Количественная оценка рисков - Финансовый журнал
Expresspool.ru

Финансовый журнал
47 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Количественная оценка рисков

Количественная и качественная оценка рисков;

Количественная оценка риска заключается в численном определении размеров отдельных рисков и общехозяйственного риска для предприятия в целом. При количественном анализе риска могут использоваться различные методы оценки.

В настоящее время наиболее распространенными являются:

— метод анализа целесообразности затрат;

— метод экспертных оценок;

— метод использования аналогов.

Суть статистического метода заключается в том, что для расчета вероятностей возникновения потерь анализируются все ста­тистические данные, касающиеся результативности осуществ­ления предприятием рассматриваемых операций.

В последнее время стал популярен метод статистических испытаний (метод «Монте-Карло»). Достоинством этого метода является возможность анализировать и оценивать различные «сценарии» реализации проекта и учитывать разные факторы рисков в рамках одного подхода. Разные типы проектов отличаются своей уязвимостью со стороны рисков, что выясняется при моделировании.

Недостатком метода статистических испытаний является то, что в нем для оценок и выводов используются вероятностные характеристики, что не очень удобно для непосредственного практического применения.

Анализ целесообразности затрат ориентирован на идентификацию потенциальных зон риска. Эффективно используется при планировании денежных потоков. Суть метода состоит в следующем: перерасход затрат может быть вызван одним из четырех основных факторов или их комбинацией:

— первоначальной недооценкой стоимости;

— изменением границ проектирования;

— различием в производительности;

— увеличением первоначальной стоимости.

Метод экспертных оценок основан на обобщении мнений специалистов-экспертов о вероятностях риска. Интуитивные характеристики, основанные на знаниях и опыте эксперта, дают в ряде случаев достаточно точные оценки. Экспертные методы позволяют быстро и без больших временных и трудовых затрат получить информацию, необходимую для выработки управленческого решения. Метод экспертных оценок применяется в случаях, когда:

1) длина исходных динамических рядов недостаточна для оценивания с использованием экономико-статистических методов;

2) связь между исследуемыми явлениями носит качественный характер и не может быть выражена с помощью тра­диционных количественных измерителей;

3) входная информация неполная и невозможно предсказать влияние всех факторов;

4) возникли экстремальные ситуации, когда требуется принятие быстрых решений.

Суть экспертных методов заключается в организованном сборе суждений и предположений экспертов с последующей обработкой полученных ответов и формированием результатов.

Среди наиболее распространенных методов получения экспертных оценок можно выделить:

2) метод «снежного кома»;

3) метод «дерева целей»;

4) метод «комиссий круглого стола»;

5) метод эвристического прогнозирования;

6) матричный метод.

В банковской практике при выдаче кредитов предпринимателям используется аналитический метод.

Метод анализа чувствительности модели — методика анализа риска, исследующая ситуации, в которых изменяются ключевые переменные (количество проданного товара, цена реализации, издержки), и в результате изменяются индикаторы успеха предприятия. Суть этого метода сводится к выполнению следующих этапов:

— выбор основного ключевого показателя или параметра, относительно которого производится оценка чувствительности. Такими показателями могут служить внутренняя норма доход­ности (IRR) или чистый приведенный доход (NPV);

— выбор факторов (уровень инфляции, степень состояния экономики и др.);

— расчет значений ключевого показателя на различных этапах осуществления проекта: изыскание, проектирование, строительство, монтаж и наладка оборудования, процесс отдачи вло­женных средств.

Такая последовательность затрат и поступлений дает возможность определить финансовые потоки для каждого момента или отрезка времени и рассчитать показатели эффективности.

Анализ чувствительности позволяет специалистам по проектному анализу учитывать риск и неопределенность. Так, например, если цена продукции оказалась критическим фактором, то можно усилить программу маркетинга или снизить стоимость, проекта. Если проект окажется чувствительным к изменению объема производства продукции проекта, то следует уделить больше внимания программе обучения персонала, менеджменту и другим мерам по повышению производительности.

Вместе с тем анализ чувствительности имеет два серьезных недостатка. Он не является всеобъемлющим, так как не рассчи­тан для учета всех возможных обстоятельств; кроме того, он не уточняет вероятность осуществления альтернативных проектов.

В экономическом анализе проблему измерения рисков обычно связывают с именем Г. Марковица. В портфельной теории Г. Марковица впервые рассматривается взаимосвязь между риском и доходностью. Этот метод относится к группе методов относи­тельной оценки рисков. Концепция Марковица имеет большое значение для многих сфер финансового управления. Так, по его теории, цена капитала фирмы определяется степенью риска ценных бумаг, находящихся в ее портфеле, поскольку структура инвестиционного портфеля влияет на степень риска собственных ценных бумаг фирмы и требуемая инвесторами доходность зависит от величины этого риска.

Любая фирма, акции которой находятся в портфеле, в свою очередь, может рассматриваться как некий портфель находящихся в ее эксплуатации активов (или проектов), и поэтому владение портфелем ценных бумаг представляет собой право собственности на множество различных проектов. В этом контексте уровень риска каждого проекта оказывает влияние на рискованность портфеля в целом.

Суть портфельной теории Марковица состоит в том, что совокупный уровень риска может быть снижен за счет объединения рисковых активов (это инвестиционные проекты и ценные бумаги) в портфели. Основная причина такого снижения риска заключается в отсутствии прямой функциональной связи между значениями доходности по большинству различных видов активов. Теория Марковица состоит из четырех логически взаимосвязанных разделов:

— оценка инвестиционных качеств отдельных видов финансовых инструментов инвестирования;

— формирование инвестиционных решений относительно включения в портфель индивидуальных финансовых инструментов инвестирования;

— оптимизация портфеля, направленная на снижение уровня его риска при заданном уровне прибыльности;

— совокупная оценка сформированного инвестиционного портфеля по соотношению уровня прибыльности и риска.

В результате проведенных исследований Марковицем делается следующий важный вывод: уровень риска по каждому отдельному виду активов следует измерять не изолированно от остальных активов, а с точки зрения его влияния на общий уровень риска диверсифицированного портфеля инвестиций.

Теория портфеля Марковица не конкретизирует взаимосвязь между уровнем риска и требуемой доходностью, как модель оценки доходности финансовых активов (Capital Asset Pricing Model, или САРМ).

Метод аналогий основан на следующем предположении: при анализе риска вновь создаваемого предприятия полезными могут оказаться данные о последствиях воздействия неблагоприятных факторов риска на другие предприятия.

При использовании аналогов применяются различные способы получения данных о рисках. Полученные данные обрабатываются для выявления зависимостей с целью расчета потенциального риска при реализации новых проектов. Метод эффективен на предприятиях, осуществляющих инновации.

При использовании метода аналогий следует иметь в виду, что даже в случаях неудачного завершения операций трудно создать предпосылки для будущего анализа, т.е. подготовить исчерпывающий и реалистический набор возможных сценариев срывов.

В настоящее время в мировой и российской практике осуществления предпринимательской деятельности задача корректной количественной оценки рыночного риска приобретает огромное значение. Из всех типов рисков только рыночные риски поддаются нормализованному вероятностно-статистическому описанию, а методы оценки рыночного риска получили широкое применение в мировой практике.

Качественный анализ рисков позволяет выявить и идентифицировать возможные виды рисков, определить и описать причины и факторы, влияющие на уровень данного вида риска. Кроме того, необходимо описать и дать стоимостную оценку всех возможных последствий гипотетической реализации выявленных рисков и предложить мероприятия по минимизации и/или компенсации этих последствий, рассчитав стоимостную оценку этих мероприятий.

Рассмотрение каждого вида риска можно производить с трех позиций:

1) с точки зрения истоков, причин возникновения данного типа риска;

2) обсуждения гипотетических негативных последствий, вызванных возможной реализацией данного риска;

3) обсуждения конкретных мероприятий, позволяющих минимизировать рассматриваемый риск.

Основными результатами качественного анализа рисков являются: выявление конкретных рисков и порождающих их причин, анализ и стоимостной эквивалент гипотетических последствий возможной реализации отмеченных рисков, предложение мероприятий по минимизации ущерба и их стоимостная оценка. К дополнительным, но также весьма значимым результатам качественного анализа следует отнести определение пограничных значений возможного изменения всех факторов (переменных) проекта, проверяемых на риск.

Читать еще:  Управление логистическими рисками в цепях поставок

Качественная оценка рисков подразумевает: выявление рисков, присущих реализации предполагаемого решения; определение количественной структуры рисков; выявление наиболее рискоопасных областей в разработанном алгоритме принимаемого решения.

Для осуществления данной процедуры предлагается использовать таблицу качественного анализа. В данной таблице по вертикали составляется алгоритм действий при принятии решения, а по горизонтали — фиксированные ранее риски. Так, при решении на размещение новых базовых станций на одном из предприятий связи, количественная оценка рисков может выглядеть следующим образом (табл.1.)

После составления данной таблицы производится качественный анализ рисков, присущих реализации данного решения.

Методы количественной оценки рисков

Количественный анализ можно формализовать, для чего используется инструментарий теории вероятностей, математической статистики, теории исследования операций. Наиболее распространенными методами количественного анализа риска являются статистические, аналитические, метод экспертных оценок, метод аналогов.

Количественный анализ рисков Количественный анализ рисков производится в отношении тех рисков, которые в процессе качественного анализа были квалифицированы как потенциально или существенным образом влияющие на достижение цели проекта. Или, другими словами, для наиболее важных с точки зрения команды (всех участников) проекта рисков. В процессе количественного анализа рисков оценивается эффект от таких рисковых событий, и таким рискам может присваиваться цифровой рейтинг. В некоторых случаях для разработки эффективных ответных мер реагирования на риски проведение количественного анализа рисков не требуется. Наиболее распространенными методами количественного анализа являются следующие анализ чувствительности, в процессе анализа устанавливается, в какой степени неопределенность каждого элемента проекта отражается на исследуемой цели проекта, если остальные неопределенные элементы принимают базовое значение; анализ ожидаемой денежной стоимости (ОДС) производится путем умножения значения каждого возможного результата на вероятность его появления, а затем полученные значения суммируются; анализ дерева решений, который описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария; моделирование и имитация. При моделировании проекта используется модель для определения последствий от воздействия подробно описанных неопределенностей на результаты проекта в целом. По результатам количественного анализа рисков происходит дальнейшее обновление карты рисков и может быть построена новая версия карты рисков.Количественная оценка риска R в простейшем случае осуществляется по формуле:

где p – вероятность рискового события; R – величина ущерба.

Наиболее распространенными методами количественной оценки степени риска являются:
1) статистический метод;
2) метод анализа целесообразности затрат;
3) аналитический метод;
4) метод использования аналогов.
1)Статистический метод широко применяется в тех случаях, когда при проведении количественного анализа фирма располагает значительным объемом аналитико-статистической информации по необходимым элементам анализируемой системы за n-количество периодов времени. Во время проведения анализа используются данные, касающиеся результативности осуществления фирмой рассматриваемых действий. При использовании этого метода степень риска выражается через величину среднеквадратического отклонения от ожидаемых величин. Суть статистических методов оценки риска заключается в определении вероятности возникновения потерь на основе статистических данных предшествующего периода и установлении области (зоны) риска, коэффициента риска и т.д. Достоинствами статистических методов является возможность анализировать и оценивать различные варианты развития событий и учитывать разные факторы рисков в рамках одного подхода. Основным недостатком этих методов считается необходимость использования в них вероятностных характеристик.

Главные инструментыстатистического метода расчета финансового риска: вариация, дисперсия и стандартное (среднеквадратическое) отклонение.

Вариация — изменение количественных показателей при переходе от одного варианта результата к другому. Дисперсия — мера отклонения фактического знания от его среднего значения.

Степень риска измеряется двумя показателями: средним ожидаемым значением и колеблемостью (изменчивостью) возможного результата.

Среднее ожидаемое значение связано с неопределенностью ситуации, оно выражается в виде средневзвешенной величины всех возможных результатов Е(х), где вероятность каждого результата (А) используется в качестве частоты или веса соответствующего значения (х). В общем виде это можно записать так:

Е(х)=А1Х1 +А2Х2+···+АnXn.

Среднее ожидаемое значение — это то значение величины события, которое связано с неопределенной ситуацией. Оно является средневзвешенной всех возможных результатов, где вероятность каждого результата используется в качестве частоты, или веса, соответствующего значения. Таким образом вычисляется тот результат, который предположительно ожидается.

Возможно применение следующих статистических методов: оценка вероятности исполнения, анализ вероятного распределения потока платежей, деревья решений, имитационное моделирование рисков, а также технология «RiskMetrics».

2) Анализ целесообразности затрат основывается на том, что затраты по каждому конкретному направлению, а также по отдельным элементам, не имеют одинаковую степень риска. Другими словами, степень риска двух разных направлений деятельности одной и той же фирмы неодинакова; и степень риска по отдельным элементам затрат внутри одного и того же направления деятельности также неодинакова. Анализ целесообразности затрат ориентирован на идентификацию потенциальных зон риска с учетом показателей финансовой устойчивости фирмы. В данном случае можно просто обойтись стандартными приемами финансового анализа результатов деятельности основного предприятия и деятельности его контрагентов (банка, инвестиционного фонда, предприятия-клиента, предприятия-эмитента, инвестора, покупателя, продавца и т.п.).

3)АналитическийАналитическая группа методов чаще используется для оценки инвестиционных и инновационных проектов и подразделяется на две подгруппы: методы без учета распределения вероятности (стресс-тестирование) и методы с учетом распределения вероятностей (нетрадиционные методы).Математические модели и методы относятся к аналитической группе методов. Основная цель применения математического моделированияв оценке рисков сводится к описанию общей модели:

где P — вероятность наступления рискового события,

I — потенциальные последствия влияния факторов.

Использование математических моделей в зависимости от постановки задачи и наличия исходной информации можно свести к применению таких типов моделей, как детерминированные, стохастические, лингвистические и игровые. Игровые (нестохастические) модели используются тогда и только тогда, когда отсутствует исходная информация для использования других типов моделей. На основе теории игр формируются несколько исходов при осуществлении риска, и с помощью статистических и стратегических игр определяется значение меры или вероятности риска. Лингвистические модели основаны на методах нечеткой логики. Неопределенность описывается функцией принадлежности, благодаря которой не требуется уверенность в повторяемости событий. Предполагается, что для использования данных методов имеется экспертная оценка о степени неопределенности. Стохастические модели базируются на применении статистических расчетов и наличии достаточного количества статистической информации о каком-либо событии. С помощью стохастических моделей на заданном множестве оценивается вероятность наступления риска, данные модели применяются при условии случайности возникновения факторов риска. С помощью детерминированных моделей определяется наиболее достоверный результат, поскольку данные модели применимы в условиях, когда факторы возникновения риска определены и носят регулярный характер и последствия принимаемых решений приводят к определенному результаты. Для формирования моделей используются инструменты математического анализа, логики и др. Для количественной оценки рисков часто используются такие аналитические методы, как анализ чувствительности и имитационное моделирование, поскольку данные методы применяются в том числе и для комплексной оценки эффективности (устойчивости) деятельности организации. Анализ чувствительности предполагает анализ изменения результирующего показателя при малом изменении факторов. Если изменения факторов приводят к незначительным изменениям результатов, то риск незначительный. Однако, недостатком метода является то, что в процессе проведения анализа исключаются все факторы, кроме одного, что не дает возможности комплексно оценить результаты. Для оценки возможных последствий от наступления какого-либо события используется имитационное моделирование. Имитационные методы основаны на пошаговом нахождении значения результирующего показателя путем проведения многократных опытов с моделью. В ходе процесса имитации строятся последовательные сценарии с использованием переменных модели (факторов неопределенности). На основании этих данных можно сделать вывод об уровне возможного ущерба. Результатом количественной оценки риска является показатель. Виды количественных показателей риска зависят от наличия достаточного количества информации (Рис. 2). Информация для анализа привлекается из различных доступных достоверных источников. Одним из видов наиболее полной и достоверной информации является внутренняя отчетность организации, которая также является и статистической. Рис. 2. Система показателей оценки риска.

Читать еще:  Соотношение риска и дохода

Количественная оценка рисков.

Риск, которому подвергается предприятие, — это вероятная угроза разорения или несения таких финансовых потерь, которые могут остановить все дело.

Поскольку вероятность неудачи присутствует всегда, встает вопрос о методах снижения риска. Для ответа на этот вопрос необходимо количественно определить риск, что позволит сравнить величину риска различных вариантов решения и выбрать из них тот, который больше всего отвечает выбранной предприятием стратегии риска.

При количественной оценке риска используются различные методы. В настоящее время наиболее распространенными являются:

• анализ целесообразности затрат;

• метод экспертных оценок;

Статистический метод заключается в изучении статистики потерь и прибылей, имевших место на данном или аналогичном предприятии, с целью определения вероятности coбытия, установления величины риска.

Вероятность означает возможность получения определенного результата.

Степень риска измеряется двумя показателями: средним ожидаемым значением и колеблемостью (изменчивостью) возможного результата.

Среднее ожидаемое значение связано с неопределенностью ситуации, оно выражается в виде средневзвешенной величины всех возможных результатов Е(х), где вероятность каждого результата (А) используется в качестве частоты или веса соответствующего значения (х). В общем виде это можно записать так:

Пример: при вложении денежных средств в мероприятие А из 150 случаев прибыль в сумме 20,0 тыс. руб. была получена в 75 случаях (вероятность — 75: 150 = 0,5), прибыль 25,0 тыс. руб. — в 60 случаях (вероятность — 60 : 150 = 0,4) и прибыль 30,0 тыс. руб. — в 15 случаях (вероятность — 15 : 150 = 0,1).

Среднее ожидаемое значение прибыли составит:

20,0 х 0,5 + 25,0 х 0,4 + 30.0 х 0,1 = 23.

Осуществление мероприятия Б из 150 случаев давало прибыль 19,0 тыс. руб. в 60 случаях (вероятность — 60 : 150 = = 0,4), прибыль 24,0 тыс. руб. — в 45 случаях (вероятность 45 : 150 = 0,3), 31,0 тыс. руб. — в 45 случаях (вероятность 45: 150=0,3).

При проведении мероприятия Б средняя ожидаемая прибыль составит:

19,0 х 0,4+24,0 х 0,3+1,0 х 0,3=24,1.

Сравнивая величины ожидаемой прибыли при вложении денежных средств в мероприятия А к Б, можно сделать вывод, что вепичина получаемой прибыли при мероприятии А колеблется от 20,0 до 30,0 тыс. руб., средняя величина составляет 23 тыс. руб.; в мероприятии Б величина получаемой прибыли колеблется от 19,0 до 31,0 тыс. руб. и средняя величина равна 24,1 тыс. руб.

Средняя величина представляет собой обобщенную количественную характеристику и не позволяет принять решение в пользу какого-либо варианта вложения капитала.

Для окончательного решения необходимо измерить колеблемость (размах или изменчивость) показателей, т.е. определить меру колеблемости возможного результата.

Колеблемость возможного результата представляет собой степень отклонения ожидаемого значения от средней величины. Для ее определения обычно вычисляют дисперсию или среднеквадратическое отклонение:

Он показывает степень отклонения полученных значений.

Коэффициент вариации позволяет сравнивать колеблемость признаков, имеющих разные единицы измерения.

Чем выше коэффициент вариации, тем сильнее колеблемость признака.

Установлена следующая оценка коэффициентов вариации:

до 10% — слабая колеблемость;

10-25% — умеренная колеблемость;

свыше 25% — высокая колеблемость.

Метод экспертных оценок основан на обобщении мнения специалистов-экспертов о вероятностях риска. Интуитивные характеристики, основанные на знаниях и опыте эксперта, дают в ряде случаев достаточно точные оценки. Экспертные методы позволяют быстро и без больших временных и трудовых затрат получить информацию, необходимую для выработки управленческого решения.

Метод экспертных оценок применяется в случаях, когда:

1) длина исходных динамических рядов недостаточна для оценивания с использованием экономико-статистических методов;

2) связь между исследуемыми явлениями носит качественный характер и не может быть выражена с помощыо традиционных количественных измерителей;

З) входная информация неполная и невозможно предсказать влияние всех факторов;

4) возникли экстремальные ситуации, когда требуется принятие быстрых решений. Суть экспертных методов заключается в организованном сборе суждений и предположений экспертов с последующей обработкой полученных ответов и формированием результатов.

Выделяют следующие стадии экспертного опроса:

1) формулировка цели экспертного опроса;

2) подбор основного состава рабочей группы;

3) разработка и утверждение технического задания на проведение экспертного опроса;

4) разработка подробного сценария проведения сбора и анализа экспертных мнений (оценок), включая как конкретный вид экспертной информации (слова, условные градации, числа, ранжирование, разбиения или иные виды объектов нечисловой природы), так и конкретные методы анализа этой информации;

5) подбор экспертов в соответствии с их компетентностью;

6) формирование экспертной комиссии;

7) проведение сбора экспертной информации;

8) анализ экспертной информации;

9) интерпретация полученных результатов и подготовка заключения;

10) принятие решения — выбор альтернативы.

Метод целесообразности затрат позволяет определить критический объем производства или продаж, т.е. нижний предельный размер выпуска продукции, при котором прибыль равна нулю.

Производство продукции в объемах меньше критического приносит только убытки. Критический объем производства необходимо оценивать при освоении новой продукции и при сокращении ее выпуска, вызванного падением спроса, сокращением поставок материалов и комплектующих изделий, заменой продукции на новую, ужесточением экологических требований и другими причинами.

Для проведения соответствующих расчетов все затраты на производство и реализацию продукции подразделяют на переменные и постоянные.

Под переменными понимают издержки, общая величина которых находится в непосредственной зависимости от объемов производства и реализации, а также от их структуры при производстве и реализации нескольких видов продукции. Это затраты на сырье и материалы, топливо, энергию, транспортные услуги, большую часть трудовых ресурсов и т.д.

К постоянным издержкам производства относят затраты, величина которых не меняется с изменением объемов производства.

Они должны быть оплачены, даже если предприятие не производит продукцию (отчисления на амортизацию, аренда зданий и оборудования, страховые взносы, оплата высшего управленческого персонала и т.д.).

Критический объем производства (Vкp) можно представить в следующем виде:

Vкр = 3пост/ (Ц — 3пер),

где Ц — цена издения (единицы продукции), руб.;

3пост — постоянные затраты, руб.;

3пер — переменные затраты, руб.

Некоторые зарубежные авторы называют критический объем производства порогом рентабельности и используют этот показатель для оценки финансовой устойчивости предприятия.

Чем больше разность между фактическим объемом производства и критическим, тем выше финансовая устойчивость.

Любое изменение объема производства (продаж) оказывает существенное влияние на прибыль. Данная зависимость называется эффектом производственного (или операционного) левериджа.

Производственный леверидж показывает степень влияния постоянных затрат на прибыль (убытки) при изменениях объема производства.

Чем больше удельный вес постоянных затрат в общей сумме издержек при некотором объеме производства, тем выше производственный леверидж, следовательно, тем выше предпринимательский риск.

Работать с высоким производственным левериджем могут только те предприятия, которые в состоянии обеспечить большие объемы производства и сбыта; имеют устойчивый спрос на свою продукцию.

Читать еще:  Риск анализа в аудите

Дата добавления: 2016-12-26 ; просмотров: 1589 ; ЗАКАЗАТЬ НАПИСАНИЕ РАБОТЫ

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector