О том, что можно сделать в каждом конкретном случае, мы более подробно поговорим и разберем в нескольких примерах, размещенных ниже, в Приложении 1.1. к первой главе.
Допустимая величина риска, риск-аппетит
и уровень терпимости к риску
Риск можно измерить, риском можно управлять. Для этого существуют различные инструменты. На мой взгляд, наиболее важные – это:
• допустимая величина риска (RISK CAPACITY), то есть целевая сумма потерь, которую организация может выдержать до того, как под угрозой окажется возможность ее дальнейшего успешного функционирования, с учетом допустимой величины риска владельцы или совет директоров организации устанавливают риск-аппетит (RISK APPETITE). Риск-аппетит определяется как величина риска, которую организация готова принять с целью достижения своей миссии;
• уровень терпимости к риску (RISK TOLERANCE), это отклонение от риск-аппетита, подобные отклонения не желательны, но известно, что они достаточно ниже допустимой величины риска.
Для наглядности приведу примеры:
• допустимая величина риска (RISK CAPACITY): вследствие сбоя ИТ-системы часть сервисов организации недоступна для клиентов. Организация сможет выдержать убытки, понесенные в результате данного сбоя ИТ-системы и недоступности ИТ-системы на протяжении семи дней при сумме финансовых потерь до 10 млн рублей в совокупности за одну неделю.
• риск-аппетит (RISK APPETITE):
допустимое количество времени простоя ИТ-системы в год – общее количество времени недоступности ИТ-системы не превышает 100 минут в год. ИТ-система доступна 99,99% времени в год, допустимая сумма денежных потерь от простоя/сбоя ИТ-системы в год – не более 0,00001% от генерируемого данной системой потока выручки, допустимое количество установленного типа сбоев/ошибок ИТ-системы в год – не более двух сбоев/ошибок в неделю при работе ИТ-системы/отчетов.
Риск ИТ можно измерить
Риск можно измерить как в количественном эквиваленте, так и в качественном. Для этого используют различные метрики. Приведу для примера несколько метрик, рекомендуемых организацией ISC5.
Exposure Factor (SF) – фактор воздействия – процент потерь, которые организация может понести, в случае если актив будет подвержен реализации риска.
Single Loss Expectancy (SLE) – единовременный ожидаемый убыток, стоимость, присущая единовременной реализации риска в отношении актива.
Asset Value (AV) – стоимость актива.
Annualized Rate of Occurrence (ARO) – частота реализации риска в год.
Annualized Loss Expectancy (ALE) – ожидаемые годовые убытки от реализации риска.
Количественная оценка
Используя метрики, приведенные выше, можно сделать количественную оценку потенциальных потерь в случае реализации риска, присущего ИТ. Например:
AV = $ 200 000
EF = 45%
ARO = 2 раза
SLE = AV × EF
ALE = SLE × ARO
Таким образом:
SLE = $ 200 000 × 45% = $ 90 000. В случае реализации риска ⠀в ⠀отношении ⠀актива ожидается потеря организацией $ 90 000.
ALE = $ 90 000 × 2 = $ 180 000. В случае реализации риска «2 раза» организация потеряет в два раза больше.
Ну и что это дает?
Зная о потенциальных потерях, даже приблизительно, менеджмент организации сможет более точно распределить расходы, сфокусировать необходимые ресурсы, экспертизу и усилия и принять более осознанные управленческие решения.
Качественная оценка
Качественная оценка – это более простой способ оценки вероятности возникновения, реализации риска. Однако требующий больше экспертизы с привлечением экспертов из различных областей, включая представителей бизнеса, ИТ, ИБ, внешних консультантов.
Качественная оценка, как правило, выполняется путем присвоения риску уровня его вероятности либо влияния на ту или иную цель организации, так называемый «Светофор»: