Чем отличаются риски от угроз
Перейти к содержимому

Чем отличаются риски от угроз

  • автор:

Чем отличаются риски от угроз

Скачай курс
в приложении

Перейти в приложение
Открыть мобильную версию сайта

© 2013 — 2024. Stepik

Наши условия использования и конфиденциальности

Get it on Google Play

Public user contributions licensed under cc-wiki license with attribution required

Определение угроз и рисков

В нашей повседневной жизни, мы постоянно пользуемся такими словами как: риск, угроза, опасность. Для простого обывателя это, практически слова — синонимы. Сегодня мы попробуем разобраться с данными терминами.
Следует отметить, что употребление термина «риск» в значении «угроза» широко распространено.

Обращаю Ваше внимание на то, что однозначных и универсальных определений риска, как и угрозы, пока не дано. Термины эти являются жертвой своей популярности; словари, монографии и статьи дают широкое многообразие определений, описаний и формул. Ряд исследователей вообще отрицает связь между различными вариантами определений.
Не существует общепризнанных научно разработанных понятий «угроза» и «риск». В «Толковом словаре» С.И. Ожегова записано: «Угроза — обещание причинить кому-нибудь вред, зло».

В.И.Даль толковал угрозу как действие или намерение «угрожать, грозить, стращать, наводить опасность либо опасение, держать под страхом, под опаскою, пригражать».
Мы будем пользоваться следующими определениями.

Угроза — объективный, т.е. внешний мало (не) контролируемый агентом тренд, событие, влекущее за собой опасность потерь, ущерба, вреда или воспринимаемое как таковое.
Коротко, угроза — это возможная опасность.

Риск — возможность нежелательного события, потери, недостижения ожидаемых результатов деятельности агента или отклонений от них. Он связан с угрозами через фактор неопределенности, но непосредственно характеризует ситуацию через призму действий (или бездействия) самого агента. Интуитивной мерой оценки риска служит опасение. Риск часто связан с ситуацией выбора: между привлекательным, но менее надежным вариантом и менее привлекательным, но более надежным, а следовательно, с принятием решений в условиях выбора.

Угроза — основополагающее понятие в сфере обеспечения безопасности.
Угроза это сочетание факторов и условий, возникающих в процессе взаимодействия различных объектов, которые могут оказать негативное воздействие на объект безопасности.
Угрозы экономической безопасности могут быть самыми разными.

Негативные воздействия от угроз различаются по характеру наносимого вреда:
— степень изменения свойств объекта;
— возможность ликвидации последствий угрозы.

Выделяются два наиболее важных типа угроз:
1. Намерение нанести вред (умысел);
2. Возможность нанесения вреда, т.е. наличие сил и средств.

Особенностью первого типа угроз является неопределенность, желание есть, но будет ли возможность.
А вот возможность нанесения вреда может быть осуществлена только самими субъектами угроз.
Между угрозой и опасностью нанесения вреда существует прочная причинно-следственная связь.

Угроза всегда порождает опасность. Опасность можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту.
Но, главным отличие между угрозой и опасностью является то, что опасность является свойством объекта безопасности и характеризует его способность противостоять проявлению угроз, а угроза — свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно — следственную связь не только с понятием опасности, но и с возможным вредом как следствием негативного изменения условий существования объекта. Возможность нанесения вреда определяет величину опасности.

И, в соответствии со всем вышесказанным, делаем вывод, что безопасность предприятия можно рассматривать, как состояние защищенности от угроз.
Декларируемая в нашей стране рыночная экономика, не исключает регулирования государством экономических отношений, касается это и вопросов экономической безопасности. Экономическая безопасность является гарантом стабильности функционирования предприятия. Его устойчивости, конкурентоспособности на рынке. Экономическая устойчивость охраняется как от прямых, так и от потенциальных посягательств. Количеством принимаемых нашим правительством нормативных актов показывает, что проблема очень серьезная.

Но, как бы мы не ограждали наши предприятия от всех риском, угроз и опасностей, всегда следует помнить, что самое слабое звено в структуре безопасности – это человек. Можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.

Свидетельство о регистрации средства массовой информации ЭЛ №ФС77-71176 от 27 сентября 2017 г.Выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).Учредитель – ООО «Конкурентные технологии». Главный редактор — Бикеев А.И. Адрес редакции: 191124, Санкт-Петербург, ул. Орловская, д.1, лит. А, пом. 21-Н, каб. 4. email: konkir-project@yandex.ru. телефон: +7 812 33 111 33

&copy 2024, ООО «Конкурентные технологии»

При любом перепечатывании материалов ссылка на портал обязательна. Мы уважаем права на интеллектуальную собственность других лиц. Если у вас есть основания полагать, что ваши авторские права нарушаются любым содержимым нашего портала, отправьте письменное уведомление о таком нарушении по адресу info@konkir.ru, с пометкой «вниманию главного юриста».

Соотношение и взаимосвязь понятий «вызов», «опасность», «угроза», «риск» Текст научной статьи по специальности «Экономика и бизнес»

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Сушкова Ирина Алексеевна

В статье рассматривается необходимость понимания чёткой последовательности категорий « вызов », « опасность », « угроза » и « риск » в процессе изучения экономической безопасности . Автор формулирует свою позицию по исследуемой проблеме.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Сушкова Ирина Алексеевна

Классификация угроз в рамках стратегии экономической безопасности Таджикистана
Категории «Вызов», «Опасность», «Угроза» в теории национальной безопасности
Экономическая безопасность России: теоретический и практический Ренессанс системного подхода

Индикация экономической безопасности приграничного региона в условиях геоэкономической турбулентности (на примере Ростовской области)

Исторический аспект уголовно-правовой охраны экономической безопасности Российского государства
i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The article discusses the need to understand a clear sequence of categories “ challenge ”, “ danger ”, “ threat ” and “ risk ” in the process of studying economic security . The author formulates his position on the problem.

Текст научной работы на тему «Соотношение и взаимосвязь понятий «вызов», «опасность», «угроза», «риск»»

СООТНОШЕНИЕ И ВЗАИМОСВЯЗЬ ПОНЯТИЙ «ВЫЗОВ», «ОПАСНОСТЬ», «УГРОЗА», «РИСК»

CORRELATION OF THE CONCEPTS «CHALLENGE», «DANGER», «THREAT», «RISK»

Сушкова Ирина Алексеевна

Sushkova Irina Alekseevna

кандидат экономических наук, доцент, доцент кафедры экономической безопасности, Саратовский социально-экономический институт (филиал) РЭУ им. Г.В. Плеханова, г. Саратов

Cand. Sc. (Economics), associate professor of the Department of Economic Security, Saratov socio-economic institute (branch) of Plekhanov Russian University, Saratov

В статье рассматривается необходимость понимания чёткой последовательности категорий «вызов», «опасность», «угроза» и «риск» в процессе изучения экономической безопасности. Автор формулирует свою позицию по исследуемой проблеме.

Ключевые слова: безопасность, экономическая безопасность, вызов, опасность, угроза, риск, стратегическое планирование.

Изучение основ экономической безопасности, путей, методов, способов и инструментов обеспечения её необходимого и достаточного уровня предполагает чёткость теоретических позиций, строгость определений, а также понимание сути категорий «вызов», «опасность», «угроза» и «риск». Иными словами, процесс изучения экономической безопасности предполагает чёткость в определении понятий и терминов, свободных от политической и идеологической конъюнктуры.

Анализ достаточно большого количества научных публикаций позволяет с определённой долей уверенности утверждать, что до настоящего времени в теории и практике отсутствует единое понимание сущности и содержания рассматриваемых категорий. Предлагаемые в различных нормативных правовых документах и научных публикациях определения зачастую противоречат друг другу, внося определённую путаницу в процесс изучения экономической безопасности.

Реализация одного из ключевых принципов обеспечения безопасности, закреплённых в Федеральном законе «О безопасности» (п. 4. ст. 2), — принципа приоритета предупредительных мер для целей обеспечения безопасности —

The article discusses the need to understand a clear sequence of categories «challenge», «danger», «threat» and «risk» in the process of studying economic security. The author formulates his position on the problem.

Keywords: security, economic security, challenge, danger, threat, risk, strategic planning.

предполагает усиление активности в области выявления и предупреждения формирования угроз в области экономической и национальной безопасности.

При этом анализ действующих законодательных и нормативных правовых документов позволяет утверждать, что до сих пор отсутствует чёткое соотношение понятий «вызов», «опасность», «угроза» и «риск». Этот вопрос является достаточно актуальным в научных исследованиях и публикациях в рамках изучения теории экономической безопасности.

Исследование определений рассматриваемых категорий имеет не только теоретическое, но серьёзное практическое значение. Так, в области обеспечения необходимого уровня экономической безопасности на макро-, мезо- и микроуровнях данные категории оказывают влияние на целый ряд практических вопросов решаемых в процессе формирования документов стратегического планирования.

В действующем национальном законодательстве рассматриваемые нами понятия не всегда употребляются логично и бесспорно. К примеру, в ст. 14 Федерального закона «О безопасности» достаточно интересно сформулирована одна из задач Совета безопасности Рос-

сийской Федерации: «прогнозирование, выявление, анализ и оценка угроз безопасности, оценка военной опасности и военной угрозы, выработка мер по их нейтрализации». Возникает справедливый вопрос — почему в рамках реализации своих задач Совет безопасности занимается оценкой военной угрозы и военной опасности, а в рамках иных видов национальной безопасности, в том числе и экономической, только угроз?

Такие противоречия и определяют необходимость осуществления комплексного анализа соотношений категорий «вызов», «опасность», «угроза» и «риск»

Можно говорить, что из всех понятий в российском законодательстве наиболее часто встречается понятие «угроза», это единственное понятие, содержащееся в Конституции Российской Федерации (ч. 3 ст. 41 и ч. 2 чт. 87).

В Федеральном законе «О безопасности» деятельность по обеспечению безопасности включает «прогнозирование, выявление, анализ и оценку угроз безопасности».

Впервые определение категории «угроза» было закреплено в «Стратегии национальной безопасности Российской Федерации» как совокупность определённых факторов и условий, обуславливающих возможность нанесения ущерба национальным интересам. Однако определение категорий «вызов», «опасность» и «риск» в этом документе отсутствует.

В 2017 г. была утверждена «Стратегия экономической безопасности Российской Федерации на период до 2030 года», в ст. 7 которой закреплены следующие определения: «вызовы экономической безопасности — совокупность факторов, способных при определённых условиях привести к возникновению угрозы экономической безопасности; «угроза экономической безопасности» — совокупность условий и факторов, создающих прямую или косвенную возможность нанесения ущерба национальным интересам Российской Федерации в экономической сфере; «риск в области экономической безопасности» — возможность нанесения ущерба национальным интересам Российской Федерации в экономической сфере в связи с реализацией угрозы экономической безопасности». Тем не менее, в этом документе отсутствует определение понятия «опасность».

Определение данного понятия закреплено в ст. 8 Военной доктрины Российской Федерации как «состояние межгосударственных или внутригосударственных отношений, характе-

ризуемое совокупностью факторов, способных при определённых условиях привести к возникновению военной угрозы».

В последние годы большое внимание в области обеспечения экономической безопасности уделяется использованию категории «риск».

Эта категория достаточно активно используется в менеджменте — риск-менеджмент рассматривается в качестве отрасли научного управления, задачи которого заключаются в использовании специальных методов снижения риска и стабилизации финансовой прибыли в условия воздействия негативных факторов.

В современном таможенном законодательстве закреплено понятие «система управления рисками» (Глава 50 «Система управления рисками, применяемая таможенными органами»). В ст. 376 закреплены понятия: «анализ риска», «идентификация риска», «индикатор риска», «меры по минимизации рисков», «область риска», «оценка риска», «профиль риска», «управление рисками», «уровень риска» и т. д. [7] При этом сам риск понимается как «степень вероятности».

Анализ научных публикаций показывает, что понятия «вызов», «опасность», «угроза» и «риск» зачастую отождествляются. Такая ситуация объясняется выражаемым этими понятиями общим значением — причинением ущерба. Это приводит к несколько искажённой оценке реальности и в конечном итоге уводит от существа проблемы в процессе формирования документов стратегического планирования.

Справедливым будет признать, что соотношение рассматриваемых нами понятий на данный момент остаётся открытым вопросом.

С методологической и практической точек зрения категории «вызов», «опасность», «угроза» и «риск» применяются в ходе описания процессов, происходящих в сфере функционирования системы экономической безопасности, следовательно, их объективное исследование должно осуществляться не в отдельности, а в тесной взаимосвязи с объектом и субъектом безопасности.

С этой точки зрения правильным будет утверждать, что категории «вызов», «опасность», «угроза» и «риск» не существуют сами по себе, но существуют некие негативные явления и факторы, воздействие которых на экономическую систему следует воспринимать с точки зрения экономической безопасности, следовательно, формируется необходимость опреде-

ления критериев, дающих возможность объективно и эффективно фиксировать различные аспекты взаимодействия рассматриваемых понятий.

Проведённый анализ нормативных правовых актов, документов стратегического планирования, а также достаточно большого объёма научных публикаций даёт возможность предложить определённую последовательность исследуемых понятий:

Вызов ^ Опасность ^ Угроза ^ Риск

Необходимо учитывать, что каждое из перечисленных понятий описывает конкретные явления, процессы и действия, а значит, для понимания их сути необходимо изучать их не в изоляции друг от друга, а во взаимосвязи с субъектами и объектами системы экономической безопасности, вне которых эти понятия утрачивают определённость.

Всё вышеперечисленное подтверждает необходимость определения места рассматриваемых категорий в национальной системе экономической безопасности и различий между ними.

Высокой актуальностью обладают вопросы тщательного изучения места категории «риск» в системе обеспечения экономической безопасности, а также определения различий между категориями «вызов», «опасность», «угроза» и «риск».

Основой для решения этой задачи является выделение основных признаков, присущих каждой из этих категорий.

Вызов представляет собой некую совокупность определённых обстоятельств, не обязательно обладающих конкретно угрожающим характером, но предполагающим обязательное реагирование на их возникновение. Категория «вызов», по сути, представляет собой начальную стадию формирования угрозы [1, с. 86]. Вызов следует определять как определённую совокупность явлений и процессов, которые в конкретный момент времени не оказывают влияние на уровень обеспечения экономической безопасности, однако в случае отсутствия реакции на их возникновение обеспечение высокого уровня экономической безопасности в последующие периоды представляется весьма проблематичной.

Таким образом, можно утверждать, что категория «вызов» является первичной составляющей взаимозависимости «опасность « безопасность»

Опасность представляет собой совокупность субъективных и объективных негативных факторов, осознаваемых, но не обладающих критической вероятностью причинения ущерба [5, с. 37-38].

Опасность должна рассматриваться как объективно существующая возможность оказания негативного воздействия, результатом которого будет снижение уровня экономической безопасности.

Основной определяющей характеристикой категории «опасность» является её потенциальный характер, то есть при наступлении «угрозы» опасность исчезает как таковая.

Угроза — наиболее конкретная и непосредственная форма опасности в экономической сфере, она представляет собой совокупность негативных условий и факторов, формирующих возможность снижения уровня экономической безопасности.

Риск — возможность нанесения ущерба экономической системе в связи с реализацией угрозы экономической безопасности.

Следует понимать, что риск предполагает наличие определённых ограничений в процессе допускаемых действий, связанных с тем, что невозможно заранее с высокой долей достоверности определить, в какой мере скажутся те либо иные действия на уровень экономической безопасности.

Вполне очевидно, что «вызов», «опасность», «угроза» и «риск» являются понятиями, различающимися, но достаточно тесно связанными друг с другом.

Необходимо понимать, что существует различие между разговорным и научным пониманием определения категории «риск».

В Толковом словаре русского языка понятие «риск» трактуется как «возможность опасности, неудачи» [7, с. 679].

В Современном экономическом словаре понятие «риск» определяется как «опасность формирования непредвиденных потерь ожидаемой прибыли. » [8, с. 339].

Эксперты Института социологии РАН [3, с. 35] отмечают, что в своевременной разговорной речи, а также в публицистике категория «риск» используется взамен категории «опасность». Причина такой ситуации — на разговорном уровне категория «риск» трактуется широко и однобоко, исключительно с точки зрения возможности потерь, без указания иных существенных черт, характеризующих данную категорию. Причём такая тенденция

отразилась в некоторых научных публикациях, рассматривающих вопросы обеспечения экономической безопасности.

Для целей выяснения соотношения категорий «вызов», «опасность», «угроза» и «риск» необходимо выделить общие признаки для вех категорий и особенные признаки для каждой из них.

В этом случае вполне очевидным является то, что общим признаком между рассматриваемыми категориями является ущерб, а точнее способность и возможность нанесения ущерба как всей национальной экономической системе, так и её субъектам. Другими словами -объединяющим (общим) признаком для всех категорий являются негативные последствия, составляющие ущерб.

Особенные признаки исследуемых нами понятий следует рассматривать с точки зрения их различий: во-первых, с точки зрения воздействия объективных и субъективных факторов; во-вторых, с точки зрения конкретной адресности воздействия как на субъект, так и на объект экономической безопасности; в-третьих, с точки зрения реальности нанесения ущерба.

Для подтверждения данного тезиса целесообразным будет обратить внимание на отличия определения категории «риск» от других категорий.

В первую очередь, категория «риск», в отличие от иных категорий, является характеристикой возможности избежать ущерба либо его минимизировать. К большому сожалению, анализ большого количества учебных пособий по экономической безопасности показывает, что в них данному обстоятельству не уделяется достаточного внимания.

Так, в двух изданиях учебника «Экономическая безопасность России» под редакцией академика В.К. Сенчагова рассматривается исключительно категория «угроза» [10; 11].

Это справедливо и для учебных пособий под редакцией Л.П. Гончаренко и Ф.В. Акули-нина [9].

В монографии О.А. Мироновой «Налоговая безопасность» рассматриваются категории «угроза» и «риск». Однако в монографии отсутствует общее определение категории «угроза», о категории «риск» говорится, что она вторична по отношению к угрозе [6].

В учебнике «Основы экономической безопасности» под редакцией Н.Н. Карзаевой утверждается, что «под угрозой с точки зрения

безопасности следует понимать совокупность факторов и условий, способствующих реализации опасности для конкретного объекта в определённый момент времени. В безопасности существует ещё одно понятие риск. Риск как категория рассматривается в связи с различными областями деятельности» [4, с. 11].

В подавляющем большинстве случаев отсутствует систематизация категорий «вызов», «опасность», «угроза» и «риск», основное внимание сосредоточено на способности определённых негативных факторов (угроз) нанести ущерб, но не на возможностях преимущества принятия (снижения) риска для достижения поставленной цели.

Таким образом, с определённой долей уверенности можно утверждать, что «узость» понимания категории «риск» выхолащивает её сущность.

Необходимо понимать, что субъект системы обеспечения экономической безопасности для целей нейтрализации либо минимизации последствий воздействия некоего негативного фактора (угрозы) идёт на «риск», надеясь повысить уровень безопасности в сравнении с существующим. А «опасность» характеризует исключительно потенциальную возможность нанесения ущерба.

Ещё один немаловажный фактор — категории «вызов», «опасность» и «угроза» связаны с воздействием внешних факторов, а категория «риск» связана с возможностью нанесения ущерба, который возникает как результат действий самого субъекта системы обеспечения финансовой безопасности. При этом сам субъект самостоятельно регулирует свои действия, следовательно, снижает либо повышает степень ущерба.

Представляется справедливым говорить, что смысл, заключённый в определении категории «риск», требует исследования соотношения его с категориями «вызов», «опасность» и «угроза».

Безусловно, неотъемлемой частью системы определения уровня экономической безопасности являются анализ и оценка «вызовов», «опасностей», «угроз», а оценка и принятие «рисков» является основой для формирования документов стратегического планирования.

Необходимо отметить, что на современном этапе вызовы, опасности и угрозы достаточно полно раскрыты в Стратегии национальной и Стратегии экономической безопасности Рос-

сии, а риски в этих документах практически не раскрыты.

Важным является понимание того, что категория «риск» сложноприменима для характеристики явлений и процессов, происходящих в сфере экономической безопасности, но может эффективно применяться для целей характеристики объекта обеспечения экономической безопасности.

Этот тезис подтверждается выводами, сделанными экспертами Института социологии РАН [2, с. 740], которые утверждают, что категория «риск» предполагает определённое действие (управление), а другие категории предполагают исключительно возможность (способность) нанесения ущерба, но не формируют возможность по нейтрализации либо минимизации ущерба.

С учётом рассмотренных позиций наиболее информативной с точки зрения изучения процесса обеспечения экономической безопасности будет взаимосвязь, описанная блок-схемой (см. рис.).

связей категории «риск» и другими категориями. Причём негативные последствия реализации риска предполагают сохранение угрозы, позитивные последствия — её нейтрализацию, либо, в худшем варианте, снижение последствий такой угрозы.

Представленная информация позволяет утверждать, что по своей сути категории «вызов», «опасность», «угроза» и «риск» следует рассматривать в качестве неких элементарных составных частей в теории и практике обеспечения эффективного функционирования системы обеспечения экономической безопасности.

Необходимо понимать, что вызовы и угрозы возникают как результат воздействия внешних и внутренних факторов, угрозы формируются как результат воздействия вызовов и опасностей, а риски принимаются как способ нейтрализации либо снижения последствий угроз.

Понимание сути рассматриваемых категорий обеспечит чёткость в определении терми-

Соотношение категорий «вызов», «опасность», «угроза», «риск»

Соотношение категорий «вызов», «опасность», «угроза», «риск»

Предлагаемая взаимосвязь позволяет исключить некую противоречивость логического и действительного, заключающуюся в том, что категория «риск» обладает большим содержанием и меньшим объёмом в сравнении с категориями «вызов», «опасность» и «угроза».

Анализ информации в представленной блок-схеме иллюстрирует наличие обратных

нов не только в изучении вопросов экономической безопасности, но и в процессе практического обеспечения её высокого уровня.

В заключение необходимо отметить, что формирование согласованных взглядов на определение сути категорий «вызов», «опасность», «угроза» и «риск» позволит обеспечить высокую эффективность теоретико-методологического и практического обоснования процесса изучения экономической безопасности.

1. Безопасность Евразии: 2002 // Энциклопедический словарь — ежегодник. М. : Книга и бизнес, 2003.

2. Брега А.В. Риск в системе категорий, характеризующих антитезу национальной безопасности // Национальная безопасность: научное и государственное управленческое содержание : матер. Всеросс. науч. конф. М. : Научный эксперт, 2010. С. 737-753.

3. Брега А.В. Управление политическим конфликтом // Гуманитарные науки. Вестник Финансового университета. 2014. № 1 (13). С. 33-37.

4. Карзаева Н.Н. Основы экономической безопасности : учебник. М. : ИНФРА-М, 2017.

5. Кортунов С. В. Становление политики безопасности: Формирование политики национальной безопасности России в контексте глобализации. М. : Наука, 2003.

6. Налоговая безопасность: монография / под ред. О.А. Мироновой. М. : ЮНИТИ-ДАНА : Закон и право, 2017.

7. Ожегов С.И., Шведова И.Ю. Толковый словарь русского языка: 80 000 слов и фразеологических выражений / Российская академия наук. Институт русского языка им. В.В. Виноградова. 4-е изд., доп. М. : Азбуковник, 1999.

8. Райзберг Б.А., Лозовский Л.Ш., Стародубцева

Е.Б. Современный экономический словарь. 4-е изд. пре-рераб. и доп. М. : ИНФРА-М, 2004.

9. Экономическая безопасность : учебник для вузов/ под общ. ред. Л.П. Гончаренко, Ф.В. Акулинина. М. : Юрайт, 2016.

i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

10. Экономическая безопасность России: Общий курс : учебник / под ред. В.К. Сенчагова. 2-е изд. М. : Дело, 2005.

11. Экономическая безопасность России: Общий курс : учебник / под ред. В.К. Сенчагова. 5-е изд. М. : БИНОМ, 2015.

1. (2003) Bezopasnost’ Evrazii : 2002 [Security of Eurasia] // Ehnciklopedicheskij slovar’ — ezhegodnik. Moscow : Kniga i biznes.

2. Brega A.V. (2010) Risk v sisteme kategorij, harakteri-zuyushchih antitezu nacional’noj bezopasnosti [Risk in the category system characterizing the antithesis of national se-curity]// Nacional’naya bezopasnost’: nauchnoe i gosudarst-vennoe upravlencheskoe soderzhanie : mater. Vseross. nauch. konf. Moscow : Nauchnyj ehkspert. P. 737-753.

3. Brega A.V. (2014) Upravlenie politicheskim konflik-tom [Political conflict management] // Gumanitarnye nauki. Vestnik Finansovogo universiteta. № 1 (13). P. 33-37.

4. Karzaeva N.N. (2017) Osnovy ehkonomicheskoj bezopasnosti [Basics of Economic Security] : uchebnik. Moscow : INFRA-M.

5. Kortunov S.V. (2003) Stanovlenie politiki bezopas-nosti: Formirovanie politiki nacional’noj bezopasnosti Rossii v kontekste globalizacii [Formation of security policy: Formation of the national security policy of Russia in the context of globalization]. Moscow : Nauka.

6. (2017) Nalogovaya bezopasnost’ : monografiya [Tax security : monograph] / pod red. O.A. Mironovoj. Moscow : YUNITI-DANA : Zakon i pravo.

7. Ozhegov S.I., Shvedova I.Yu. (1999) Tolkovyj slovar’ russkogo yazyka: 80 000 slov i frazeologicheskih vyrazhenij [Explanatory dictionary of the Russian language: 80,000 words and phraseological expressions ] / Rossijskaya aka-demiya nauk. Institut russkogo yazyka im. V. V. Vinogradova. 4-e izd., dop. Moscow : Azbukovnik.

8. Rajzberg B.A., Lozovskij L.Sh., Starodubceva E.B. (2004) Sovremennyj ehkonomicheskij slovar’ [Modern Economic Dictionary]. 4-e izd. prererab. i dop. Moscow : IN-FRA-M.

9. (2016) Ehkonomicheskaya bezopasnost’ : uchebnik dlya vuzov [Economic security: a textbook] / pod obshch. red. L.P. Goncharenko, F.V. Akulinina. Moscow : Yurajt.

10. (2005) Ehkonomicheskaya bezopasnost’ Rossii: Ob-shchij kurs : uchebnik [Economic security of Russia: General course: textbook] / pod red. V.K. Senchagova. 2-e izd. Moscow : Delo.

11. (2015) Ehkonomicheskaya bezopasnost’ Rossii: Ob-shchij kurs : uchebnik [Economic security of Russia: General course: textbook] / pod red. V.K. Senchagova. 5-e izd. Moscow : BINOM.

Риски VS Угрозы

Если вы занимаетесь информационной безопасностью, то живете в мире рисков, угроз и уязвимостей, используете эти понятия повседневно. Мы часто подменяем эти понятия, в результате чего не всегда видна грань между тем, что такое риск, а что угроза информационной безопасности.

С одной стороны мы строим модели угроз, следуя отечественной регуляторике, а с другой создаем реестры и планы обработки рисков, ориентируясь на международные стандарты по СМИБ .

Как риски связаны с угрозами, это разные вещи или одно и то же? — рассмотрим в статье.

Если коротко — угроза это часть риска, но давайте разберем.

У понятия риск существует множество определений, только в стандартах и нормативах по информационной безопасности на русском языке их нашлось 6 штук.

Определения риска информационной безопасности

Существуют различные определения риска, вот часть из них:

риск (risk): Сочетание вероятности события и его последствий

ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем

Риск нарушения безопасности сети электросвязи: Вероятность причинения ущерба сети электросвязи или ее компонентам вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости в сети электросвязи.

ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения

Риск информационной безопасности (information security risk): Потенциальная возможность того, что уязвимость будет использоваться для создания угрозы активу или группе активов, приводящей к ущербу для организации.

ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Риск — влияние неопределенности на цели.
Влияние — это отклонение от ожидаемого — положительное или отрицательное.
Неопределенность — это состояние, даже частичное, недостатка информации, относящейся к событию, его последствиям или вероятности, пониманию или знанию о нем.
Риск часто характеризуется ссылкой на потенциальные «события» и «последствия» или их комбинацию.
Риск часто выражается в виде комбинации последствий события (включая изменения обстоятельств) и связанной с ними «вероятности» наступления.
В контексте систем менеджмента информационной безопасности риски информационной безопасности могут быть выражены как влияние неопределенности на цели информационной безопасности.
Риск информационной безопасности связан с возможностью того, что угрозы будут использовать уязвимости информационного актива или группы информационных активов и тем самым причинить вред организации.

ГОСТ ИСО/МЭК 27000-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Примечание — Определяется как сочетание вероятности события и его последствий.

ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

риск: Сочетание вероятности нанесения ущерба и тяжести этого ущерба.

ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты

Чуть конкретнее обстоят дела с понятиями угроза и уязвимость

угроза (threat): Потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации.

угроза безопасности информации: Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

угроза (threat): Потенциальный источник опасности, вреда и т.д.

Определения уязвимости

уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

уязвимость (информационной системы); брешь: Свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Уязвимость: недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.

Из этих определений можно сделать один простой но важный вывод — нет единого общепринятого определения для таких ключевых в отрасли информационной безопасности понятий как риск и угроза. Следовательно, верным или ошибочным суждение о них будет исходя лишь из той регуляторики и терминологии, на базе которой ведется спор.

Но в целом если отойти от формулировок то просматривается и закономерность в определениях, позволю себе ее выявить и обобщить:

Риск это возможность реализации угрозы через использование уязвимости в активе.

Таким образом риск, технически, это ничто иное как комбинация 3х сущностей:

Риск = Угроза + Уязвимость + Актив

  • Угроза – что то плохое
  • Уязвимость – особенность актива
  • Актив – любой объект

Если совсем уж перефразировать, то можно сказать что риск это когда что то плохое происходит из за какой то особенности чего то.

При таком расщеплении на атомы все становится на свои места, ясна связь между угрозами и рисками безопасности.

Угроза просто описывает нам что-то плохое, в то время как Риск еще сообщает из-за чего это плохое может произойти.

Несколько примеров рисков, сформулированных по такой конструкции:

  • Раскрытие ключей (паролей) доступа из-за возможности атаки SMB Relay в ОС Windows
    Тут у нас
    • Угроза – Раскрытие ключей (паролей) доступа
    • Уязвимость – Возможности атаки SMB Relay
    • Актив – ОС Windows

    Риск в такой формулировке не просто говорит о чем то плохом, но поясняет почему это может произойти, указывая на источник проблемы.

    Все элементы риска (угроза, уязвимость, тип актива) могут объединяться друг с другом в любых адекватных комбинациях, образуя новые риски безопасности.

    Преимущества у такого подхода формулировки рисков безопасности:

    1. Нет необходимости дублировать одни и те же угрозы, уязвимости и активы в составе разных рисков, мы просто ведём 3 отдельных реестра, а реестр рисков это ничто иное как их комбинация.
    2. Взгляд на проблемы безопасности становится шире. Мы можем смотреть не только на реестр рисков, но и на реестры угроз, уязвимостей, активов, рассчитывая величину риска с учетом каждого из элементов.
    3. Из 3х-звенной формулировки рисков вытекает простой и понятный алгоритм реагирования — снижать величину ущерба от реализации угрозы, устранять уязвимость или снижать вероятность ее использования.

    Тут мы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК, лучшие практики и личный опыт. Пока набралось ~ 250 рисков и и работа по наполнению базы в процессе. Если перед вами стоит задача ведения реестра рисков — можете использовать нашу community базу за основу и поучаствовать в ее пополнении.

    Хотелось бы завершить статью слоганом что не важно как вы учитываете проблемы компании, что называете риском а что угрозой. Но нет, это важно, т.к. от этого зависит полнота и эффективность создаваемых систем ИБ, возможность понять друг друга в ИБ сообществе. Буду рад если поделитесь в комментариях тем как вы ведете учет проблем ИБ в своих компаниях, как описываете риски безопасности.

    P.S.
    В статье не рассмотрены такие сущности как объект атаки/воздействия, нарушитель, нежелательные последствия, сценарии атак — все это важные элементы в процессах моделирования угроз и управления рисками. Если будет интерес — разложим их на атомы в следующих статьях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *