защитных мер. При этом основная задача – не допустить одновременного действия критического сочетания риск-факторов.

Основное содержание любого бизнеса – управление ресурсами в пространстве и времени для достижения цели. Не претендуя на построение общей модели бизнеса, которая могла быть использована для практических целей, таких как его улучшение, увеличение прибыли и т. п., рассмотрим некоторую сильно упрощенную (обобщенную) модель управления ресурсами организации, применимую для целей анализа влияния ИБ на бизнес, и, как следствие, лучшего понимания места и роли ИБ в организациях. Основными особенностями бизнеса являются:

а) привлекаемый (используемый) ресурс для достижения цели (производства продукта, предоставления услуги) приобретается в общем случае на заемные средства;

б) производимый продукт реализуется на рынке, и выручка, полученная в ходе реализации, есть источник покрытия всех издержек.

Будем считать, что бизнес осуществляется в виде двух операций: заем, инвестирование – и характеризуется временем реализации цели T Ц. Под целью понимается своевременный возврат заемных средств и получение прибыли в результате реализации продукта, произведенного за счет инвестирования заемных средств. При этом предполагается, что кроме заемных средств собственник (организация), осуществляющий бизнес, располагает собственными средствами в виде некоей совокупности активов, часть из которых ликвидная.

Заем характеризуется объемом платой за заем П Z, интервалом времени возврата T Z. Пусть Тогда заем есть пара < V Z, T Z>.

Инвестиция характеризуется объемом временем возврата инвестиций T И, величиной возврата инвестиций Цель любого инвестирования – вернуть больше, т. е. выполнить соотношение

Будем считать бизнес сходимым, если возврат инвестиций осуществлен в большем объеме, чем заем и все остальные издержки, т. е. если При этом время T Цреализации цели не столь критично, как время T Zвозврата заемных средств.

Вследствие того, что только параметр T Zявляется фиксированным, а остальные параметры процесса подвержены рискам различной природы, может оказаться, что на момент возврата инвестиций Δ V < 0. Возникающая коллизия может быть покрыта в конечном счете только из собственных средств организации, ее способность разрешать такие коллизии является рисковой категорией.

Рассмотрим последовательно некоторые виды возникающих рисков. По факторам, от которых они зависят, их можно разделить на две группы:

– неуправляемые риски, полностью определяемые внешними факторами – в первую очередь рыночные риски R р;

– управляемые или частично управляемые риски, зависящие от внутренних и внешних факторов.

На управляемые риски организация может влиять, проводя соответствующие мероприятия, и влияние тем сильнее, чем больше доля внутренних факторов, от которых зависят риски. Для упрощения рассмотрения ограничимся пока тремя видами рисков этой группы: стратегическим R стр, операционным R опи ликвидности R л.

С учетом рыночного риска объем возврата инвестиций (реализации) может оказаться как меньше, так и больше ожидаемого объема V Р. В худшем случае – меньше. С учетом рыночного риска – убыток от реализации, привносимый рыночным риском. При отрицательном убытке получим, что Аналогичным образом рыночный риск влияет на время реализации, привнося дополнительное время Δ T Рр, которое может быть как положительным, так и отрицательным.