Определение угроз и рисков
В нашей повседневной жизни, мы постоянно пользуемся такими словами как: риск, угроза, опасность. Для простого обывателя это, практически слова — синонимы. Сегодня мы попробуем разобраться с данными терминами.
Следует отметить, что употребление термина «риск» в значении «угроза» широко распространено.
Обращаю Ваше внимание на то, что однозначных и универсальных определений риска, как и угрозы, пока не дано. Термины эти являются жертвой своей популярности; словари, монографии и статьи дают широкое многообразие определений, описаний и формул. Ряд исследователей вообще отрицает связь между различными вариантами определений.
Не существует общепризнанных научно разработанных понятий «угроза» и «риск». В «Толковом словаре» С.И. Ожегова записано: «Угроза — обещание причинить кому-нибудь вред, зло».
В.И.Даль толковал угрозу как действие или намерение «угрожать, грозить, стращать, наводить опасность либо опасение, держать под страхом, под опаскою, пригражать».
Мы будем пользоваться следующими определениями.
Угроза — объективный, т.е. внешний мало (не) контролируемый агентом тренд, событие, влекущее за собой опасность потерь, ущерба, вреда или воспринимаемое как таковое.
Коротко, угроза — это возможная опасность.
Риск — возможность нежелательного события, потери, недостижения ожидаемых результатов деятельности агента или отклонений от них. Он связан с угрозами через фактор неопределенности, но непосредственно характеризует ситуацию через призму действий (или бездействия) самого агента. Интуитивной мерой оценки риска служит опасение. Риск часто связан с ситуацией выбора: между привлекательным, но менее надежным вариантом и менее привлекательным, но более надежным, а следовательно, с принятием решений в условиях выбора.
Угроза — основополагающее понятие в сфере обеспечения безопасности.
Угроза это сочетание факторов и условий, возникающих в процессе взаимодействия различных объектов, которые могут оказать негативное воздействие на объект безопасности.
Угрозы экономической безопасности могут быть самыми разными.
Негативные воздействия от угроз различаются по характеру наносимого вреда:
— степень изменения свойств объекта;
— возможность ликвидации последствий угрозы.
Выделяются два наиболее важных типа угроз:
1. Намерение нанести вред (умысел);
2. Возможность нанесения вреда, т.е. наличие сил и средств.
Особенностью первого типа угроз является неопределенность, желание есть, но будет ли возможность.
А вот возможность нанесения вреда может быть осуществлена только самими субъектами угроз.
Между угрозой и опасностью нанесения вреда существует прочная причинно-следственная связь.
Угроза всегда порождает опасность. Опасность можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту.
Но, главным отличие между угрозой и опасностью является то, что опасность является свойством объекта безопасности и характеризует его способность противостоять проявлению угроз, а угроза — свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно — следственную связь не только с понятием опасности, но и с возможным вредом как следствием негативного изменения условий существования объекта. Возможность нанесения вреда определяет величину опасности.
И, в соответствии со всем вышесказанным, делаем вывод, что безопасность предприятия можно рассматривать, как состояние защищенности от угроз.
Декларируемая в нашей стране рыночная экономика, не исключает регулирования государством экономических отношений, касается это и вопросов экономической безопасности. Экономическая безопасность является гарантом стабильности функционирования предприятия. Его устойчивости, конкурентоспособности на рынке. Экономическая устойчивость охраняется как от прямых, так и от потенциальных посягательств. Количеством принимаемых нашим правительством нормативных актов показывает, что проблема очень серьезная.
Но, как бы мы не ограждали наши предприятия от всех риском, угроз и опасностей, всегда следует помнить, что самое слабое звено в структуре безопасности – это человек. Можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.
Риск и угроза: в чем разница?
Риск и угроза – два понятия, которые часто употребляются в сфере безопасности, но которые имеют существенные отличия между собой. Угроза подразумевает наличие потенциальной опасности или возможности причинения ущерба, в то время как риск – это вероятность наступления той или иной угрозы.
Отличительная особенность риска заключается в том, что он всегда имеет численное выражение, которое соотносится с количественной оценкой наступления определенного события. С другой стороны, угроза определяет лишь возможность причинения вреда, но не указывает на вероятность ее наступления.
Риск и угроза тесно связаны друг с другом и взаимодействуют в рамках оценки безопасности объектов и систем. Правильное определение и анализ риска и угрозы позволяет эффективно контролировать и управлять безопасностью в различных сферах деятельности, в том числе в бизнесе, в транспортном и промышленном секторах, в государственных и коммерческих организациях.
Риск и угроза: как различить?
В мире бизнеса и управления риск и угроза – это два понятия, которые могут привести к потере финансовых ресурсов и деловых контактов. Однако, эти понятия имеют отличия друг от друга.
Риск – это возможность возникновения нежелательного события, которое приведет к неблагоприятным последствиям. Однако, риск всегда сопровождается возможностью получения дохода или выгоды. Пример риска — создание новой бизнес-модели, которая может принести прибыль, но также может не сработать и привести к убыткам.
Угроза
Угроза – это событие, которое может привести к потере финансовых или других ресурсов без возможности получения выгоды. Пример угрозы – кибератака на компьютерную систему организации, в результате которой компания потеряет данные или попадет под ущербную конкуренцию в результате использования переданных информаций.
Таким образом, риск и угроза являются важными понятиями в бизнесе и управлении. Однако, важно понимать разницу между ними, чтобы принимать правильные решения в ситуациях, связанных с возникновением риска или угрозы.
Определение риска и угрозы
Риск — это вероятность возникновения нежелательного события в будущем, которое можно оценить количественно или качественно. Он может возникнуть при реализации проектов, осуществлении бизнеса и других видов деятельности. Риск может быть как негативным, то есть угрожающим возникновением неблагоприятного события, так и позитивным, то есть предположением внедрения новых решений, снижающих крупный риск.
Угроза
Угроза — это потенциальный вред или негативное воздействие извне на деятельность, которое в отличие от риска может произойти в любой момент. Угроза может быть связана с возникновением стихийных бедствий, террористических атак, кибератак и т.д. Угрозы могут привести к материальным потерям, к ущербу репутации, угрозам персональной безопасности и смягчению клуба.
Разница
Существует разница между риском и угрозой. Риск является вероятностью возникновения события, которое можно оценить, а угроза — это потенциальный вред, который может произойти без предупреждения. Риск можно контролировать и снижать риски в будущем, а угрозу невозможно полностью контролировать, только предпринять меры по минимизации последствий.
Различия между риском и угрозой
Риск — это вероятность возникновения неблагоприятного события или потерь. Он определяется на основе оценки вероятности события и глубины его последствий. При этом риск может быть измерен и выражен в цифрах.
Пример: Риск того, что ваш компьютер может сломаться, оценивается как 10%.
Угроза
Угроза — это предполагаемое событие или действие, которое может привести к неблагоприятным последствиям. Угрозы могут быть преднамеренными или случайными. Они могут быть физическими, психологическими, социальными или технологическими.
Пример: Угрозой для вашего компьютера может быть вирус или хакерская атака.
- Риск — вероятность возникновения убытков
- Угроза — действие, которое может привести к убыткам
- Риск может быть измерен и выражен в цифрах
- Угрозы могут быть преднамеренными или случайными, физическими, психологическими, социальными или технологическими
Как управлять риском и обезопаситься от угрозы
Управление риском
Риск — это возможность потери или неопределенности в будущем. Чтобы управлять риском, необходимо:
- Определить все потенциальные риски — нужно составить список возможных угроз и способов их минимизации;
- Оценить вероятность возникновения риска — нужно проанализировать, как часто подобные ситуации происходят и какова вероятность их возникновения в конкретной ситуации;
- Разработать план действий — необходимо определить, какие действия необходимо предпринять, если риск все же возникнет;
- Отслеживать ситуацию — необходимо постоянно контролировать обстановку и вносить необходимые коррективы;
- Принимать меры для снижения рисков — иногда достаточно повысить квалификацию сотрудников, а иногда требуется принимать более серьезные меры.
Обезопаситься от угрозы
Угроза — это реальное или возможное воздействие на объект или процесс, которое приводит к нежелательным последствиям. Чтобы обезопаситься от угрозы, необходимо:
Риски VS Угрозы
Если вы занимаетесь информационной безопасностью, то живете в мире рисков, угроз и уязвимостей, используете эти понятия повседневно. Мы часто подменяем эти понятия, в результате чего не всегда видна грань между тем, что такое риск, а что угроза информационной безопасности.
С одной стороны мы строим модели угроз, следуя отечественной регуляторике, а с другой создаем реестры и планы обработки рисков, ориентируясь на международные стандарты по СМИБ .
Как риски связаны с угрозами, это разные вещи или одно и то же? — рассмотрим в статье.
Если коротко — угроза это часть риска, но давайте разберем.
У понятия риск существует множество определений, только в стандартах и нормативах по информационной безопасности на русском языке их нашлось 6 штук.
Определения риска информационной безопасности
Существуют различные определения риска, вот часть из них:
риск (risk): Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем
Риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения
Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.
ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Риск — влияние неопределенности на цели.
Влияние — это отклонение от ожидаемого — положительное или отрицательное.
Неопределенность — это состояние, даже частичное, недостатка информации, относящейся к событию, его последствиям или вероятности, пониманию или знанию о нем.
Риск часто характеризуется ссылкой на потенциальные «события» и «последствия» или их комбинацию.
Риск часто выражается в виде комбинации последствий события (включая изменения обстоятельств) и связанной с ними «вероятности» наступления.
В контексте систем менеджмента информационной безопасности риски информационной безопасности могут быть выражены как влияние неопределенности на цели информационной безопасности.
Риск информационной безопасности связан с возможностью того, что угрозы будут использовать уязвимости информационного актива или группы информационных активов и тем самым причинить вред организации.
ГОСТ ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание — Определяется как сочетание вероятности события и его последствий.
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
Чуть конкретнее обстоят дела с понятиями угроза и уязвимость
угроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.
угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации
Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
угроза (threat): Потенциальный источник опасности, вреда и т.д.
уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.
уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.
Из этих определений можно сделать один простой но важный вывод — нет единого общепринятого определения для таких ключевых в отрасли информационной безопасности понятий как риск и угроза. Следовательно, верным или ошибочным суждение о них будет исходя лишь из той регуляторики и терминологии, на базе которой ведется спор.
Но в целом если отойти от формулировок то просматривается и закономерность в определениях, позволю себе ее выявить и обобщить:
Риск это возможность реализации угрозы через использование уязвимости в активе.
Таким образом риск, технически, это ничто иное как комбинация 3х сущностей:
Риск = Угроза + Уязвимость + Актив
Угроза – что то плохое
Уязвимость – особенность актива
Актив – любой объект
Если совсем уж перефразировать, то можно сказать что риск это когда что то плохое происходит из за какой то особенности чего то.
При таком расщеплении на атомы все становится на свои места, ясна связь между угрозами и рисками безопасности.
Угроза просто описывает нам что-то плохое, в то время как Риск еще сообщает из-за чего это плохое может произойти.
Несколько примеров рисков, сформулированных по такой конструкции:
Раскрытие ключей (паролей) доступа из-за возможности атаки SMB Relay в ОС Windows
Тут у нас
Угроза – Раскрытие ключей (паролей) доступа
Уязвимость – Возможности атаки SMB Relay
Актив – ОС Windows
Боковое перемещение злоумышленника по локальной сети из-за возможности удаленного подключения через RDS Shadow в ОС Windows
Закрепление злоумышленника в ОС из-за возможности распространения скриптов через Network Logon Scripts в доменных службах Active Directory
Заражение вредоносным программным обеспечением из-за реагирования на мошеннические, фишинговые письма работником
// В качестве актива выступает человек
Неработоспособность серверного оборудования из-за нарушения температурного режима в серверном помещении
// классический ИТ риск на доступность активов
Недоступность ИТ/ИБ персонала из-за отсутствия квалифицированной кадровой политики в компании
// Это тоже не про ИБ, скорее про кадровые и управленческие риски компании, но влияет на функционирование системы информационной безопасности. Активом выступает компания как юридическое лицо.
Риск в такой формулировке не просто говорит о чем то плохом, но поясняет почему это может произойти, указывая на источник проблемы.
Все элементы риска (угроза, уязвимость, тип актива) могут объединяться друг с другом в любых адекватных комбинациях, образуя новые риски безопасности.
Преимущества у такого подхода формулировки рисков безопасности:
Нет необходимости дублировать одни и те же угрозы, уязвимости и активы в составе разных рисков, мы просто ведём 3 отдельных реестра, а реестр рисков это ничто иное как их комбинация.
Взгляд на проблемы безопасности становится шире. Мы можем смотреть не только на реестр рисков, но и на реестры угроз, уязвимостей, активов, рассчитывая величину риска с учетом каждого из элементов.
Из 3х-звенной формулировки рисков вытекает простой и понятный алгоритм реагирования — снижать величину ущерба от реализации угрозы, устранять уязвимость или снижать вероятность ее использования.
Тут мы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК, лучшие практики и личный опыт. Пока набралось
250 рисков и и работа по наполнению базы в процессе. Если перед вами стоит задача ведения реестра рисков — можете использовать нашу community базу за основу и поучаствовать в ее пополнении.
Хотелось бы завершить статью слоганом что не важно как вы учитываете проблемы компании, что называете риском а что угрозой. Но нет, это важно, т.к. от этого зависит полнота и эффективность создаваемых систем ИБ, возможность понять друг друга в ИБ сообществе. Буду рад если поделитесь в комментариях тем как вы ведете учет проблем ИБ в своих компаниях, как описываете риски безопасности.
Управление рисками – это искусство различать, с чем вы имеете дело, с опасностью или шансом
В современных условиях высокой рыночной конкуренции и постоянно меняющихся покупательских предпочтений трудно представить себе успешно развивающуюся компанию, в которой не налажен процесс управления рисками.
Управление рисками прежде всего необходимо для принятия управленческих решений в условиях, требующих выбора одного из нескольких вариантов при отсутствии определенности и однозначности преимуществ какого-либо решения.
Многие руководители считают, что они и без специальных технологий управления прекрасно видят возможные риски для компании и смогут вовремя их устранить, основываясь на собственном опыте и интуиции. Они ошибаются, и мы видим огромное количество примеров, когда крупные корпорации испытывают большие трудности в бизнесе или приходят к банкротству именно из-за ошибочных действий руководства.
Даже суперпрофессиональный руководитель не может контролировать качество всех бизнес-процессов и технологических операций компании без выделения управления рисками в отдельный процесс и вовлечения в него всех ключевых менеджеров компании. А если говорить о небольшом бизнесе, то по статистике в течение первого года работы закрываются около 90 % вновь созданных предприятий, и большинство из них — именно по причине некачественного управления предпринимательскими рисками.
ЦЕЛИ И НАЗНАЧЕНИЕ ПРОЦЕССА УПРАВЛЕНИЯ РИСКАМИ НА ПРЕДПРИЯТИИ
По общепринятой в менеджменте рисков классификации под риском подразумевается событие или стечение обстоятельств, которое в случае его реализации может существенным образом повлиять на достижение стратегических целей и текущих задач компании. Влияние риска может оказаться как негативным, т. е. несущим угрозы бизнесу, так и позитивным, предоставляющим возможности для его развития. Именно поэтому процесс управления рисками можно назвать искусством различать, что представляет собой выявленный риск — опасность для деятельности компании или наоборот, шанс ее улучшить.
Система управления рисками — это процесс, осуществляемый как руководством компании, так и ее сотрудниками. Цель этого процесса — выявить потенциальные события, которые могут повлиять на результаты деятельности компании — как положительно, так и отрицательно, и обеспечить приемлемые для компании уровень угроз или степень реализации возможностей.
Специфическая особенность данного процесса состоит в том, что он охватывает все без исключения бизнес-процессы компании и реализуется в рамках как внешнего, так и внутреннего контекстов бизнеса (рис. 1).
Основные принципы управления рисками:
1. Управление рисками — неотъемлемая часть ежедневного процесса управления, которая предполагает, что каждый сотрудник обязан выявлять и оценивать риски для наиболее эффективного принятия управленческих решений.
2. Все риски, которые возникают по внешним или внутренним причинам и могут значительно повлиять на достижение целей предприятия, должны идентифицироваться, оцениваться и документироваться, а на основе этой информации — разрабатываться мероприятия по рискам.
3. Процесс управления рисками подразумевает применение единого и стандартизированного подхода к выявлению, оценке и работе с рисками.
4. Руководители всех уровней несут ответственность за своевременное выявление рисков, их оценку, разработку мероприятий по управлению рисками и информирование всех заинтересованных сторон, в том числе работников, о рисках, влияющих на достижение поставленных перед ними целей, а также за накопление знаний о рисках и анализ реализовавшихся рисков.
5. В процессе управления рисками необходим разумный баланс издержек на управление риском и величины возможного ущерба или выгоды от наступления рискового события: если уровень риска приемлемый, а затраты на управление риском превышают возможный эффект, дополнительные мероприятия по работе с этим риском не нужны.
Методы управления рисками (рис. 2):
1. Снижение риска подразумевает воздействие на риск путем снижения вероятности реализации риска или уменьшения негативных/усиления позитивных последствий в случае реализации риска в будущем.
2. Перенос риска предполагает передачу риска (в том числе частичную) другой стороне (например, заключаются договоры страхования, хеджирования, аутсорсинга и др.) — это позволяет уменьшить негативное или усилить позитивное влияние риска на достижение целей компании.
3. Принятие риска допускает возможное наступление последствий риска с определением конкретных источников покрытия ущерба от негативных последствий.
4. Уклонение от риска означает отказ от совершения действий/мероприятий/целей, характеризующихся высокой степенью риска.
Теперь поговорим о том, как управлять рисками.
МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ И ВОЗМОЖНОСТЕЙ ДЛЯ ЦЕЛЕЙ ПРЕДПРИЯТИЯ
Алгоритм процесса управления рисками представляет собой последовательную цепочку процедур, которые помогают руководству компании эффективно минимизировать угрозы и использовать возможности для достижения целей предприятия (см. схему).
Рассмотрим эти этапы подробнее.
1. Выявляем риски.
На этом этапе определяем внутренние или внешние события, реализация которых может негативно или позитивно отразиться на достижении целей компании.
Как выявлять риски?
В первую очередь риски выявляют:
• в рамках ежегодного цикла планирования;
• в ходе анализа деятельности компании и пересмотра ее целей и бюджета;
• в текущем режиме анализа эффективности процессов компании;
• в ходе производственных совещаний и индивидуальных бесед с сотрудниками компании.
По итогам процедуры выявления рисков формируется классификатор рисков компании и назначаются ответственные по каждому из рисков.
2. Оцениваем риски.
Главная цель оценки рисков — определить уровень рисков и выделить наиболее значимые (критические) риски, которые могут негативно или позитивно влиять на деятельность компании и достижение ее стратегических целей.
А. А. Гребенников,
главный экономист ГК «Резон»
Материал публикуется частично. Полностью его можно прочитать в журнале «Справочник экономиста» № 4, 2020.