:::::: ЧОУ ДПО «Центр предпринимательских рисков» :::::

Впервые со словом "риск", употребляемым не в бытовом смысле, как некое предупреждение о том, что дальнейшие выбранные вами действия могут завершиться неудачно и иметь печальные последствия, автор столкнулся во второй половине 1970-х гг. при изучении курса, который включал в себя малоизвестные в то время широкой публике вопросы распознавания образов, анализа риска, принятия решений и т.п.

При отсутствии отечественных учебных пособий по данным дисциплинам преподаватели пользовались редкими переводными (преимущественно американскими) зарубежными изданиями, которые только стали появляться на полках московских книжных и букинистических магазинов в разделе "Математика". Они делали ксерокопии наиболее важных разделов и раздавали экземпляры в аудитории. При этом обычно качество последних экземпляров было таково, что для их прочтения впору было применять алгоритмы распознавания образов.

Вне всякого сомнения, отечественная наука в лице институтов системы АН СССР, министерств и ведомств указанными выше проблемами занималась, но в те времена эти исследования имели, как правило, прикладное значение, что в большинстве случаев определяло их закрытость. Подавляющее число научных работ не выходили за рамки режимно-секретных подразделений различных КБ и НИИ, а также закрытых отраслевых сборников.

Поэтому ознакомиться с их результатами можно было, поступив на работу в НИИ Минобороны либо на предприятие, которое в просторечье именовалось "почтовый ящик".

Спустя некоторый отрезок времени автор вновь столкнулся с проблематикой анализа риска. На этот раз не только в ее математическом аспекте, когда величина риска события определяется как сумма произведений условных вероятностей на величину ущерба, который может ожидаться при подтверждении тех или иных предположений (гипотез) относительно реализации искомого события. При таком подходе строгость математических формул полной вероятности и формулы Байеса придают мнимую простоту и не всегда обоснованную уверенность в успехе всей процедуры анализа риска в целом.

В последнее десятилетие проблематика принятия оптимальных решений, которая основывается на результатах риск-анализа, заняла свое место в системе прикладных наук. Появилось значительное количество публикаций, алгоритмов, отечественных и зарубежных программных продуктов, предназначенных для решения задачи анализа риска. Благодаря появлению международных стандартов серий 13335, 27000 и 29000, их отечественных аналогов в виде государственных стандартов России, получивших международное признание британских стандартов BS-25999-1, BS-25999-2, посвященных вопросам обеспечения непрерывности бизнеса, процедуры анализа риска приобрели статус элементов систем управления (менеджмента) организациями. В этом качестве их роль очень важна, поскольку от корректности их реализации зависит, насколько адекватными и соразмерными реальным потребностям окажутся принятые руководством организации управленческие решения, направленные на повышение эффективности ее деятельности.

Несмотря на достаточно длительную эволюцию, общий подход к понятию "риск" только начинает складываться со всеми, как говорится, вытекающими из этого факта последствиями:

использование слов "риск", "угроза" и различных их сочетаний с другими словами стало очень модным, отвечающим инновационному духу нашего времени. У части населения страны сложилось мнение, что использование этих слов освежает, добавляет элемент новизны в их публикации и выступления. Но вкладываемая в них смысловая нагрузка настолько порой различается, что вносит сумятицу у обыкновенного человека и сразу заставляет его заскучать, как только он искренне попытается проникнуть в смысл прочитанного или услышанного;
подавляющее число применяемых методик обеспечивают получение на выходе качественных оценок рисков. А руководителям компаний сегодня нужны более привычные для них и ощутимые материально количественные показатели;
отдельные риск-аналитики настолько лихо отбрасывают из рассмотрения элементы, участвующие в формировании рисков, что возникает вопрос: соответствует ли полученная в результате модель реалиям рассматриваемой организации? Подобные вопросы в большинстве случаев даже не являются предметом сколь-нибудь серьезного обсуждения;
зачастую заказчик исследования получает от исполнителя кипу красивых графиков и диаграмм и в худшем случае на этом дело заканчивается, зато к общей картине проведенных научных изысканий добавляется удовлетворенность заказчика от полученного им знания о проблемах организации и радость исполнителя, получившего приличное вознаграждение за свой нелегкий интеллектуальный труд;
практическая оценка рисков представляет собой трудоемкую многопараметрическую задачу, в которой оценки неизвестных значений должны в большей или меньшей степени основываться на результатах статистических наблюдений. На практике, как правило, в организациях необходимые статистические данные либо представлены в ограниченном виде и их выборки непредставительны, либо работа по их сбору не ведется вообще. В этой ситуации на первый план выходят риск-аналитики, которые формируют оценки значений требуемых параметров на основании субъективных результатов собственного анализа бизнес-процессов и задействованных в них активов организации, а также опросов/интервью ее работников;
отсутствие единого подхода к пониманию слова "риск", к диалектике возникновения и развития образующих его событий и явлений приводит к тому, что результаты работы различных коллективов риск-аналитиков, как правило, несравнимы между собой. Этот факт должен заставить руководителей организаций задуматься сначала об адекватности действий этих коллективов, а затем о целесообразности сотрудничества с ними в будущем. В итоге радужные ожидания, что выполненный риск-анализ решит все проблемы организации, разбиваются о не вполне понятные графики, полученные непонятным путем.

Дальнейшее развитие подобного сценария может привести к тому, что негативный опыт в итоге вынудит руководителей организаций отказаться от проведения риск-анализа, либо не обращать внимания на его результаты. А это уже серьезная проблема, поскольку в результате может быть скомпрометирована полезная идея в целом.

Перейдем к рассмотрению источников, изучение которых позволяет проследить первоначальное наполнение и эволюцию содержания термина "риск" (греч. risikon – "утес"), а также других связанных с ним понятий – "угроза" и "уязвимость", если это окажется возможным.

Дальнейшее проникновение в значение этого термина показало, что он уже давно используется не столько в разговорной речи в качестве обозначения некой потенциальной опасности, а несет вполне определенную нагрузку как в финансовой, так и в психологической областях.

Энциклопедический словарь Брокгауза и Эфрона свидетельствует о том, что на рубеже ХIX–XX столетий в русском языке значение слова "риск" вообще было лишено общеупотребительной (разговорной) составляющей. Понятие "риск" рассматривалось только применительно к сфере страхования.

"Под этим словом в страховой технике подразумевают опасность, угрожающую страховому объекту каким-либо вредом, за который страховое учреждение обязано вознаградить страхователя; страхуют, таким образом, против Р. (риска. – Прим. авт.) пожара, бури на море, градобития и т.п. Особое значение понятие о риске приобретает в пожарно-страховом деле, где Р. представляет собой сумму объектов, которая может быть уничтожена пожаром при неблагоприятных условиях (особые катастрофы при этом в расчет не принимаются).

Поэтому каждое страховое учреждение устанавливает для себя, в зависимости от своих финансовых средств и от размера своих оборотов, ту максимальную сумму, которую оно может терять от одного пожара. Если принимается на страх имущество большей стоимости, то страховое учреждение оставляет на свою долю лишь часть, которая не должна превышать указанный выше максимум; остальная часть (эксцедент) должна быть перестрахована в других учреждениях. Несоблюдение этого основного правила не только препятствует правильному развитию дела, но и угрожает прочности финансового положения данного учреждения.

Для фабричных страхований принято считать отдельным Р. имущество, отделяемое от соседнего имущества свободным пространством не менее 20 м, незастроенным и ничем не занятым. В городах, где имеются лишь каменные постройки, крытые огнеупорным материалом, улица шириной в 10 м считается уже достаточной для разделения Р. В С.-Петербурге, Москве и т.п., где достаточно развиты предупредительные и оборонительные меры для борьбы с пожарами, каждый дворовый участок может считаться отдельным Р., хотя бы он был застроен и не отделялся от соседних участков брандмауэрами. Что касается до селений, то здесь данные, определяющие степень Р., должны быть установлены для каждого отдельного случая, в зависимости от местных условий" 1 .

Обращение к другому, известному своей требовательностью к полноте и консервативностью толкования терминов изданию – настольной энциклопедии Britannica – приводит к еще более удивительным результатам. Ни слова о сопутствующей событию опасности. Полная погруженность в экономические вопросы и финансы.

"Риск в экономической теории и в финансах, принятие в расчет инвестиционного или кредитного риска. Риск дефолта относится к вероятности того, что должник не вернет займа. Если банкир предполагает, что занимающий может не вернуть заем, банкир назначит истинную процентную ставку плюс премию за риск дефолта – премию, зависящую от степени ожидаемого риска. Все инвестиции в акции несут подразумеваемый риск, так как никто не гарантирует доход на инвестиции. Торговый риск – это величина, на которую может меняться величина дохода, вверх или вниз от ожидаемого дохода на инвестиции" 2 .

Несмотря на то что приведенное толкование понятия "риск" наполнено финансово-экономическим содержанием, в нем тем не менее присутствуют три вполне определенные его характеристики, которые нам пригодятся в будущем, а именно: риск – величина скалярная, его значение прямо пропорционально вероятности события, влияющего на величину дохода; значение риска характеризует его возможное изменение. При этом важно, что в последнем случае речь не обязательно идет о потерях.

Для полноты картины следует привести мнение специалистов по проблематике риска и рискованного поведения относительно того, как в рамках классической социальной психологии и психологии личности правомерно употреблять термин "риск":

"1) риск как мера ожидаемого неблагополучия при неуспехе в деятельности, определяемая сочетанием вероятности неуспеха и степени неблагоприятных последствий в этом случае;
2) риск как действие, в том или ином отношении грозящее субъекту потерей (проигрышем, травмой, ущербом). Экспериментально различаются риск мотивированный, рассчитанный на ситуативные преимущества в деятельности, и немотивированный. Кроме того, исходя из соотношений ожидаемых выигрыша и проигрыша при реализации соответствующего действия, выделяют оправданный и неоправданный риск;
3) риск как ситуация выбора между двумя возможными вариантами действия: менее привлекательным, однако более надежным, и более привлекательным, но менее надежным (исход которого проблематичен и связан с возможными неблагоприятными последствиями)" 3 .

Ознакомившись с приведенными выше рекомендуемыми вариантами использования понятия "риск", хочется задать психологам вопрос: как при многообразии русского языка можно делать корректные научные построения, используя термин, который является в одном лице и мерой, и действием, и ситуацией. Подобные неосмысленные вольности как раз и являются источниками ситуаций, когда слушающий с трудом пытается понять, о чем же говорит выступающий оратор, использующий в духе времени и упомянутых выше специалистов терминологию риск-анализа.

С учетом изложенного нас должен заинтересовать лишь первый вариант употребления термина "риск" – как отражающий суть традиционного математического подхода к его определению. Остальные варианты для нас неинтересны, поскольку вносят сумятицу в умы сограждан и потому вредны.

Собственно говоря, на этом дальнейшее рассмотрение можно было бы закончить. В определениях, взятых из трех различных источников, приведены основные характеристики, в том числе на первый взгляд неожиданные, понятия "риск", а именно: риск – это мера; мера ожидаемых последствий, являющихся результатом развития событий. Причем события необязательно имеют негативный характер, то есть последствия необязательно связаны с потерями. Мера определяется сочетанием вероятности события и оценкой стоимости последствий в результате его наступления.

Но дальнейший поиск вариантов толкования был продолжен и он оказался ненапрасным. В солидном издании – словаре терминов МЧС, изданном в 2010 г., обращаю на это ваше внимание, автор встретил определение понятия "риск", которое не может оставить равнодушным обыкновенного человека, хотя бы раз взглянувшего на уже актуальные к моменту публикации словаря международные стандарты или отечественные ГОСТы, касающиеся рассматриваемой темы. В соответствии с определением слова "риск", приведенным в словаре, "риск" – это: "потенциальная возможность случайных событий с негативными (нежелательными) для человека, природы или общества последствиями. Может пониматься как мера проявления опасности. Природные процессы и антропогенная деятельность являются основными причинами существования риска. Объективное содержание риска измеримо и независимо от человеческого сознания, его можно идентифицировать, оценивать и предсказывать на базе фундаментальных закономерностей. Субъективное содержание риска связано с индивидуальным восприятием и неоднозначностью, относится к ментальному состоянию индивидуума или социальной группы, которые попадают в ситуацию неопределенности последствий будущих событий.

Понятие риска следует отличать от неопределенности 4 и шанса 5 . Количественной оценкой риска обычно служит вероятность (частота) случайного события и ожидаемые последствия, а также различные комбинации этих показателей. Кроме того, риск может характеризоваться пространственными (локальный, региональный, трансграничный) и временными (мгновенный, распределенный, отдаленный эффект) формами проявления; обратимостью или компенсируемостью последствий, наличием социокультурных эффектов" 6 .

Знакомство с международными стандартами и отечественными ГОСТами, регламентирующими вопросы ИБ в организации, нуждается в некоторых комментариях.

1. Ранее мы уже отмечали, что риск – это мера, как правило, имеющая конкретное численное значение для конкретного события, рассматриваемого в конкретной обстановке. Авторы искомого определения наделяют бездушное число некими потенциями к негативному проявлению, не только пространственно-временными характеристиками, но и формами проявления, социокультурными эффектами.

2. Свободное владение авторами рассматриваемого определения набором философских категорий из области теории познания венчается тезисом о независимости риска от человеческого сознания. Подобное открытие способно повергнуть человека обыкновенного в очередную растерянность, так как в этом случае остается неясным, кто же все-таки, если не человек, подсчитывает значение риска. Первый из двух возможных вариантов ответа на этот вопрос свидетельствует о приверженности авторов рассматриваемого определения к объективному идеализму, а второй вариант – из области уфологии.

3. Переключаясь с критического тона на тон конструктивный, следует честно отметить, что определение, которое авторы стремились сделать более развернутым и наполнить его глубоким содержанием, было бы почти неуязвимо для критики, если бы было введено в рассмотрение понятие "угроза". Далее приписали бы термину "угроза" вышеприведенные чудесные свойства, а "риску" отвели бы роль меры возможных последствий, возникающих в результате реализации угроз.

Текущее состояние проблемы. Поиск единого начала

Среди финансистов, представителей банковского и страхового бизнеса, юристов, специализирующихся в области гражданского права, а также представителей иных специальностей, деятельность которых связана с финансовыми и материальными активами, могут возникнуть вопросы относительно правомерности тех высказываний, которые были приведены выше.

Всех этих людей объединяет одно: сложившийся в их сознании подход к понятию "риск" как к негативной для хозяйствующего субъекта ситуации, в результате развития которой субъект может понести финансовые или материальные потери, что, по сути, одно и то же. При этом мерой негативности ситуации (риска) является оценка стоимостного эквивалента этих потерь. А задача управления риском заключается в привлечении для обеспечения финансовой устойчивости субъекта хозяйственной деятельности требуемого стоимостного эквивалента либо в передаче риска или его части третьей стороне.

Приведенная модель понятия "риск" относится к категории сложившихся и имеет значительные исторические рамки развития. Его формирование самым тесным образом связано со становлением банковского и страхового бизнеса в мире, чьи услуги уже не одно столетие пользуются неослабевающим спросом. В этом смысле определение Брокгауза и Эфрона как "опасность, угрожающая страховому объекту каким-либо вредом, за который страховое учреждение обязано вознаградить страхователя…" характеризует сложившуюся в ту эпоху ситуацию в этом вопросе и лишь подтверждает сказанное.

Естественным образом существовавший подход был закреплен юридически, что нашло отражение в современном Гражданском кодексе РФ, где используются следующие словосочетания: риск последствий, риск убытков, риск случайной гибели имущества, риск отнесения затрат и убытков, риск изменения обстоятельств, риск неполучения ожидаемых доходов и т.п.

В сложившейся ситуации уместен вопрос: как же так получается, что при наличии терминологически некорректного, с точки зрения автора, подхода основанные на нем дальнейшие логические построения и математические результаты приводят не к краху деятельности в упомянутых предметных областях, где эти результаты активно используются, а, наоборот, обеспечивают устойчивое поступательное развитие как банковской системы, так и страхового бизнеса?

Ответ на этот внешне каверзный вопрос можно получить, если еще раз вспомнить формулу полной вероятности и приглядеться к понятию "риск" в трактовке банковских работников и страховщиков. Результатом этого умственного усилия должно стать понимание факта, что предлагаемый способ подсчета риска есть частный случай подсчета по формуле полной вероятности. А частным случаем он является потому, что вне зависимости от событий, составляющих полную группу и способствующих развитию негативного сценария, потери в банковских учреждениях и страховых компаниях принимаются равными одной и той же величине. Как правило, в целях перестрахования эта величина выбирается максимальной из возможных. Она как константа может быть вынесена за скобки в формуле. При этом в скобках останется сумма вероятностей событий, составляющих полную группу, которая по определению равна единице. В итоге значение риска, уже как меры последствий возможной реализации угрозы, оказывается равным максимальной величине ожидаемых потерь.

Таким образом, первоначально казавшееся непреодолимым различие в подходах к анализу риска постепенно стирается, приоткрывая связывающее их общее. Далее было бы полезно посмотреть, как частный случай из формулы проецируется на соответствующие процессы, происходящие в реальности. В этой связи хотел бы напомнить читателям, что основное содержание деятельности кредитных и страховых учреждений связано с работой денег: движением денежным средств в форме их покупки или продажи, их привлечения на определенных условиях или выплат при определенных обстоятельствах. Соответственно как потери, так и мероприятия по их предотвращению осуществляются исключительно в плоскости основного содержания (основных бизнес-процессов) деятельности банков и страховых компаний. Таким образом, традиционная для таких компаний область применения риск-анализа уже, чем это предусмотрено стандартами ИБ, так как не выходит за рамки финансового блока информационной системы (ИС) конкретной организации.

Как только мы переходим в формат стандартов ИБ, когда в область применения риск-анализа попадают и другие активы ИС организации (бизнес-процессы помимо финансового блока, IТ-активы, персонал организации, ее инфраструктура и т.д.), подобный подход к понятию риска становится неприемлемым. Этому утверждению есть простое объяснение. Переход от ограниченной к полноценной модели ИС приводит к необходимости учета состояния всех ее активов. Реализация события, именуемого угрозой, возможна при определенном стечении обстоятельств, то есть при определенных состояниях активов. Эти состояния активов должны составлять полную группу событий. Но в отличие от рассмотренного выше подхода стоимость последствий от реализации угрозы в условиях различных состояний активов отличается от одного состояния к другому. Поэтому ее величину нельзя, как в предыдущем случае, вынести за скобки в формуле подсчета значения риска.

Таким образом, принятый в финансовой и страховой сферах подход к определению и подсчету риска является частным случаем математического подхода в формате стандартов ИБ и применим исключительно в этих сферах.

В этих условиях опять напрашивается пожелание привести в соответствие с понятием, ставшим некорректным с точки зрения сложившихся на сегодня требований к анализу состояния ИС организации. Но любой человек понимает, что это практически неисполнимо.

Подвергнуть ревизии огромный объем нормативной документации, регламентирующей деятельность кредитных учреждений и страховых компаний, в одночасье невозможно даже теоретически. Для этого потребуется некий переходный период, в ходе которого десятилетиями складывавшаяся и отлаженная система работы кредитных учреждений и страховых компаний может быть нарушена со всеми вытекающими из этого факта последствиями.

Понятно, что в сложившейся ситуации нужен компромисс. И он был в определенной степени достигнут введением Банком России с 1 января 2010 г. "Методики оценки рисков нарушения ИБ" (РС БР ИББС-2-2-2009), которая, хотя и носит рекомендательный характер, но устанавливает правильный подход к формированию методологии и порядка оценки рисков. В ней зафиксированы важные моменты, к содержанию которых хотелось бы привлечь внимание читателей.

1. В соответствии с требованием, закрепленным в стандарте Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения." (СТО БР ИББС-1.0-2010), все кредитные учреждения обязаны проводить оценку рисков нарушения ИБ. Хотя периодичность таких оценок не регламентируется и определяется самой кредитной организацией, сам факт необходимости их проведения является важным, и не только для банковского сообщества, поскольку является правильным ориентиром для организаций из других сфер и областей деятельности.

2. В пункте 3.11. "Методики" приведено методологически верное определение понятия "риск" как "мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы". Учитывая проблемные моменты, которые были затронуты в начале данного параграфа, факт официального появления определения понятия "риск" в данной трактовке можно отнести к разряду выдающихся. Не сомневаюсь, что подобное могло произойти только при участии специалистов, которые тоже когда-то в юности знакомились с математическим подходом к анализу риска, кто-то, читая ксерокопии статей на эту тему, а кто-то – уже учебные пособия или учебники.

3. В этой "Методике" вскользь упоминается еще одно важное для наших дальнейших рассуждений понятие – "уязвимость". Хотя определение данному термину не приводится, но в пунктах 3.1, 3.6 и 3.14 рассматриваемого документа обозначены его важнейшие характеристики:

На этом было бы целесообразно остановиться и перенести дальнейший критический анализ "Методики" на будущее. Ее сильные стороны несомненны и нами уже отмечены, а давать иные оценки пока преждевременно, поскольку, во-первых, "Методика" позиционируется как документ рекомендательный и признает равнозначность иных методик оценки рисков, а во-вторых, читатели еще не знакомы в полной мере с предлагаемым автором подходом к этой проблеме.

Предлагаю продолжить немного затянувшееся, но, безусловно, важное и полезное изучение отечественной нормативной базы, которое позволяет наглядно проследить, как постепенно, но неуклонно в них появляются понятия и положения, отвечающие современному представлению об анализе рисков. Здесь необходимо небольшое пояснение. Автор первоначально предполагал не использовать определение "современный", поскольку критически настроенный читатель обречен задать вопрос: а на каком основании автор статьи так нескромно именует предлагаемый подход к рассматриваемой проблеме? Для тех, кто остается солидарным с таким вопросом, необходимые доказательства уместности использования данного эпитета будут обязательно приведены, но немного позднее.

Теперь наступил момент, когда уже пора подкрепить свою позицию и дальнейшие рассуждения на тему рисков ссылкой на российские официальные документы. Обратимся к наиболее актуальным их версиям.

К таковым следует отнести принятые в июле 2011 г. законы, вносящие изменения в закон "О персональных данных" и в Трудовой кодекс РФ. В первом из них приведено методологически правильное определение понятия "угроза": "11. Для целей настоящей статьи под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИС персональных данных. Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИС персональных данных" 7 .

Если в приведенном определении отвлечься от его привязки к ПДн, а вычленить наиболее существенное, то можно констатировать:

угроза представляет собой явление внешнее по отношению к защищаемому объекту. Поэтому часто встречаемая комбинация слов "внутренняя угроза" просто лишена смысла. Обращаю на это внимание читателей;
угроза содержит в себе некий потенциал воздействия на защищаемый объект. В данной версии определения естественно говорится о негативном характере воздействия. Применительно к рассматриваемому закону подобное ограничение справедливо, поскольку в нем проведена четкая грань: санкционированные действия – во благо, а несанкционированные – незаконны, так как могут нанести ущерб личности. Но, вспоминая определение из энциклопедии Britannica, следует заметить, что увязывание термина "угроза" только с негативными последствиями в широком смысле является неоправданным ограничением содержания этого термина.

Второе изменение законодательства связано с дополнением статьи 209 ТК РФ частями 14 и 15, в которых приведено определение профессионального риска.

"Профессиональный риск – вероятность причинения вреда здоровью в результате воздействия вредных и (или) опасных производственных факторов при исполнении работником обязанностей по трудовому договору или в иных случаях, установленных настоящим Кодексом, другими федеральными законами. Порядок оценки уровня профессионального риска устанавливается федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере труда с учетом мнения Российской трехсторонней комиссии по регулированию социально-трудовых отношений" 8 .

Впервые в основной документ, регламентирующий на государственном уровне весь комплекс трудовых отношений, включено методологически корректное определение, которое:

Хотелось бы обратить на этот факт внимание тех, кто зачастую не видит в этих терминах разницы и путает их, наделяя термин "риск" разнообразными широко распространенными эпитетами, например: стратегический, репутационный и т.п. Наверное, можно было бы согласиться со сложившейся практикой, но при условии добавления слова "значение" (например, "значения стратегических рисков") и при понимании, что слово "стратегический" относится к классу угроз.

Например, к этому классу могут быть отнесены:

угроза глобального потепления, угроза нанесения невосполнимого ущерба окружающей среде, угроза нехватки продовольствия, угроза истощения минеральных и водных ресурсов, угроза развития очередного экономического кризиса, угроза изменения на мировых рынках цен на конкретные виды ресурсов, угроза нарушения сложившегося мирового порядка и т.д.;
напрямую связывает риск с вероятностью возникновения негативного события, что является частным случаем математического определения, при котором учитывается сам факт возникновения негативных последствий, а не их величины;
подчеркивает приверженность к риск-анализу, заложенному в законе "О техническом регулировании", в тексте которого риск определяется как "вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда".

Здесь же приводится определение другого основополагающего понятия, ради достижения которого и проводится анализ рисков. Это понятие безопасности системы. Безопасность определяется как "состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений".

Напомню, что отправной точкой наших рассуждений было математическое определение понятия "риск". Теперь было бы полезно обратиться к основам философии и теории познания в качестве ее важного составного элемента с тем, чтобы попытаться взглянуть на проблему анализа риска с позиций науки наук. В результате должно возникнуть понимание, какие закономерности взаимодействия объектов реального мира описываются языком математики и кто или что является элементом данного взаимодействия.

В качестве объекта дальнейшего изучения предлагается взять обычную организацию, которая осуществляет хозяйственную деятельность в виде производства товаров либо услуг или того и другого вместе и имеет ненулевые активы в терминах стандартов серии 27000. То есть есть персонал, внутренний и внешний документооборот, используются в том числе основанные на базе ЭВМ средства и технологии обработки документальной информации и цифровых данных, а все эти активы располагаются в некоем помещении. Любое объединение таких организаций, вне зависимости от масштаба объединения (город, область, страна, регион и т.д.), представляет собой множество хозяйствующих субъектов, которые в условиях глобального разделения труда:

Таким образом, в полном соответствии с законом единства и борьбы противоположностей организации находятся в постоянно возобновляемом взаимодействии.

Источником взаимодействия организаций является непрерывно развивающееся противоречие между присущей каждой организации целью хозяйственной деятельности и результатами практической работы. Сущность этого противоречия заключается в неспособности конкретного юридического лица в требуемом объеме решить поставленные учредителями/акционерами задачи. Причинами подобного положения могут быть:

Обе приведенные причины должны быть известны читателям, не понаслышке знакомым со стандартами серий 9000 и 27000. Действительно, мероприятия по улучшению качества и обеспечению информационной безопасности направлены на снятие указанного выше противоречия, обеспечивая сокращение разрыва между задачами, стоящими перед организациями и реальными их достижениями.

Из сказанного вытекает еще один важный вывод: стандарты серий 9000 и 27000 являются равноправными, дополняющими друг друга в плане их вклада в улучшение работы организации, а приведение организации в соответствие с их требованиями, причем необязательно формальное, а по сути, является необходимым условием ее успеха. Вопрос достаточности – это отдельный вопрос, который также заслуживает внимания, но вне рамок данной статьи.

Разобравшись с источником взаимодействия организаций, предлагаю опять вернуться к множествам организаций, которые формируются в связи с возникающими между ними отношениями. В данном случае нас не будут интересовать алгебраические свойства конкретного множества, то есть какие в нем могут образовываться подмножества юридических лиц, связанных различными отношениями.

Для нас будет представлять интерес только сам факт того, что, какое бы из множеств организаций мы ни взяли, все они находятся в процессе взаимодействия между собой. Этот факт является очередным подтверждением справедливости первого основного закона философии.

Рассматривая отдельно взятую организацию, взаимодействующую с остальными из конкретного подмножества, было бы логично предположить, что взаимодействие остальных организаций формирует условия или некую внешнюю среду, в которую попадает рассматриваемая организация, вступая в процесс взаимодействие с остальными.

Итак, вступив во взаимодействие, обе организации подвергаются как взаимному влиянию, так и влиянию внешней для них среды, которая, строго говоря, различается для разных взаимодействующих организаций.

В результате аналогичному совокупному влиянию подвергаются активы, являющиеся элементами ИС организации. При этом оказываемое на них влияние, в зависимости от того способствует оно или препятствует достижению поставленных перед организацией целей, может носить как положительный, так и отрицательный характер. Это влияние неоднородно. Оно порождается взаимодействием активов (либо их части) организаций в областях, где такое соприкасание не лишено смысла и его результаты ощутимо влияют на деятельность организации. Таким образом, внешняя среда неоднородна, ее распределение связано с состоянием различных активов организаций либо их комбинациями.

Точки неоднородности внешней среды несут в себе потенциал различающегося по энергетике воздействия на организацию-участника процесса взаимодействия. В число точек приложения данных потенциалов входят активы организации, аналогичные тем, которые участвовали в формировании этих потенциалов.

Реализация актов воздействия потенциалов внешней среды носит вероятностный характер и зависит не только от состояния образующих ее элементов, но и от готовности объекта воздействия. Эта готовность заключается в том, чтобы активы организации перешли в такие состояния, которые сделают реализацию воздействия возможной.

Здесь вероятностный характер перехода в такие состояния менее очевиден благодаря одному широко распространенному заблуждению.

Считается, что каждая организация является управляемой или может быть сделана таковой. Это утверждение справедливо, но до определенной степени. Конечно, почти каждая уважающая себя и соблюдающая культуру корпоративного управления организация располагает документами высокого уровня, провозглашающими приверженность ее и ее руководства политикам в различных областях. Уровнем ниже есть положения о структурных подразделениях, функциональные обязанности работников, а также, если есть, другие документы, регламентирующие процедурные вопросы. А на уровне работников-исполнителей, как правило, наблюдается относительная свобода, которая обусловлена тем, что:

Таким образом, переходы активов организации в состояния, обеспечивающие реализацию потенциалов внешней среды (угроз), в существенной степени зависят от субъективных действий работников, которые при отсутствии со стороны работника умысла носят случайный характер.

Учитывая, что сама организация и ее ИС являются результатами деятельности ума и рук их создателей, то приведенный выше тезис можно усилить, но несколько в иной плоскости, а именно: состояния активов ИС, обеспечивающие реализацию угроз – будем называть их уязвимостями ИС, – носят исключительно антропогенный характер.

Для тех руководителей организаций, для кого данное утверждение является новостью, вкратце приведу результаты исследования, проведенного компанией Symantec и порталом "Профессионалы.ru" весной 2011 г.:

Какие же состояния такого актива организации, как персонал, обеспечили реализацию приведенных выше угроз:

Значит, уязвимости ИС могут быть идентифицированы, вероятности их реализации – оценены, а следовательно, становится возможным на основе формулы полной вероятности оценить вероятность события, связанного с реализацией соответствующей им угрозы активам ИС. Одновременно для каждой уязвимости какого-либо из активов возможно оценить стоимостное выражение последствий для организации от реализации рассматриваемой угрозы.

Таким образом, становится возможным сделать следующие принципиально важные для дальнейших рассуждений выводы:

Задача вычисления значения риска реализации угрозы активам организации имеет решение в терминах математического подхода к определению понятия "риск".
Антропогенный характер возникновения уязвимостей активов определяет возможность их "улучшения" за счет применения защитных механизмов, которые "лечат" конкретные состояния активов и тем самым обеспечивают их вывод из статуса "уязвимость".
Из этого следует, что в рамках предлагаемой модели задача оптимизации управления организацией также разрешима.
Решение задачи оптимизации невозможно без минимизации рисков принимаемых решений, которая обеспечивается за счет развития и совершенствования ее активов.

Прежде чем подводить итоги данного параграфа, хотелось бы в связи с приведенными результатами исследования остановиться еще на двух моментах, которые не рассматривались, но тоже важны для понимания процедуры риск-анализа.

Первое соображение касается понятия "уязвимость". Мы уже договаривались, что уязвимости ИС организации носят антропогенный характер, то есть источником их появления является человек. Вопрос заключается в следующем: как уязвимости возникают, какие они бывают, насколько они неизбежны и как с ними бороться.

Уязвимости ИС организаций имеют антропогенное происхождение и представляют собой конкретное состояние активов ИС, то есть вероятность наступления которого либо перехода в него является ненулевой.

Одновременно понятие уязвимость является относительным. Одно и то же состояние активов при одном сочетании обстоятельств может перейти в категорию уязвимости, а при другом – нет. Являясь одним из состояний актива ИС, уязвимость становится таковой только:

Отсюда вытекает следующее утверждение: состояние актива ИС является уязвимостью тогда и только тогда, когда соответствующая этому состоянию условная вероятность наступления внешнего события, влияющего на активы ИС – угрозы, – отлична от нулевой.

По характеру происхождения уязвимости можно разделить на:

Появление уязвимостей ИС организации неизбежно. Это объясняется тем, что:

Ответ на этот вопрос не представляется затруднительным. Для этого необходимо:

Вспоминая приведенное ранее утверждение, мы понимаем, что речь идет о минимизации указанных в нем условных вероятностей. Обращение какой-либо из условных вероятностей в ноль будет означать нарушение условия необходимости реализации угрозы и конкретное состояние актива по определению потеряет статус "уязвимости".

Ну вот вкратце и все, что казалось важным для описания уязвимостей.

Вторая и, надеюсь, последняя в этом параграфе группа соображений касается процесса реализации угрозы и нанесения ущерба активам организации. Здесь хотелось бы разобраться в механизме реализации угрозы и в том, каким образом формируется ущерб активам и организации в целом.

Для ответа на поставленные вопросы вспомним, что активы ИС организации представляют собой не просто группу людей, груду документов, офисной техники и средств автоматизации, сложенных в определенном помещении, куда первые заглядывают, чтобы провести время.

Основным предназначением активов ИС и ИС организации в целом является обеспечение эффективной и непрерывной работы ее основных и вспомогательных бизнес-процессов.

Решение этой трудной и ответственной задачи предполагает использование алгоритмов и процедур преобразования, обработки и передачи информации, представленной в виде документов на материальном носителе и электронных документов, а также иных разнообразных данных, используемых в работе конкретной организации. Отсюда следует, что, какое бы состояние актива ИС мы ни взяли, оно является самостоятельным либо составным элементов более общей подсистемы, обеспечивающей работу алгоритмов и процедур ИС. Так по крайней мере должно быть.

Рассмотрим любую конкретную подсистему. Ее задача заключается в преобразовании неких входных данных в соответствии с заложенным в ней алгоритмом во вполне определенные выходные данные. Не будем углубляться в свойства этого преобразования. Важно то, что в нашем случае воздействиям извне, то есть угрозам, оказываются подверженными:

В результате реализации внешнего по отношению к ИС события, несущего потенциал угрозы, актив ИС, имеющий статус "уязвимость", переходит в иное состояние.

Здесь необходимо сделать небольшое, почти лирическое отступление.

В предыдущем параграфе автор позволил себе, опираясь на данные энциклопедии Britannica, озвучить тезис о том, что увязывание термина "угроза" только с негативными последствиями является неоправданным ограничением содержания этого термина. В то же время абзацем выше он поставил знак равенства между внешним событием, влияющим на активы ИС, и угрозой. Это потребует пояснений.

Думаю, что привести пример внешнего позитивного воздействия на организацию и ее ИС несложно. Отрицательные воздействия – любимый предмет исследования риск-аналитиков. Для разрешения этого кажущегося противоречия нужно просто еще раз напомнить, что инициированный внешним воздействием переход актива(ов) ИС из состояния "уязвимость" в иное состояние сопровождается:

Все эти вытекающие из перехода из одного состояния в другое события не происходят по щучьему велению, а имеют каждое свое стоимостное выражение. Поэтому реализация любого внешнего воздействия на организацию становится источником ее определенных расходов как денежного эквивалента затраченных ресурсов. В этом смысле широкое толкование внешнего воздействия как угрозы ресурсам организации представляется приемлемым.

Вопрос заключается только в одном: эти расходы относятся к категории затрат или потерь?

Для ответа на этот вопрос было бы правильным понять, что происходит с ИС организации в результате реализации угрозы. А происходит следующее: актив(ы) ИС переходят из состояния "уязвимость" в некоторые иные состояния. Определим два типа таких состояний, которыми исчерпываются все возможные варианты: штатные и нештатные состояния.

К штатным состояниям отнесем те, которые предусмотрены действующей в организации организационно-распорядительной и технической документацией, описывающей функционирование ее бизнес-процессов и порядок использования в них активов ИС организации. Данные состояния определены и соответствуют логике работы организации, призванной в максимально возможной степени обеспечить решение поставленных учредителями/акционерами задач.

Остальные состояния назовем "нештатными". Нештатные они потому, что не отвечают целям, задачам и содержанию процедур преобразования информации, заложенных в ИС на этапе проектирования и в ходе ее возможных последующих модификаций.

Итак, при реализации внешнего воздействия, которое с учетом сделанных выше замечаний будем по-прежнему называть угрозой, активы ИС организации или их часть переходят из состояния "уязвимость" в одно из двух категорий: штатное или нештатное.

При переходе в штатное состояние ИС продолжает свою работу в соответствии с заложенной в нее логикой работы.

Стоимость внешнего воздействия на ИС будет складываться из стоимости перехода ее активов из одного конкретного состояния в другое, а также из стоимости реакции ИС на воздействие, то есть стоимости возможных последующих событий, возникновение которых обусловлено логикой работы ИС.

Если мы наблюдаем переход в штатное состояние, то суммарную стоимость внешнего воздействия на ИС организации было бы правильным назвать затратами. Объяснение заключается в том, что позитивное воздействие по форме проявления всегда соответствует целям и задачам, стоящим перед организацией. Поэтому реакция организации и ее ИС на это воздействие представляет собой один из возможных вариантов развития организации.

Развитие организации в этих условиях может быть поступательным, то есть таким, при котором показатели достижения организацией своих целей не ухудшаются, либо нет. Последнее означает, что воздействие, хотя и позитивное по форме, по своему содержанию оказалось таковым, что величина затрат, вызванных его реализацией, нарушила поступательное развитие организации.

При переходе активов ИС в нештатное состояние вся ИС либо отдельные ее подсистемы не обеспечивают запроектированной информационной поддержки бизнес-процессов организации. Это по меньшей мере снижает их эффективность, что в конечном итоге сказывается на результативности деятельности организации в целом.

В этом случае получается, что организация после перехода в нештатное состояние работала неэффективно, не обеспечивая поступательного развития. Поэтому стоимость реакции организации и ее ИС на внешнее воздействие было бы уместно назвать потерями.

Из сказанного выше следует еще один полезный, на взгляд автора, вывод. Процедура анализа рисков должна быть посвящена не только широко упоминающейся в литературе минимизации потерь организации, но и минимизации ее затрат. Для этого следует отказаться от сложившейся практики сбора только тех вариантов событий, которые могли бы оказать негативное влияние на организацию и ее ИС. С учетом изложенного более правильно исходить из широкого толкования термина "угроза" и при формировании их перечня отбирать только те, которые способны существенным образом повлиять на деятельность организации. Понятно, что подобная оценка является субъективной, и от ее качества будет зависеть точность выстраиваемой модели внешних воздействий на организацию. Но в этом и должно заключаться мастерство и профессионализм риск-аналитика, выполняющего процедуру анализа рисков. Он, имея под руками стандартный набор угроз, характерных для большинства организаций, должен на основе изучения бизнес-процессов организации, внедренных систем управления организацией, по результатам общения с ее работниками дополнить этот набор угрозами, которые являются специфическими для данного вида деятельности или для конкретной организации.

В качестве инструмента определения существенности тех или иных угроз аналитик мог бы использовать оценки стоимости соответствующих конкретной угрозе затрат и потерь. А отбор угроз производить на основании их сравнения с согласованными с руководством этой организации порогами для соответствующих величин стоимости.

В этом случае руководитель организации, во-первых, поймет, с какими величинами затрат или потерь ему придется иметь дело, а во-вторых, он сам определит величину возможных потерь организации, которыми можно пренебречь.

Очевидно, что это процесс трудоемкий и требующий тесного рабочего взаимодействия с руководителями структурных подразделений организации. Но этот процесс является сходящимся в том смысле, что, понижая порог отбора угроз, мы в результате получаем более точную модель внешних воздействий на организацию и соответственно более точные оценки значений рисков ее деятельности.

На этом представляется целесообразным завершить не вполне полное и местами схематичное изучение процесса взаимодействия организаций и возникновения на его основе явлений и величин, которые возможно использовать для получения оценки готовности организации продолжить свое развитие по пути наименьших затрат и потерь.

В последнее десятилетие проблематика принятия оптимальных решений, которая основывается на результатах риск-анализа, заняла свое место в системе прикладных наук. Появилось значительное количество публикаций, алгоритмов, отечественных и зарубежных программных продуктов, предназначенных для решения задачи анализа риска. Благодаря появлению международных стандартов серий 13335, 27000 и 29000, их отечественных аналогов в виде государственных стандартов России, получивших международное признание британских стандартов BS-25999 1, 2, посвященных вопросам обеспечения непрерывности бизнеса, процедуры анализа риска, приобрели статус элементов систем управления (менеджмента) организациями.

Задача анализа рисков разрешима, если использовать математический подход и рассматривать организации в их взаимодействии. В качестве такой модели возможно использовать информационную систему (ИС) предприятия в терминах стандартов серии ИСО 27000. Источником развития, в том числе прекращения деятельности, организации и ее ИС соответственно является противоречие между целями и задачами, поставленными ее акционерами, и реальными достижениями за отчетный период.

Эти противоречия, присущие каждой конкретной организации, в различных своих комбинациях являются источником взаимодействия самих предприятий.

Их взаимодействие стимулирует изменение составляющих ее элементов. В условиях наших предположений – изменение активов их ИС. Этот стимул реализуется в виде распределенных во времени реальных и потенциальных внешних воздействий – угроз. Каждое такое внешнее воздействие характеризуется вероятностью наступления на определенном временном интервале и стоимостной оценкой реакции на него со стороны организации.

Угроза, по своей сути, может быть только внешней и нести в себе не только негативное, но и позитивное начало. В зависимости от характера этого начала стоимостная оценка реакции на угрозу может называться либо затратами, либо потерями.

Текущее состояние организации в рамках используемой модели определяется состоянием ее активов ИС. Состояние последних, в свою очередь, описывается набором дискретных значений величин, характеризующих заданные свойства активов ИС. Глубина описания актива определяется риск-аналитиком по согласованию с руководством организации.

Определенные на этапе проектирования и построения ИС состояния активов относятся к категории штатных, то есть таких, априорная вероятность перехода в которые отлична от нуля. Остальные, имеющие смысл возможные состояния активов считаются нештатными.

В категорию штатных входят состояния, называемые уязвимостями. Состояние актива ИС является уязвимостью тогда и только тогда, когда соответствующая этому состоянию условная вероятность наступления внешнего события, влияющего на активы ИС – угрозы, отлична от нулевой.

Уязвимости антропогенны и по характеру возникновения делятся на непреднамеренные и искусственно созданные.

Защитный механизм может представлять собой отдельный самостоятельный актив ИС либо являться одним из свойств какого-либо актива организации, направленным на предотвращение перехода текущего состояния актива (ативов) в состояние "уязвимость".

Управление уязвимостями достигается за счет:

В последнем случае речь идет о минимизации соответствующих угрозе условных вероятностей ее наступления.

Результатом внешнего воздействия на ИС является переход актива (активов) из состояния "уязвимость" в штатное либо нештатное состояние. В первом случае дальнейшая работа ИС будет осуществляться в соответствии с заложенным в нее на этапе проектирования сценарием. При переходе в нештатное состояние это состояние актива становится "неизвестным" для ИС. Поскольку ИС представляет собой информационную модель деятельности организации, включающую, помимо самой информации, алгоритмы и программно-технические средства ее преобразования, а также работников организации, использующих и управляющих этими средствами, то переход в нештатное состояние может быть обусловлен переходом в такое состояние любого из компонентов ИС. Источниками возникновения таких переходов являются прежде всего недекларированные возможности (НДВ) активов ИС и возможности их практической реализации. К таким возможностям можно отнести:

некорректно разработанные алгоритмы и написанные на их основе программы обработки информации;
особенности языков программирования и трансляторов с этих языков;
особенности операционных систем, СУБД, других программных сред и оболочек, а также обновлений к ним;
естественные и искусственно созданные особенности технических характеристик основных и вспомогательных средств обработки информации;
естественные и искусственно созданные особенности технических характеристик помещений и мест расположения объектов информатизации;
несертифицированные по требуемому классу защищенности средства обеспечения безопасности информации;
некорректные процедуры, регламентирующие действия и ответственность работников организации;
отсутствие либо неполнота требований, предъявляемых к подготовленности, квалификации и лояльности организации ее работников;
отсутствие либо неполнота контрольных процедур.

В результате ИС оказывается неготовой к появлению нештатного состояния, поэтому и реакция ИС на нештатное состояние оказывается неопределенной, вплоть до самой неадекватной, в том числе имеющей разрушительные последствия для организации. Итак, основную проблему для организации на всех этапах ее жизненного цикла представляют НДВ активов ее ИС, то есть такие состояния активов, априорные вероятности перехода в которые равны нулю, но становятся отличными от нуля (все или часть из них) при реализации определенного внешнего воздействия (угрозы).

НДВ активов подобно уязвимостям имеют антропогенную природу, но в отличие от последних управление ими возможно только на основе устранения порождающих их причин в виде несоответствий между идеалом актива и его текущей практической реализацией. Это противоречие носит объективный характер, касается практически всех активов ИС и проявляется на всех этапах жизненного цикла активов, их ИС и организации в целом.

Ответ на вопрос, каким образом бороться с НДВ активов ИС, известен, и подобная работа ведется, но, как правило, она не носит комплексный характер и ведется несистематическим образом. Такими известными средствами борьбы с НДВ применительно к различным активам ИС являются:

к управленческим и операционным процедурам – аудиты и проверки на корректность, то есть алгоритмическую однозначность шагов и достижение результата за конечное число итераций; контроль правильности представления входных данных, контроль корректности результатов промежуточных преобразований информации/данных;
к ПО – стандартные работы, выполняемые известными центрами компетенций в этой области, на соответствие требованиям ФСТЭК РФ;
к основным и вспомогательным средствам обработки информации – процедуры определения границ зон распространения побочных электромагнитных излучений (ПЭМИН) этих средств, в пределах которых эти излучения могут быть использованы для съема защищаемой информации, обрабатываемой на или около этих технических средств. Здесь же должны рассматриваться проблемы с возможным наличием у основных средств обработки недекларированных, в том числе управляемых извне, режимов работы;
к помещениям, в которых находятся объекты информатизации, – процедуры оценки строительных конструкций защищаемого помещения и его инженерно-технической инфраструктуры на предмет их способности создавать технические каналы съема обрабатываемых данных и определения границ контролируемой зоны объекта. В эту же группу следует отнести вопросы физической и инженерно-технической охраны объектов, организации доступа как на объект, так и к средствам обработки информации;
к персоналу ИС, то есть к работникам организации, – самый широкий круг возможных мер контроля их деятельности. Важную роль в обеспечении контроля за работой персонала ИС должны сыграть широко представленные сегодня на рынке DLP-системы, а также применение психофизиологических исследований. Последние должны активно применяться в работе с наиболее привилегированной категорией персонала ИС – с администраторами АС и различных ее подсистем и сервисов. Эта категория персонала ИС в силу своих служебных полномочий является наименее контролируемой и одновременно располагающей максимальными возможностями по доступу к защищаемой информации.

Автор выражает признательность
А.И. Костогрызову за поддержку
в написании данной статьи

___________________________________________
1 . Энциклопедический словарь Ф.А. Брокгауза и И.А. Ефрона. – С.-Пб.: Брокгауз-Ефрон. 1890–1907.
2 . Britannica, настольная энциклопедия, т. 2. – М., 2006.
3 . Азбука социального психолога-практика. – 2011.
4 . Отсутствие или неполнота информации о вероятности или последствиях будущих событий.
5 . Будущие события могут быть связаны как с негативными, так и с позитивными последствиями.
6 . EdwART. Словарь терминов МЧС. – 2010.
7 . № 261-ФЗ от 25 июля 2011 г. "О внесении изменений в Федеральный закон "О персональных данных".
8 . № 238-ФЗ от 18 июля 2011 г. "О внесении изменений в Трудовой кодекс Российской Федерации".