Читайте также:
|
На даному етапі слід скласти загальне уявлення про переваги і недоліки кількісного підходу до оцінки ризиків. У частині даного розділу, що залишилася, розглядаються деякі чинники і значення, які зазвичай визначаються при використанні кількісного підходу: вартості активів, витрати на елементи контролю і рівень повернення інвестицій в безпеку (УВІБ), а також розраховані значення очікуваного разового збитку (КРИЧУ), щорічної частоти виникнення (ЕЧВ) і очікуваного річного збитку (ОГУ). Приведений матеріал не містить повного опису всіх аспектів кількісної оцінки ризиків, а включає лише загальні відомості про цей підхід і демонструє, що числові показники, лежачі в основі всіх розрахунків, є суб'єктивними характеристиками.
97. Якісна оцінка ризиків.
Якісна оцінка ризиків. Якісний підхід до оцінки ризиків відрізняється від кількісного тим, що при використанні якісного підходу не потрібно визначати точні фінансові показники вартості активів, очікуваного збитку і вартості елементів контролю. Замість цього розраховуються відносні вартості. Як правило, аналіз ризиків виконується шляхом заповнення опитних листів і проведення спільних обговорень за участю представників різних груп організації, таких як експерти по інформаційній безпеці, менеджери і співробітники ІТ-підрозділів, власники і користувачі бізнес-активів і старші менеджери. Якщо використовуються опитні листи, то вони поширюються в строк від декількох днів до декількох тижнів до початку першого обговорення. Опитні листи покликані допомогти скласти перелік вже розгорнутих активів і елементів контролю. Зібрані відомості можуть виявитися дуже корисними при проведенні подальших обговорень. В ході обговорень учасники формують перелік активів і визначають їх відносні вартості. Після цього їм необхідно з'ясувати, з якими погрозами може зіткнутися кожен актив і які типи вразливих місць можуть бути використані цими погрозами в майбутньому. Як правило, ІТ-спеціалісти системні адміністратори пропонують групі управління ризиками безпеки перелік елементів контролю для зниження ризиків і вказують орієнтовну вартість кожного елементу контролю. Після закінчення результати надаються Стандарту компанії в ході аналізу вигод і витрат.
Як видно, основний процес оцінки якісних характеристик дуже схожий на процес, використовуваний в кількісному підході. Відмінності полягають в деталях. При порівнянні вартостей різних активів використовуються відносні значення, і учасникам не доводиться витрачати багато часу на спроби точно обчислити фінансові вартості активів. Аналогічна ситуація спостерігається при визначенні можливого впливу ризиків і витрат на реалізацію елементів контролю.
Переваги якісного підходу полягають в тому, що даний підхід висуває менше вимог до співробітників і дозволяє відмовитися від складних процедур визначення точної вартості активу, витрат на елемент контролю і тому подібне Проекти, засновані на якісному підході до управління ризиками, дозволяють добитися помітних результатів вже через декілька тижнів, тоді як організації, що використовують кількісний підхід, можуть не отримати скільки-небудь значних результатів, витрачаючи зусилля протягом місяців або навіть років. Недолік якісного підходу полягає в тому, що отримані результати не мають однозначної інтерпретації, а відносні величини, визначені в ході якісної оцінки ризиків, можуть не задовольняти деяких співробітників, відповідальних за ухвалення ділових рішень (особливо співробітників, що працюють у сфері обліку або фінансів).
Дата добавления: 2015-11-14; просмотров: 46 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Оценка достаточности (полноты) набора механизмов защиты | | | Інструментарій для управління ризиками. |