S-p.su

Антикризисные новости
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Количественный анализ рисков

Количественный анализ риска инвестиционных проектов

В мировой практике финансового менеджмента используются различные методы анализа рисков инвестиционных проектов (ИП). К наиболее распространенным из них следует отнести:

  • метод корректировки нормы дисконта ;
  • метод достоверных эквивалентов (коэффициентов достоверности);
  • анализ чувствительности критериев эффективности (чистый дисконтированный доход (NPV), внутренняя норма доходности (IRR) и др.);
  • метод сценариев;
  • анализ вероятностных распределений потоков платежей;
  • деревья решений;
  • метод Монте-Карло (имитационное моделирование) и др.

В данной статье кратко изложены преимущества, недостатки и проблемы их практического применения, предложены усовершенствованные алгоритмы количественного анализа рисков инвестиционных проектов и рассмотрено их практическое применение.

Метод корректировки нормы дисконта. Достоинства этого метода — в простоте расчетов, которые могут быть выполнены с использованием даже обыкновенного калькулятора, а также в понятности и доступности. Вместе с тем метод имеет существенные недостатки.

Метод корректировки нормы дисконта осуществляет приведение будущих потоков платежей к настоящему моменту времени (т.е. обыкновенное дисконтирование по более высокой норме), но не дает никакой информации о степени риска (возможных отклонениях результатов). При этом полученные результаты существенно зависят только от величины надбавки за риск.

Он также предполагает увеличение риска во времени с постоянным коэффициентом, что вряд ли может считаться корректным, так как для многих проектов характерно наличие рисков в начальные периоды с постепенным снижением их к концу реализации. Таким образом, прибыльные проекты, не предполагающие со временем существенного увеличения риска, могут быть оценены неверно и отклонены.

Данный метод не несет никакой информации о вероятностных распределениях будущих потоков платежей и не позволяет получить их оценку.

Наконец, обратная сторона простоты метода состоит в существенных ограничениях возможностей моделирования различных вариантов, которое сводится к анализу зависимости критериев NPV(IRR,PI и др.) „от изменений только одного показателя — нормы дисконта.

Несмотря на отмеченные недостатки, метод корректировки нормы дисконта широко применяется на практике.

Метод достоверных эквивалентов. Недостатками этого метода следует признать:

  • сложность расчета коэффициентов достоверности, адекватных риску на каждом этапе проекта;
  • невозможность провести анализ вероятностных распределений ключевых параметров.

Анализ чувствительности. Данный метод является хорошей иллюстрацией влияния отдельных исходных факторов на конечный результат проекта.

Главным недостатком данного метода является предпосылка о том, что изменение одного фактора рассматривается изолированно, тогда как на практике все экономические факторы в той или иной степени коррелированны.

По этой причине применение данного метода на практике как самостоятельного инструмента анализа риска, по мнению авторов весьма ограничено, если вообще возможно.

Метод сценариев. В целом метод позволяет получать достаточно наглядную картину для различных вариантов реализации проектов, а также предоставляет информацию о чувствительности и возможных отклонениях, а применение программных средств типа Excel позволяет значительно повысить эффективность подобного анализа путем практически неограниченного увеличения числа сценариев и введения дополнительных переменных.

Анализ вероятностных распределений потоков платежей. В целом применение этого метода анализа рисков позволяет получить полезную информацию об ожидаемых значениях NPV и чистых поступлений, а также провести анализ их вероятностных распределений.

Вместе с тем использование этого метода предполагает, что вероятности для всех вариантов денежных поступлений известны либо могут быть точно определены. В действительности в некоторых случаях распределение вероятностей может быть задано с высокой степенью достоверности на основе анализа прошлого опыта при наличии больших объемов фактических данных. Однако чаще всего такие данные недоступны, поэтому распределения задаются исходя из предположений экспертов и несут в себе большую долю субъективизма.

Деревья решений. Ограничением практического использования данного метода является исходная предпосылка о том, что проект должен иметь обозримое или разумное число вариантов развития. Метод особенно полезен в ситуациях, когда решения, принимаемые в каждый момент времени, сильно зависят от решений, принятых ранее, и в свою очередь определяют сценарии дальнейшего развития событий.

Имитационное моделирование. Практическое применение данного метода продемонстрировало широкие возможности его использования инвестиционном проектировании, особенно в условиях неопределённости и риска. Данный метод особенно удобен для практического применения тем, что удачно сочетается с другими экономико-статистическими методами, а также с теорией игр и другими методами исследования операций. Практическое применение авторами данного метода показало, что зачастую он даёт более оптимистичные оценки, чем другие методы, например анализ сценариев, что, очевидно обусловлено перебором промежуточных вариантов.

Многообразие ситуаций неопределённости делает возможным применение любого из описанных методов в качестве инструмента анализа рисков, однако, по мнению авторов, наиболее перспективными для практического использования являются методы сценарного анализа и имитационного моделирования, которые могут быть дополнены или интегрированы в другие методики.

В частности, для количественной оценки риска инвестиционного проекта предлагается использовать следующие алгоритмы:

Алгоритм имитационного моделирования (инструмент “РИСК-АНАЛИЗ”):

1.Определяются ключевые факторы ИП. Для этого предлагается применять анализ чувствительности по всем факторам (цена реализации, рекламный бюджет, объём продаж, себестоимость продукции и т. д.), используя специализированные пакеты типа Project Expert и Альт-Инвест, что позволит существенно сократить время расчётов. В качестве ключевых выбираются те факторы, изменения которых приводят к наибольшим отклонениям чистой текущей стоимости (NPV).

Таблица 1.
Выбор ключевых факторов ИП на основе анализа чувствительности

Управление рисками проекта

Количественный анализ рисков

Количественный анализ рисковэто количественный анализ потенциального воздействия идентифицированных рисков на общие цели проекта.

Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба /выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.

Количественный анализ рисков: входы

Исходной информацией для количественного анализа рисков служат:

  • Активы организационного процесса.
  • Описание содержания проекта.
  • План управления рисками.
  • Реестр рисков.
  • План управления проектом.
Количественный анализ рисков: инструменты и методы

Наиболее распространенными методами количественного анализа являются:

Методы сбора и представления данных, к которым относятся опросы и экспертная оценка, были описаны в разделе идентификации рисков.

Анализ чувствительности помогает определить, какие риски обладают наибольшим потенциальным влиянием на проект. Идея метода состоит в отслеживании параметров, которые оказывают влияние на исследуемую ситуацию проекта. Фиксируя все параметры и изменяя только один из них, можно определить его воздействие на исследуемую ситуацию. Скажем, исследуя вопрос об ожидаемой прибыли Исполнителя проекта, выделяем влияющие на нее параметры, например такие: отсутствие квалифицированного персонала и необходимость в его привлечении, отсутствие помещения под проектный офис и необходимость аренды проектного офиса, отсутствие необходимых технических средств для оборудования рабочих мест и необходимость в закупке требуемых средств. Затем выполняем анализ чувствительности для выделенного параметра, обладающего наибольшим потенциальным риском.

Анализ дерева решений. В сложных ситуациях, когда трудно вычислить результат проекта с учетом возможных рисков, используют метод анализа дерева решений .

Дерево решенийэто графический инструмент для анализа проектных ситуаций, находящихся под воздействием риска. Дерево решений описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария. Дерево решений имеет пять элементов ( рис. 7.7).

Точки принятия решенийэто моменты времени, когда происходит выбор альтернатив.

Точка случайного события (точка возникновения последствий)момент времени, когда с тем или иным результатом наступает случайное событие.

Ветвилинии, соединяющие точки принятия решений с точками случайного события. Ветви, исходящие из точки принятия решений, показывают возможные решения, а линии, исходящие из узлов случайных событий, представляют возможные результаты случайного события.

Вероятностичисловые значения, расположенные на ветвях дерева и обозначающие вероятность наступления этих событий. Сумма вероятностей в каждой точке принятия решений равна 1.

Ожидаемое значение (последствия)это расположенное в конце ветви количественное выражение каждой альтернативы.

Модель создается слева направо. Построение начинается с отображения точки принятия решения, имеющей вид квадрата. Из этой точки рисуют количество ветвей, равное числу проектных альтернативных решений. В конце каждой ветви рисуют кружок, обозначающий возникновение допустимого случайного события, из которого выходят две ветви — возможные результаты вероятностного события. Ветви дерева берут свое начало в точке принятия решений и разрастаются до получения конечных результатов. Путь вдоль ветвей дерева состоит из последовательности отдельных решений и случайных событий. Рассмотрим пример. Торговая компания открывает новый магазин, который должен быть укомплектован новейшим оборудованием. Оборудование производят два конкурирующих поставщика (П1 и П2), объявивших одну и ту же дату появления на рынке нового оборудования. Для увеличения эффективности работы компания планирует осуществить внедрение ИС класса ERP. Разработаны три варианта расписания внедрения информационной системы: (Вариант 1, Вариант 2, Вариант 3). Длительность проекта рассматривается как параметр первостепенной важности. Расписание внедрения ИС зависит от поставки и монтажа оборудования. Команда проекта оценила вероятность того, что поставщик 1 (П1) или поставщик 2 (П2) поставит нужное оборудование первым. Анализ информации о прежних разработках поставщиков позволил предположить, что поставщик 1 поставит на рынок новое оборудование с вероятностью 60%, соответственно для поставщика 2 эта вероятность будет равна 40%.

Команда проекта разработала сетевые графики трех альтернативных вариантов расписания внедрения ИС при условии, что оборудование уже поставлено, и оценила возможные значения продолжительности проекта.

Рассчитаем возможную длительность проекта для каждого точки случайного события:

ожидаемая длительность для случайного узла А: (80дней* 0,6) + (70дней *0,4) = 76дней

ожидаемая длительность для случайного узла Б: (70дней * 0,6) + (75дней *0,4) = 72дней

ожидаемая длительность для случайного узла В: (75дней * 0,6) + (80дней *0,4) = 78дней

Результат дерева решений — вариант расписания с наименьшей продолжительностью, равной 72 дням.

Дерево решений — инструмент, который позволяет наглядно провести анализ проектных решений, содержащих несколько путей решения.

Результаты количественного анализа рисков

Реестр рисков (обновления)

В процессе идентификации рисков начинается формирование реестра рисков , в процессе качественного анализа рисков выполняется его обновление, во время количественного анализа рисков происходит повторное обновление реестра. Реестр рисков является составной частью плана управления проектами, поэтому обновлению подлежат следующие основные элементы плана:

Количественный анализ рисков

Качественный анализ рисков

Качественный анализ рисков подразумевает оценку рисков в терминах их возможных последствий, используя установленные критерии. Критерии могут учитывать затраты, официальные и предписанные требования, социально-экономические аспекты и факторы внешней среды, интересы заказчика, приоритеты и иные исходные данные для оценки. Результат процесса качественной оценки – определение градации рисков по их вероятности и последствиям

Основная проблема управления рисками заключается в размере перечня рисков, полученного на этапе идентификации. Основные задачи качественного анализа состоят в разделении рисков на группы и расположении их в порядке приоритетов. Классифицировать риски можно, например, по их временной близости. Так, близкие риски должны иметь более высокий приоритет, чем риски, которые могут случиться в отдаленном будущем. Расположения рисков по степени их важности для дальнейшего анализа или планирования реагирования на риски может быть выполнено путем оценки вероятности их возникновения и воздействия на проект. Качественный анализ рисков – быстрый и недорогой способ установки приоритетов – выполняется на протяжении всего жизненного цикла проекта и должен отражать все изменения, относящиеся к рискам проекта.

Количественный анализ рисков обычно выполняется для рисков, которые были квалифицированы в результате качественного анализа. При количественном анализе также оцениваются вероятности возникновения рисков и размеры ущерба/выгоды; здесь анализируются риски, имеющие высокие и умеренные ранги. Выбор методов анализа определяется для каждого проекта и зависит от наличия времени и от бюджета.

Исходной информацией для количественного анализа рисков служат:

· активы организационного процесса;

· описание содержания проекта;

· план управления рисками;

· план управления проектом.

Наиболее распространенным методом количественного анализа является анализ дерева решений.

Дерево решений – это графический инструмент для анализа проектных ситуаций, находящихся под воздействием риска. Дерево решений описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария. Дерево решений имеет пять элементов (рисунок 24).

Точки принятия решений – это моменты времени, когда происходит выбор альтернатив.

Точка случайного события (точка возникновения последствий) – момент времени, когда с тем или иным результатом наступает случайное событие.

Ветви – линии, соединяющие точки принятия решений с точками случайного события. Ветви, исходящие из точки принятия решений, показывают возможные решения, а линии, исходящие из узлов случайных событий, представляют возможные результаты случайного события.

Вероятности – числовые значения, расположенные на ветвях дерева и обозначающие вероятность наступления этих событий. Сумма вероятностей в каждой точке принятия решений равна 1.

Ожидаемое значение (последствия) – это расположенное в конце ветви количественное выражение каждой альтернативы.

Модель создается слева направо. Построение начинается с отображения точки принятия решения, имеющей вид квадрата. Из этой точки рисуют количество ветвей, равное числу проектных альтернативных решений. В конце каждой ветви рисуют кружок, обозначающий возникновение допустимого случайного события, из которого выходят две ветви – возможные результаты вероятностного события. Ветви дерева берут свое начало в точке принятия решений и разрастаются до получения конечных результатов. Путь вдоль ветвей дерева состоит из последовательности отдельных решений и случайных событий.

Дерево решений – инструмент, который позволяет наглядно провести анализ проектных решений, содержащих несколько путей решения. Такое определение данного метода дает возможность с полным основанием использовать его для принятий решений о продолжении и ходе развития проекта на шлюзах.

По итогам проведения качественного и количественного анализа риска необходимо выработать четкое представление о стратегиях, используемых для реагирования на каждый проектный риск.

Стратегия реагирования на риски – совокупность методов, которая будет использована для снижения негативных последствий или вероятности реализации идентифицированных рисков. Для каждого риска необходимо выбрать свою стратегию, которая обеспечит наиболее эффективную работу с ним.

Существует четыре типовые стратегии реагирования на появление негативных рисков: уклонение, передача, принятие и снижение.

1. Уклонение от риска

Стратегия состоит в полном исключении воздействия риска на проект за счет изменений характера проекта или плана управления проектом. Некоторых рисков, возникающих на ранних стадиях проекта, например, из-за отсутствия четкого определения требований заказчика, можно избежать, затратив дополнительное время и увеличив трудозатраты на их выявление. Однако эта стратегия не может полностью исключить риск.

2. Передача риска

Стратегия передачи риска также исключает угрозу риска путем передачи негативных последствий риска с ответственностью за реагирование на риск на третью сторону. Передача риска обычно сопровождается выплатой премии за риск стороне, принимающей на себя риск и ответственность за его управление. Сам риск при этом не устраняется. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте.

3. Принятие риска

Стратегия означает решение команды не уклоняться от риска. При пассивном принятии риска команда ничего не предпринимает в отношении риска и в случае его возникновения разрабатывает способ его обхода или исправления последствий. При активном принятии риска план действий разрабатывается до того, как риск может произойти, и называется планом действий в непредвиденных обстоятельствах.

4. Снижение риска

Стратегия снижения риска предполагает усилие, направленное на понижение вероятности и/или последствий риска до приемлемых пределов. В стратегии снижения используется включение в план проекта дополнительной работы, которая будет выполняться независимо от возникновения риска, как, например, проведение дополнительного тестирования функциональности информационной системы, разработка прототипа системы, дополнительное подключение к работе опытных сотрудников.

Сравнение стратегий реагирования на риски

Классификация рисковУклонение от рискаПередача рискаПринятие рискаСнижение последствий и вероятности возникновения риска
Риски, связанные с масштабом проектаРазделение проекта на несколько подпроектов. Сокращение функциональ-ного и географическо-го объема проектаРазделение проекта на несколько подпроектов, выделение пилотного проекта по подсистемам (ограниченного масштаба)Увеличение трудоемкости работ и стоимости проектаДетальный анализ каждого этапа работ, взаимодействие участников, организация работДетально проработанная программа качества, отработанное управление конфигурацией проекта, специальные процедуры взаимодействия участников
Риски, связанные с недостаточным опытом в сфере ИТРеализация только не технологичес-кой части проекта, передача технологичес-кой части проекта другой компанииСогласование с заказчиком большинства проектных документов, согласование всех изменений в функциональ-ности системыУвеличение трудоемкости работ и стоимости проектаПроведение обучения пользователей, включая руководство, соблюдение технологии работыРазработка и утверждение концепции проекта на возможно более ранней его стадии
Технические риски проектаИспользование более надежных технологичес-ких решенийДокументально зафиксирован-ная персональная ответствен-ность участников проекта, документаль-ное фиксирование всех изменений в процессе проектаУвеличение трудоемкости работ и стоимости проектаСтрогий отбор проектной команды по квалифика-ционным критериям. Обучение участников проекта технологии проектных работ, инструменталь-ным средствамИспользование стандартов предприятия для проектных работ, разработка стандартов проекта
Организационные риски проектаЗначительное сужение объема проекта и превращение его в чисто инфраструктур-ный технологичес-кий проектВключение представите-лей заказчика в рабочие группыУвеличение трудоемкости работ и стоимости проектаОбучение участников проекта (курс «управление проектом»), тренинги команды, как можно более полная формализация деятельностиВключение в команду администратора проекта, детальное распределение ролей в проекте
Операционные риски проектаИзменение модели оплаты компании-исполнителю: перевод на оплату по результату оценки качества реализованно-го решенияАкт сдачи заказчику любого документа. Фиксирование отсутствия претензий заказчика по каждому этапу работыУвеличение трудоемкости работ и стоимости проектаМногократное тестирование созданных продуктов, тщательная экспертиза документовСтрогое выполнение процедур программы качества

[1] PMI (Project Management Institute) – методология управления проектами Института управления проектами, Pennsylvania USA.

[2] ASAP (Acceler-ated SAP) – методология внедрения ERP-системы SAP R/3 компании SAP.

[3] PJM (Project Management) – методология внедрения ERP-системы Oracle Appications корпорации Oracle.

[4] SPICE (Software Process Improvement Capabilities and dEtermination) – оценка и улучшение процессов разработки ПО.

Не нашли то, что искали? Воспользуйтесь поиском:

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

  • ценность активов в денежном выражении;
  • полный список всех угроз ИБ с ущербом от разового инцидента по каждой угрозе;
  • частота реализации каждой угрозы;
  • потенциальный ущерб от каждой угрозы;
  • рекомендуемые меры безопасности, контрмеры и действия по каждой угрозе.

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Читать еще:  Систематический рыночный риск это
Ссылка на основную публикацию
Adblock
detector