Документ рассматривает управление рисками, определяя риск как характеристику ситуации с неопределенностью и возможными неблагоприятными последствиями. Он предлагает классификацию рисков, методы их анализа и управления, включая критические этапы принятия решений и применение различных подходов к риск-менеджменту. Также упоминается важность оценки финансовых потерь и других негативных последствий для организаций, а также необходимость адаптации методов к специфике каждой из них.

1. УПРАВЛЕНИЕ РИСКАМИЕрофеева ИринаМЭСИ

2. РискиОбычно говорят, что слово риск имеет французское происхождение. Однако, рисковать - лавировать между скалами – исконный итальянский глагол. В словаре Даля обсуждается два оттенка этого слова. В первом случае, рисковать значит пускаться наудачу, отважиться, отдать себя на волю случая, надеясь на счастье (отсюда - рискнем!). Во втором варианте, рисковать – подвергаться известной опасности, превратности, неудаче.

3. Определение рисковРиск в широком смысле - характеристика ситуации, имеющей неопределенность исхода, при обязательном наличии неблагоприятных последствий (это неуверенность или невозможность получения достоверного знания о благоприятном исходе при указанных ограничениях).

4. Классификация рисковДля качественного анализа рисков, который затем позволит провести идентификацию и оценку рисков, а также разработать методы управления ими, необходимо провести распределение рисков по группам на основе классификационных критериев. Однако классификация рисков часто зависит от цели исследования.

5. РешениеРешение - одна из главных составляющих любого управления. Классификация решений по управлению рисками позволяет выделить характерные для них особенности, предусмотреть возможность снижения рисков при принятии решений.По области принятия могут быть выделены:Эти виды решений тесно связаны друг с другом и так же виляют друг на друга.

6. Снизить риск возможно на этапах:

7. Действия По отношению к риску могут проводиться следующие действия снижение, компенсация ущерба, предупреждение, поглощение.

8. Риск-менеджментДля предприятия в равной мере важно управлять финансовыми,

9. политическими,

10. кадровыми рисками,

11. технологическими,

12. обеспечивать противопожарную безопасность, управлять действиями в условиях

13. чрезвычайных ситуаций,

14. экологическую защиту и др.Управление рисками должно входить в общеорганизационный процесс управления, следует разработать свою стратегию и тактику эффективного управления рисками. Так же, важно не только реализовывать управление рисками, но и периодически пересматривать мероприятия и средства такого управления.Риск-менеджмент как и любой менеджмент, должен включать планирование, мотивацию, организацию и контроль.

15. Подходы к анализу рисковПолный вариантБазовый вариантрассматривается стандартный набор наиболее распространенных угроз без оценки их вероятности и обеспечивается минимальный или базовый уровень ИБ. применяется в случае повышенных требований к ИБ. Оцениваются ресурсы, характеристики рисков и уязвимостей. Как правило, проводится анализ соотношения стоимость/эффективность нескольких вариантов защиты.

16. Риск характеризует опасность, которой может подвергаться система и использующая ее организация.Степень риска зависит от ряда факторов:ценности ресурсов;вероятности реализации угроз;простоты использования уязвимости для реализации угроз; существующих или планируемых к внедрению средств обеспечения ИБ, которые уменьшают число уязвимостей,

17. вероятность возникновения угроз и возможность негативных воздействий.Риски в организацииЦели которые в первую очередь следует поставить : максимально уменьшить длительность обнаружения возможных рисков; увеличить скорость реагирования на риски, развитие мобильности

18. Технология анализа рисковВ табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей.Вот пример одного из таких методов.

19. Технология анализа рисковПри ситуационном риск-менеджменте алгоритм принятия решений может включать следующие стадии: обнаружение (контроль) риск-проблемы;сбор информации о рисках, вредных факторах, уязвимости в конкретной ситуации;отображение информации в удобном для анализа виде;анализ информации о рисках ситуации (источники, объекты риска; возможные управляющие воздействия; прогноз их эффективности);диагностика проблемы и ранжирование рисков ситуации;определение целей управления риском в конкретной си­туации с учетом располагаемых ресурсов;разработка критерия оценки эффективности управления рисками в конкретной ситуации;верификация и оценка вариантов риск-решений;принятие, оформление, доведение до исполнителей, исполнение, контроль выполнения решений.

20. Технология анализа рисков При социально-этическом менеджменте алгоритм принятия решений будет заключаться в недопущении непоправимого воздействия на объекты и субъекты менеджмента. Одним из вариантов такого алгоритма будет:сбор информации относительно: источников риска, их физической природы, частоты, состояния и уязвимости объекта управления, располагаемых управляющих воздействий, пара­метров недопустимых состояний объекта управления;анализ этой информации;диагностика риск-проблемы;определение целей управления при решении проблемы;разработка критерия оценки катастрофического (недопустимого) состояния; разработка критерия оценки эффективности управления рисками;

21. генерация перечня возможных управляющих риском воздействий;

22. прогноз последствий каждого из управляющих риском воздействий;

23. оценка того, являются ли допустимыми последствия при каждом из располагаемых воздействий.Виды рисков в информационных системахКроме критериев, учитывающих финансовые потери, коммерческие организации могут применять критерии, отражающие: ущерб репутации организации;

24. неприятности, связанные с нарушением действующего законодательства;

25. ущерб для здоровья персонала;

26. ущерб, связанный с разглашением персональных данных отдельных лиц;

27. финансовые потери от разглашения информации;

28. финансовые потери, связанные с восстановлением ресурсов;

29. потери, связанные с невозможностью выполнения обязательств;

30. ущерб от дезорганизации деятельности.Могут использоваться и другие критерии в зависимости от профиля организации. К примеру, в правительственных учреждениях прибегают к критериям, отражающим специфику национальной безопасности и международных отношений.

31. СПАСИБО ЗА ВНИМАНИЕ