Оценка остаточного риска: роль существующих барьеров безопасности

25 минут Урок 8

Введение: Иллюзия безопасности и реальность риска

Добро пожаловать на урок, который часто становится поворотным моментом в понимании управления рисками. Мы переходим от абстрактных страхов к инженерной логике. В предыдущих уроках мы научились идентифицировать риск «в вакууме» — это присущий (inherent) риск. Но мы не живем в вакууме. Мы живем в мире, где есть замки на дверях, антивирусы на компьютерах и инструкции по технике безопасности.

Цель этого урока — научиться рассчитывать остаточный (residual) риск. Это тот уровень опасности, который сохраняется после того, как вы применили все свои защитные меры. Главный вопрос, на который мы ответим: «Действительно ли наши барьеры работают так хорошо, как мы думаем, или мы просто успокаиваем себя?»

Ключевая мысль: Остаточный риск — это реальность, с которой вам придется жить. Присущий риск — это сценарий фильма-катастрофы. Ваша задача — превратить второе в первое, не обманывая себя.

Анатомия риска: До и После

Давайте четко разграничим два состояния риска. Путаница здесь — самая частая ошибка новичков.

Присущий риск (Inherent Risk): Это уровень риска при отсутствии каких-либо контрольных процедур или при их полном отказе. Это «чистая» энергия угрозы.
Пример: Вы переходите оживленное шоссе с завязанными глазами. Вероятность гибели — почти 100%.
Остаточный риск (Residual Risk): Это уровень риска, оставшийся после внедрения барьеров (контролей).
Пример: Вы переходите то же шоссе, но по надземному переходу. Риск снижен, но не равен нулю (переход может обрушиться, или вы можете поскользнуться на ступеньках).

Математически это выглядит так (в упрощенной модели):

Присущий Риск — Эффективность Барьеров = Остаточный Риск

Однако, поскольку мы находимся в модуле «Психология оценки», важно понимать: эта формула не работает линейно. Люди склонны переоценивать эффективность своих барьеров.

Типология барьеров: «Швейцарский сыр»

В управлении рисками мы часто используем модель «Швейцарского сыра» Джеймса Ризона. Представьте, что каждый барьер — это ломтик сыра. В каждом ломтике есть дырки (уязвимости). Инцидент происходит тогда, когда дырки во всех ломтиках выстраиваются в одну линию.

Чтобы правильно оценить остаточный риск, нужно классифицировать ваши «ломтики сыра»:

Превентивные барьеры (Preventive): Снижают Вероятность события.
Пример: Брандмауэр, регулярное техобслуживание станка, обучение сотрудников.
Реактивные барьеры / Смягчающие (Mitigative): Снижают Тяжесть последствий, если событие уже случилось.
Пример: Спринклерная система пожаротушения, резервное копирование данных, страховка.
Детективные барьеры (Detective): Помогают обнаружить проблему до того, как она станет катастрофой.
Пример: Датчики дыма, мониторинг логов, финансовый аудит.

Важно для оценки: Превентивные меры двигают точку на матрице рисков вниз (по оси вероятности), а смягчающие — влево (по оси ущерба).

Упражнение

Рассмотрите сценарий: Утечка конфиденциальных данных клиентов через фишинговое письмо сотруднику. Задание: 1. Определите один превентивный барьер. 2. Определите один детективный барьер. 3. Определите один смягчающий (реактивный) барьер. 4. Объясните, как каждый из них влияет на положение риска в матрице (Вероятность/Ущерб).

Решение:

1. **Превентивный барьер:** Тренинг сотрудников по кибербезопасности и блокировка подозрительных доменов на уровне шлюза. 
   *Влияние:* Снижает **Вероятность** успешной атаки.

2. **Детективный барьер:** Система DLP (Data Loss Prevention), которая сигнализирует о попытке отправки базы данных вовне. 
   *Влияние:* Увеличивает шанс прерывания цепочки событий, фактически снижая вероятность финального негативного исхода.

3. **Смягчающий барьер:** Шифрование базы данных. Даже если данные украдут, злоумышленники не смогут их прочитать. 
   *Влияние:* Снижает **Ущерб (Тяжесть)** последствий. Утечка есть, но репутационных и финансовых потерь меньше.

Психологические ловушки при оценке барьеров

Почему компании с толстыми папками регламентов все равно сталкиваются с катастрофами? Потому что наличие документа не равно наличию барьера. В психологии риска есть два опасных феномена, которые вы должны учитывать при оценке остаточного риска.

1. Иллюзия контроля (Illusion of Control)

Мы склонны верить, что если процедура написана, она исполняется. При оценке остаточного риска эксперты часто снижают оценку, основываясь на дизайне контроля, а не на его работе.

Design Effectiveness (Эффективность дизайна): Сработает ли этот барьер в теории? (Пример: Огнетушитель подходит для тушения проводки).
Operating Effectiveness (Операционная эффективность): Работает ли он на практике? (Пример: Знает ли сотрудник, где висит огнетушитель, и заряжен ли он?).

Совет: При оценке остаточного риска всегда умножайте теоретическую эффективность на «коэффициент человеческого фактора». Если барьер зависит от человека, его надежность редко превышает 80-90%.

2. Эффект Пельцмана (Рисковая компенсация)

Когда люди чувствуют себя защищенными, они начинают вести себя более рискованно. Если вы установите на сервере самую современную защиту, разработчики могут начать пренебрегать базовыми правилами гигиены кода, считая, что «система всё отловит». Это возвращает присущий риск на высокий уровень, делая ваш расчет остаточного риска неверным.

Методика пересчета риска (Практический подход)

Как нам технически перенести риск по матрице? Недостаточно просто сказать «риск стал меньше». Нужна обоснованная калибровка.

Используйте метод «Оценки надежности слоя защиты» (LOPA - Layer of Protection Analysis) в упрощенном виде:

Тип барьера	Примерная надежность (снижение вероятности)	Комментарий
Пассивный (Инженерный)	99% - 99.9%	Бетонная стена, клапан сброса давления, автоматическое шифрование. Самый надежный.
Активный (Технический)	90% - 99%	Сигнализация, которая требует реакции автоматики (срабатывание реле).
Процедурный (Человеческий)	50% - 80%	Инструкция, чек-лист, требование «быть внимательным». Самый слабый.

Алгоритм действий:

Возьмите оценку Присущего риска (например, Вероятность 5/5, Ущерб 5/5).
Перечислите все существующие барьеры.
Оцените их реальную надежность (а не бумажную).
Если у вас сильные превентивные меры — снижайте балл Вероятности.
Если у вас сильные смягчающие меры — снижайте балл Ущерба.
Полученная координата — ваш Остаточный риск.

Если остаточный риск все еще находится в «красной» или «желтой» зоне, значит, текущих барьеров недостаточно. Вам нужно разрабатывать План обработки рисков (Risk Treatment Plan).

Упражнение

Кейс: Склад химических реагентов. Присущий риск: - Событие: Разлив токсичного вещества. - Вероятность: 4 (Высокая). - Ущерб: 5 (Катастрофический - угроза жизни). Существующие барьеры: 1. Инструкция по технике безопасности (под роспись). 2. Ежегодный инструктаж персонала. 3. Наличие ведра с песком в углу склада. Задание: Оцените остаточный риск. Сильно ли он отличается от присущего? Обоснуйте.

Решение:

**Оценка остаточного риска:**

1. **Анализ барьеров:** Все перечисленные барьеры относятся к категории *«Процедурные/Человеческие»* и слабые реактивные. 
   - Инструкции часто игнорируются.
   - Ведро с песком требует, чтобы человек не запаниковал, смог до него добраться и правильно использовать. Это крайне ненадежные меры.

2. **Корректировка:**
   - *Вероятность:* Снижается незначительно или не снижается вообще. Человеческий фактор остается высоким. Оценка: 4 (или 3 с натяжкой).
   - *Ущерб:* Ведро с песком не поможет при крупном разливе. Угроза жизни сохраняется. Оценка: 5.

**Вывод:** Остаточный риск остается в критической зоне (4x5). Текущие барьеры создают «Иллюзию безопасности». Для реального снижения нужны инженерные меры (автоматические датчики, поддоны-уловители, автоматическая вентиляция).

Вопрос

Вы проводите оценку риска для финансового процесса. Присущий риск ошибки ввода данных оценен как 'Высокий'. В процессе внедрен 'двойной контроль': второй бухгалтер проверяет данные первого вручную. Как это влияет на риск?

Это полностью устраняет риск (Вероятность = 0), так как два человека не могут ошибиться одновременно.

Это переводит риск в категорию 'Инженерный', так как процесс задокументирован.

Это снижает вероятность ошибки, но эффективность барьера ограничена человеческим фактором (усталость, сговор, привыкание).

Это влияет только на Ущерб, так как ошибка уже совершена первым бухгалтером.

Это увеличивает риск из-за размывания ответственности.

Заключение: Риск никогда не спит

Оценка остаточного риска — это не разовое упражнение для галочки. Барьеры имеют свойство деградировать. Оборудование изнашивается, люди расслабляются (нормализация отклонений), программное обеспечение устаревает.

Ваша матрица рисков — это живой организм. Если вы записали остаточный риск как «Низкий» сегодня, это справедливо только при условии, что ваши барьеры работают на 100%. Ваша роль как риск-менеджера — не просто посчитать цифры, а постоянно проверять прочность этих щитов. Помните: Непроверенный барьер — это отсутствующий барьер.

Предыдущий урок Следующий урок