- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
ТЕОРИЯ РИСКА
Лекция 1
Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
Не было бы риска - не было бы и прогресса.
В. В. Вересаев
Введение
Принимая то или иное решение, человек не всегда в состоянии однозначно оценить его последствия. Это относится и к бытовому поведению, и к профессиональной деятельности. Например, если он (или его предприятие) вкладывает деньги в некоторый проект, он рассчитывает на получение в будущем некоторого потока доходов. Однако ситуация может сложиться таким образом, что поток доходов может оказаться и больше, и меньше ожидаемого. В таких случаях говорят, что человек рискует, что риск может оправдаться, а может не оправдаться и т. д. Подчеркнем, что понятие риска непосредственно связано с принятием решения: тот, кто не принимает решения, не рискует, хотя и может столкнуться с непредвиденными обстоятельствами.
Принято различать два вида неоднозначности последствий принимаемого решения: риск и неопределенность.
Современная наука доказала: ситуация неопределенности — это норма жизни. И, значит, всегда есть шанс выбрать не тот вариант, не просчитать все последствия своих шагов. Особенно в образовании, где результаты деятельности педагога проявляются через много лет. Вероятностный характер окружающей нас действительности признают все. “Риск всегда появляется в тех случаях, когда нет полной ясности и определенности в обстановке, а решать и действовать необходимо без промедления. Можно сказать, что риск — неизбежный спутник любого решения, принимаемого человеком” .
Понятием «риск» пользуются многие науки, каждая из которых раскрывает специфику и своеобразие риска в конкретной области научного знания. Такой подход позволяет выделить экологический, психологический, социально-психологический, правовой, медико-биологический, экономический и другие аспекты феномена «риск». Такая многоаспектность объясняется тем, что риск - сложное явление, имеющее множество не совпадающих, а иногда и противоположных реальных оснований. Один из традиционных подходов связан с рассмотрением риска как меры предполагаемой неудачи, опасности применительно к конкретному виду деятельности. В разработках по проблемам риска закрепляется и активно используется понятие «группа риска», под которым понимают принадлежность человека к группе, подвергающейся опасности по одному или нескольким факторам риска.
Наука о риске необходима - это детище тех проблем, которые везде, которые нужны каждому, с другой стороны, общество не может жить без них и двигаться вперед. Необходимы общеконцептуальные представления, нужна наука о риске. Такой наукой является теория риска. Теория риска - наука о будущем, потому что она связана с прогнозными оценками, возможными исходами, грядущими катастрофами.
История понятия
У понятия «риск» довольно длинная история, пик изучения этого явления в мире приходится на конец XIX - начало XX века.
Для отечественной экономики проблема риска и его оценки не является новой: в 20-х годах нашего столетия был сформированы юридические предпосылки учета хозяйственных рисков. Но по мере становления административно-командной системы происходило уничтожение реальной предприимчивости, свойственной рыночным отношениям, и уже в середине 30-х годов к категории «риск» был привешен ярлык — буржуазная, капиталистическая. Упоминание и трактовка понятия «риск» полностью исчезли со страниц словарей и энциклопедий (например, энциклопедия «Политическая экономия», «Философская энциклопедия», словарь «Научно-технический прогресс», «Советский энциклопедический словарь» и др.).
Ориентация в течение длительного времени на преимущественно экстенсивное развитие народного хозяйства страны, чрезмерно высокая степень централизации управления, господство административных методов управления вели к тому, что обоснование эффективности хозяйственной деятельности в условиях плановой экономики и соответственно все технико-экономические обоснования проектов не только обходились без анализа рисков, но одной фразой подчеркивали их абсолютную нерискованность, что приводило к недоучету возможной многовариантности развития.
Отсюда понятны причины отсутствия устойчивого интереса к проблеме хозяйственного и социального риска.
В связи с вышеперечисленными фактами, сформировалось несколько взглядов на развитие науки о риске в доперестроечный период.
Сторонники первой точки зрения говорят об отсутствии научных и практических разработок в этой области – «в нашей экономической науке и практике хозяйствования… отсутствуют общепризнанные теоретические положения о хозяйственном риске», «фундаментальных исследований по существу нет». Объясняется подобное положение, во-первых, административными методами управления экономикой, когда попросту уничтожались предпосылки к оценке и анализу рисков. Во-вторых, как отмечено выше, на вопросах, связанных с рисками негативно сказалось усиление «идеологической борьбы с Западом».
Согласно второй точке зрения, проблема рисков не является для российских ученых абсолютно новой. Так, «в 20-х годах в России был принят ряд законодательных актов содержащих понятие производственно-хозяйственного риска. В выступлениях хозяйственных руководителей того времени звучали суждения о том, что от разрешения вопроса о риске будут зависеть темпы развития экономики страны» Отсутствие фундаментальных разработок в определенной степени компенсировалось развитием «математического аппарата рисков применительно к теории планирования экспериментов». Директивная экономика вела к тому, что приходилось «иметь дело с риском невыполнения государственного плана, нарушений договорных обязательств, недопоставок продукции и т.п».
Особенность этой позиции состоит в том, что проводившиеся исследования в области рисков были сильно деформированы командной системой и не учитывали большинство рисков, с которыми сталкивается хозяйствующий субъект в своей деятельности.
Проведение экономической реформы в Украине вызвало интерес к вопросам рассмотрения риска в хозяйственной деятельности, а сама теория риска в процессе формирования рыночных отношений не только получила свое дальнейшее развитие, но стала практически востребованной.