Сценарный подход к оценке риска состоит в предварительном моделировании внешних воздействий на информационную систему предприятия
Помимо специализированных программных продуктов, на рынке предлагаются и общедоступные программные продукты для управления рисками. В частности, их предлагают компании SAP (GRC Risk Management), Oracle (PeopleSoft Enterprise Risk Management) и MetricStream (SOX*Stream) |
Современные стандарты по защите корпоративных информационных систем требуют построения системы управления рисками. Помимо прочего, это означает, что на предприятии должны быть люди, которые отвечают за анализ рисков и выдают рекомендации относительно того, как эти риски минимизировать. Одними из первых создали подобные структуры телекоммуникационные операторы, акции которых котируются на бирже: для них важно соответствовать стандартам и законодательным требованиям, предъявляемым к публичным компаниям. Технологическим и организационным вопросам, возникающим при построении корпоративной службы управления рисками, была посвящена конференция «Риски в телекоме: выявление, анализ, нейтрализация и внутренний аудит», которую организовала компания Infor-media Russia.
Управление рисками тесно связано с анализом того, что мешает успешному развитию бизнеса. Экономическая оценка риска включает в себя вероятность неблагоприятного события и финансовый ущерб, который он может нанести. Оба этих параметра, как правило, оцениваются по статистике уже произошедших инцидентов. Однако сейчас в дисциплине управления рисками начинает внедряться другой подход в оценке риска, который называют сценарным. Он состоит в предварительном моделировании рисков в зависимости от происходящих внешних воздействий, или так называемого «сценария». Моделируется самый благоприятный и самый неблагоприятный сценарии, по ним и определяют степень риска.
Моделирование выполняется с помощью специализированных программных средств. Его результаты анализируются, ложась в основу рекомендаций по минимизации возможных рисков. Таким способом можно оценить не только текущие, но и будущие риски, а вместе с этим выработать сценарии поведения при реализации той или иной угрозы, чтобы минимизировать ущерб. Для отрасли телекоммуникаций, где активно вводятся новые услуги, степень риска которых нужно оценивать заранее, анализ будущих сценариев особенно важен. Сделать это традиционными методами практически невозможно, в то время как сценарный подход позволяет выявить слабые места новой услуги и предусмотреть для них тот или иной способ защиты.
Для сценарного подхода нужна программа, которая позволила бы проводить анализ сценариев. На конференции подобное решение представила компания «Коминфо Консалтинг». Данное программное обеспечение разрабатывалось и используется для внутренних нужд: «Коминфо Консалтинг» оказывает консультационные услуги по управлению рисками.