событий ИБ на организацию зависит от ее состояния, от того, какие значения базовых рисков сложились к моменту возникновения событий ИБ. Одно и то же событие ИБ может дать различный эффект – от незначительного ущерба до катастрофического. Если говорить об общей характеристике рисковых событий ИБ, то это провоцирующие (создающие условия) события для базовых рисков организации.
Таким образом, рисковые события ИБ всегда «вложены» в базовые риски бизнеса (организации) и проявляются в виде ущерба, который организация идентифицирует как ущерб, связанный с базовым риском. Тот факт, что понесенный ущерб был инициирован проблемами информационной сферы, не всегда рассматривается, а реагирование на риск осуществляется методами, присущими базовыми рисками (экономическими, финансовыми, юридическими и др.). Часто это существенно менее эффективные и более затратные способы реагирования, чем информационные.
Очевидно, что для более осмысленного и качественного реагирования на базовые риски организации необходимо отобразить на них информационную сферу организации. Однако прямое отображение информационной сферы на базовые рисковые события либо крайне затруднительно, либо вообще невозможно. Причина этого разрыв как семантический, так и формальный, а также и временно й между содержанием и формой представления событий в информационной сфере организации и конечным продуктом (целью) ее деятельности.
Менеджмент организаций, как показывает практика, более склонен воспринимать возникающие издержки как последствия сложившихся разного рода ресурсных ограничений, но не информационных. Однако та же практика, только a posteriori, каждый раз показывает, что дело было вовсе не в ресурсных ограничениях, а сводилось к тому, насколько эффективно организация была способна добывать полезную для себя информацию, оценивать и систематизировать ее, анализировать, накапливать, обобщать, а также своевременно и рационально использовать в своей деятельности. Без эффективно действующей информационной составляющей даже изначально ресурсно избыточный бизнес погибнет.
Поэтому построение модели ИБ организации должно начинаться с исследования (анализа) идентифицированных в ней рисков целей деятельности (бизнеса). Целью этого анализа должно быть установление контекста идентифицированных рисков, т. е. определение условий, сущностей и механизмов реализации рисковых событий, вида и величины наносимого ущерба.
Установленный контекст позволит перейти к построению факторных моделей базовых рисков, т. е. к некоторой их формализации, приближающей их к сущностям информационной сферы. При этом факторы и обстоятельства, слабо связанные с процессами информационной сферы, могут сразу же отфильтровываться как незначимые.
Одновременно необходимо формализовывать и информационную сферу в контексте базовых рисков организации. Такое движение навстречу позволит преодолеть указанный выше разрыв. Наилучшей
