В. В. Андрианов

Обеспечение информационной безопасности бизнеса


Скачать книгу

и проиграть по искам. Эта практика растет.

      Минимизируя свои риски, государство совершенствует гражданско-правовую сферу, частично перенося тем самым свои риски на взаимодействующих субъектов. Кроме того, через уполномоченных органов-регуляторов государство вводит различные системы ограничений и отслеживает их исполнение субъектами деятельностей. Ограничения могут вводиться и непосредственно в виде законов. Можно выделить, хотя бы условно, два направления ограничений:

      а) требования (ограничения) на качество производимого продукта (услуги);

      б) ограничения на способ реализации деятельности (технологию).

      Очевидно, что прежде всего государство стремится минимизировать риски в зоне своей прямой ответственности: общественная, экономическая и иные виды безопасности; безопасность жизнедеятельности и т. д. Однако, вводя, например, экологические ограничения на бизнес, государство может увеличить нагрузку на бизнес и уменьшить свою нагрузку.

      Понятно, что ограничения, предъявляемые к качеству продукта, естественным образом отображаются в гражданско-правовую сферу, так как качество продукта есть один из предметов взаимодействия участвующих субъектов.

      Другое дело – ограничения в способе реализации деятельности. В общем случае потребителю продукта или услуги все равно, каким образом он был произведен. Поэтому для бизнеса такого рода ограничения есть дополнительные издержки, увеличивающие затраты и понижающие эффективность деятельности. Понятно, что если в совокупности такого рода издержек будет много, то бизнес станет неэффективным (убыточным) и будет свернут. Особенно плохо, когда ограничения на деятельность выражаются в виде некоторой обязательной технологии. Тогда субъект, сумевший решить проблему лучше и дешевле, все равно будет нарушителем, и к нему будут применены соответствующие санкции.

      В любом случае понятие ущерба и негативных последствий в рассматриваемой нами проблеме является фундаментальным и первичным. Если изначально понятие «ущерб» не формализовано как с точки зрения идентификации, так и оценки величины, то все дальнейшие рассуждения о его минимизации и избежании останутся умозрительными и вряд ли перейдут в практическую плоскость.

      1.3.5. Риск-ориентированный подход к обеспечению ИБ

      В общем случае риски определены на множествах факторов, влияющих на них. Эти множества могут пересекаться. Если от некоторого фактора зависят два или более рисков, то эти риски оказываются взаимозависимыми. Их значения будут коррелированны, поскольку изменение общего для них фактора приведет к одновременному изменению этих рисков. Эта ситуация иллюстрируется рис. 7, где в области факторов показаны пересекающиеся множества управляемых и неуправляемых факторов, от которых зависят разные виды рисков.

      Особенностью риска ИБ является то, что он зависит от большого количества факторов, множество которых в общем случае