Практически все виды деятельности требуют принятия решений, от эффективности которых зависит эффективность данных видов деятельности в целом. Эффективность представляет собой соотношение эффекта или достигнутого результата и затрат на его получение.

Примером таких видов деятельности, является, например:

  • коммерческая деятельность (купля-продажа товаров и услуг);
  • производственная деятельность (производство продукции, услуг);
  • финансовая деятельность (венчурное инвестирование, покупка акций, селинговые операции, кредитные операции и др.);
  • консалтинговая деятельность;
  • страховая деятельность.

Эффективность решений в данных областях зависит от соотношения величины возможных потерь к величине возможных выгод, связанных с реализацией данных решений.

Появление потерь связано с существованием объективных факторов (угроз, рисков), которые негативно отражаются на данных видах деятельности, например, пожары, кражи, задержки, аварии, сбои в работе систем, увольнения и т.п.

Определение возможных потерь относится к области оценки рисков.

Традиционно выделяется два подхода к оценке рисков:

  • качественный анализ;
  • количественный анализ.

Качественный анализ связан с качественной оценкой вероятности возникновения угроз и величины возможных потерь от реализации угроз.

Количественный анализ - это определение размера потерь и вероятности угроз в некоторых количественных единицах.

При количественном анализе, риск может определяться величиной возможных потерь в стоимостном (денежном) выражении.

Наиболее часто используемый подход к количественной оценке рисков заключается в расчете математического ожидания потерь как произведения вероятности возникновения угрозы на величину ущерба, в случае если угроза произойдет. Эти математические принципы заложены в основу процесса оптимизации рисков в большинстве существующих продуктов.

В то же время анализ существующих методов количественной и качественной оценки рисков показал наличие у них существенных недостатков.

К недостаткам существующих продуктов количественной оценки рисков относится отсутствие комплексного учета следующих факторов:

  • при учете остаточного риска, как правило, не учитывается остаточный ущерб – ущерб, который может возникнуть, даже если контрмера успешно срабатывает на угрозу. Например, в случае потери информации сервера баз данных и даже при наличии системы резервирования информации, требуется время на восстановление данной информации. Данное время недоступности информации может привести к ущербу, связанному с простоем. При этом срабатывание различных контрмер, в общем случае, приводит к различным уровням остаточного ущерба;
  • при расчете остаточного ущерба не учитывается, что ущерб в результате реализации угрозы – величина, в общем случае, нелинейная, изменяющаяся с течением времени;
  • не учитывается взаимосвязи между различными контрмерами, когда результаты функционирования одной контрмеры могут использоваться другими контрмерами;
  • в упомянутых продуктах учитываются только контрмеры, реализующие стратегию управления рисками «снижение уровня риска», что потенциально может не позволить выбрать оптимальный набор контрмер;
  • способы, модели, заложенные в основу данных продуктов, ограничены, и предназначены для оптимизации рисков информационным процессам обработки информации, не позволяя комплексно оценить и другие виды деятельности;
  • постоянное расчетное время риска в 1 год не позволяет корректно оценить эффективность комплекса контрмер – для многих контрмер существенной характеристикой являются ежегодные эксплуатационные расходы, т.е. при увеличении расчетного времени соотношение между стоимостью различных вариантов контрмер может существенно измениться.

Кроме того, к существенному недостатку существующих продуктов количественной оптимизации рисков как отечественных, так и зарубежных относится отсутствие механизма автоматического выбора наиболее оптимального комплекса контрмер, т.е. оператор должен сам выбрать набор контрмер, для которого продукт (средство) посчитает уровень остаточного риска. При этом при наличии даже 10 контрмер число возможных комбинаций контрмер в 2^10 фактически не позволяет проверить все эти комбинации вручную, что очевидно ведет к невозможности выбора самого оптимального варианта защиты.

К недостаткам методов с качественной оценкой рисков относится:

  • субъективность – качественные оценки зависят от мнения экспертов, консультантов,  которое может быть ошибочным, учитывая сложность оценки всех возможных комбинаций взаимно влияющих угроз и контрмер;
  • не формальность критериев оценки, что потенциально может привести к двусмысленности, ошибочным оценкам риска;
  • непрозрачность выгод – качественные методы не позволяют дать конкретную оценку: насколько выгодно применения комплекса контрмер и выгодно ли вообще.

Таким образом, можно сделать вывод, что ни один из существующих продуктов ни количественной оценки рисков, ни качественной оценки рисков не позволяет дать ответ на тот вопрос, для которого они предназначены – каким образом, можно максимально снизить уровень возможного ущерба для бизнеса.

Авторизация

 

Регистрация