Риски

самые важные знания. Как не потерять деньги и время
самые важные знания. Как не потерять деньги и время
Методология реализована по аналогии с лего-конструктором, где каждый уровень ОИБВОП формируется из унифицированных структурных компонентов — доменов, блоков, требований и рекомендуемых мер защиты. Это позволяет гибко комбинировать «базовые блоки» ИБ, создавая адаптированную систему защиты для конкретной области применения, которую организация определяет самостоятельно.
В марте официальные лица Европейского союза, Франции, Соединенного королевства и других стран Европы в своих заявлениях очень часто говорили о «грядущей войне с Россией». Этот нарратив позволил им отыграть несколько очков во внутриполитическом спектакле, в то время как попытки Брюсселя консолидировать вокруг подготовки к войне все страны-члены ЕС не увенчались особым успехом, если не считать позиции Польши или бывших советских республик Прибалтики.
Но воинственная риторика и запугивание «российской угрозой» в первую очередь играют на руку военной промышленности Евросоюза, прежде всего французской. Она преобразует «угрозы» в обоснование программ закупок вооружения.
В 2024 финансовые показатели ключевых игроков европейской военной промышленности показали рост прибыли. Так, французская самолетостроительная компания Dassault Aviation увеличила свою чистую прибыль на 19,2% (€1,1 млрд), а маржа составила 17%. Оборот французского производителя военной электроники Thales увеличился на 8,3% (€20,6 млрд) при чистой прибыли €507 млн.
В настоящее время Dassault выпускает три истребителя Rafale в месяц. Фирма планирует увеличить этот показатель до четырех-пяти единиц в месяц к 2030.
Что характерно, ключевые контракты в очереди заказов французской компании – от азиатских стран. Это 26 Rafale для ВМС Индии и 80 этих истребителей в версии F4 (возможен переход на F5) в интересах ОАЭ. Dassault также ведет переговоры с Саудовской Аравией.
Вместе с тем фирма испытывает проблемы с долгим циклом подготовки кадров и расширения цепочки поставок. В лучшем случае их устранение может занять два-три года.
Thales же имеет рекордный портфель заказов на сумму €39 млрд. В 2025 в приоритетах корпорации увеличение в три раза производства радиолокационных станций с активной фазированной антенной решеткой RBE2 Mk 4.1 для оснащения Rafale, а также увеличение в четыре раза выпуска ракетного оружия.
Что касается рыночной динамики, то на фоне планов ЕС увеличить военные расходы до €800 млрд наблюдается рост акций европейских военно-промышленных корпораций: британской BAE Systems, итальянской Leonardo и немецкой Rheinmetall.
Также, приостановка американской военной помощи Украине усилила спрос на европейское вооружение.
Как уже упоминалось, Европейская комиссия планирует увеличить военные затраты до €800 млрд. Из них €150 млрд пойдут на кредитование перевооружения. При этом в своей риторике Брюссель фактически поддерживает идеи президента Франции Эмманюэля Макрона о «независимости от США», включая разговоры о ядерном арсенале ЕС. Эти две очень неустойчивые тенденции лежат в основе так называемой «европейской стратегической автономии».
В ФРГ председатель проатлантистской партии Христианско-демократический союз (ХДС) и, вероятно, будущий канцлер страны Фридрих Мерц предлагает создать «европейский ядерный зонтик» и отменить «долговой тормоз» для финансирования военных расходов. Еще более радикально атлантистская леволиберальная партия Союз 90/Зеленые поддерживает увеличение военных затрат. Таким образом, Мерц, ХДС и немецкие «зеленые» вторят позициям Брюсселя.
В этот якобы «оборонительный» контекст вписывается инициатива, которая выходит за рамки Евросоюза и имеет очевидный наступательный характер – формирование «коалиции желающих» для отправки войск на Украину под видом «миротворческого контингента». Эта идея принадлежит Франции и Соединенному королевству, которое уже не входит в ЕС.
Если «ядерный зонтик» США в настоящее время фактически не имеет альтернатив для Европы, а угроза официального англо-французского военного вмешательства в специальную военную операцию больше похожа на попытку попасть за стол переговоров между РФ и США, то увеличение военных расходов – вполне реальная стратегическая инициатива, основанная на коммерческом интересе европейской военной промышленности.
Если взять в расчет ключевые рынки Thales с ее рекордным портфелем заказов, то рост продаж корпорации наблюдается только во Франции (что неизбежно) и Соединенном королевстве. Основной же рост заказов фирмы – на 9,6% - наблюдается на азиатском рынке. Это такие покупатели, как Индия, Индонезия, Саудовская Аравия и ОАЭ.
Такие тенденции будут и у других крупных европейских производителей продукции военного назначения (ПВН). Их зоны роста – Индо-Тихоокеанский регион и Ближний Восток.
Усиление спроса на европейское вооружение на фоне сокращения американской военной помощи Украине также имеет свои пределы. В 2024 у той же Thales на украинский рынок приходилось менее 1% от всех заказов.
Однако в III.2025 Thales Air Defence – североирландское подразделение французской корпорации – получило контракт на поставку Киеву 5 тыс. многоцелевых ракет Martlet. Сделка стоимостью £1,6 млрд стала коммерческим успехом ольстерского филиала Thales.
У производителей боевых машин и боеприпасов показатель поставок ПВН на Украине может быть на порядок выше, но не является ключевым в портфеле заказов.
Хотя выход США из НАТО представляется маловероятным, в ЕС прорабатывают военно-технические угрозы, связанные с возможной сменой военно-политических ориентиров Вашингтона. Так, применение американских истребителей F-35 может стать для европейских стран очень рискованным.
В этом контексте одним из ключевых вопросов является альтернатива авиационному носителю ядерного оружия (ЯО), тем более, если в гипотетическом сценарии Евросоюз станет обладателем такого вооружения. Здесь выбор падает на французские истребители Rafale в модификации носителя ЯО.
В III.2025 Франция запустила третий и последний военно-разведывательный спутник серии CSO (Composante Spatiale Optique). Эти космические аппараты входят в европейскую программу спутниковой разведки MUSIS (MUltinational Space-based Imaging System for Surveillance, Reconnaissance and Observation) под эгидой военного агентства ЕС EDA (European Defence Agency).
Эта программа, как ожидается, обеспечит частичную независимость европейских стран от США в области видовой разведки из космоса. MUSIS – переходная программа на пути к более широкому проекту. Его реализация - в коммерческих интересах французских корпораций Thales и Airbus.
Кроме того, Thales инвестирует в разработку и производство систем киберзащиты для Rafale и наземных радиолокационных станций истребителя. Фирма стремится позиционировать самолет как авиационный комплекс, обладающий «кибериммунитетом».
Видео: запуск ракеты-носителя со спутником CSO-3
Военные расходы ЕС растут и будут расти, но основная часть ПВН европейских производителей экспортируется в Азию. К тому же, военная промышленность стран Европы подвержена серьезным рискам -задержкам в производстве из-за нехватки кадров и мощностей, а также возможным последствиям «торговой войны» с США.
Ранними признаками реальной подготовки Евросоюза к «стратегической автономии» и полномасштабной войне с Россией станут: скоординированность инвестиций стран-участниц в военные разработки и производство, ускорение темпов модернизации производственных процессов военно-промышленных предприятий и заявленная на доктринальном уровне политическая воля к «стратегической автономии».
Это объявление может прозвучать на саммите НАТО в Гааге в VI.2025. В такой автономии Франция и ее авиационно-космические военные разработки будут играть определяющую роль.
Методология "Волга-27001" предлагает системный подход к обеспечению информационной безопасности.
Центральным звеном является эффективная СУИБ, встроенная в общую архитектуру управления организацией;
- Управление ИБ направлено на обеспечение конфиденциальности, целостности и доступности информации;
- Процесс управления ИБ носит непрерывный характер и требует регулярной актуализации...
Описание системы управления информационной безопасностью (СУИБ), представленной в данных рекомендациях, а также в международных стандартах ISO 27000, ISO 27001 и ISO 27002, носят обобщённый характер и формулируют лишь общие рамочные требования. Такой подход оставляет значительную степень свободы для адаптации и интерпретации при практической реализации указанных требований в условиях конкретных организаций. Основная задача заключается в разработке и внедрении СУИБ, которая не только обеспечивает достижение установленных целей в области информационной безопасности (ИБ), но и остаётся экономически эффективной, учитывая ресурсные ограничения и специфику бизнес-процессов компании. Это требует тщательного анализа рисков, выбора оптимальных мер защиты и их интеграции в существующие процессы управления организацией.
Разработка концепции ИБ для компании представляет собой один из наиболее сложных и ответственных процессов. Ключевыми этапами создания такой концепции являются оценка рисков, выбор соответствующих мер защиты, а также контроль за реализацией этих мер. Особое внимание следует уделить выбору методологии анализа рисков, поскольку данный выбор напрямую влияет на трудоёмкость и эффективность разработки концепции.
Наши рекомендации предлагают универсальные подходы, которые подходят для большинства случаев и позволяют адаптировать процесс в зависимости от специфики компании. В зависимости от требуемого уровня обеспечения ИБ, в области, которую компания выбирает сама, вы можете постепенно и последовательно выстраивать у себя полноценную СУИБ. Этот поэтапный подход не просто позволяет экономить ресурсы, а в целом создавать эффективную и действительно нужную компании систему ИБ. Подробно об этом подходе можно прочитать в Методологии «Волга-27001», которая публикуется по платной подписке (sponsr.ru/volga27001).
В сравнении с традиционными количественными методами анализа рисков, предлагаемая методология является более экономичной и практико-ориентированной. Её ценность заключается не только в описании общих принципов внедрения СУИБ, но и в чётком указании на конкретные требования, которые подлежат именно практической реализации. Это позволяет минимизировать риски и обеспечить эффективный уровень обеспечения информационной безопасности для информационных активов компании.
Практические рекомендации по выполнению установленных, методологией «Волга-27001», требований в области ИБ доступны в соответствующих методических материалах, доступных по подписке.
Данные рекомендации охватывают различные подходы к организации ИБ и представляют особую ценность для малых и средних компаний. Они обеспечивают этапы внедрения ИБ и способствуют построению СУИБ. В рекомендациях по методологии построения СУИБ каждый этап подробно описывается, что позволяет организациям последовательно и эффективно выполнять требования.
Отдельно стоит отметить, что сертификат соответствия стандарту ГОСТ Р ИСО/МЭК 27001 в настоящее время не всегда гарантирует реальное выполнение требований. На практике его можно получить в кратчайшие сроки (например, за три дня) без проведения полноценной проверки. В таких случаях организациям просто предоставляется пакет документов, что не соответствует принципам прозрачности и достоверности. Не смотря на наличие сертификата, реальное положение дел в ИБ у компании оставляет желать лучшего.
В связи с этим ООО «ЦифраБез» предлагает собственную систему добровольной сертификации — «Волга-27001», которая подтверждает, что организация действительно выполняет требования рекомендаций для заявленного уровня обеспечения ИБ в определённой области применения. Наша система сертификации является прозрачной. Сертификат выдаётся сроком на три года с ежегодной дистанционной проверкой выполнения требований.
Система добровольной сертификации «Волга-27001», разработанная ООО «ЦифраБез», представляет собой комплексный механизм подтверждения соответствия организаций требованиям рекомендаций в области обеспечения ИБ для заявленных уровней обеспечения ИБ. Данная система сертификации обоснована следующими ключевыми аспектами:
Система добровольной сертификации «Волга-27001» обеспечивает объективную, технологичную и экономически эффективную модель подтверждения зрелости процессов ИБ. Её внедрение способствует формированию культуры ответственного отношения к защите информации, минимизирует репутационные и операционные риски организаций, а также соответствует стратегическим задачам развития цифровой экономики в части обеспечения киберустойчивости компаний.
Более подробная информация о нашей системе сертификации и условиях её получения представлена в соответствующем разделе методологии доступной по подписке.
Анализ общепринятых методов, передовых практик и стандартов в области управления ИБ показывает, что они имеют схожие подходы к описанию основных процессов и обязанностей высшего руководства компании. Однако существенные различия наблюдаются в методологиях разработки концепции ИБ, особенно в части оценки рисков и выбора соответствующих защитных мер для выполнения требований.
Учитывая это, методология «Волга-27001» предлагает следующий базовый алгоритм создания концепции ИБ:
Данный подход позволяет учесть специфику организации и обеспечить системность в управлении ИБ.
Анализ рисков ИБ имеет существенные отличия от классических методов оценки рисков. Применение традиционных количественных методов анализа рисков в сфере ИБ зачастую затруднено или невозможно из-за отсутствия необходимых статистических и исторических данных. Даже в случаях, когда такие расчёты осуществимы, интерпретация полученных результатов может представлять значительные трудности.
Специфика анализа рисков в области ИБ обусловлена динамичностью и непредсказуемостью соответствующих угроз, а также сложностью количественной оценки ряда ключевых факторов, таких как вероятность реализации киберугроз, масштаб потенциального ущерба и эффективность применяемых средств защиты. В связи с этим в сфере ИБ все чаще применяются качественные методы анализа рисков, основанные на экспертных оценках и сценарном моделировании. Такое моделирование рекомендуется проводить только для систем с уровнем предназначенным для развивающегося малого или уже среднего бизнеса. До этих уровней стоит проводить оценку на количественном или качественном уровне не затрагивая бизнес-процессы и не проводя анализ воздействия на бизнес-деятельность компании. Такой подход позволяет учесть специфику ИБ и обеспечить более адекватную оценку рисков в условиях высокой неопределенности и динамичности угроз.
В рамках традиционного методологического подхода к анализу рисков, количественная оценка риска определяется как произведение потенциального ущерба на вероятность его возникновения. Рассмотрим два альтернативных сценария:
Несмотря на значительную разницу в количественных показателях риска в денежном выражении, указанные сценарии по-прежнему требуют дифференцированных подходов в рамках комплексной системы управления рисками организации. При различных числовых значениях, практические последствия реализации рассматриваемых рисков и методы их минимизации существенно различаются.
В связи с этим, при разработке стратегии управления рисками необходимо учитывать не только количественные показатели, но и качественные характеристики потенциальных угроз, их влияние на непрерывность бизнес-процессов, репутационные аспекты и долгосрочные последствия для организации. Это позволит обеспечить более эффективное распределение ресурсов и разработку адекватных мер по снижению рисков в соответствии с их спецификой и потенциальным воздействием на деятельность организации, но только после того, как организация выстроит работающую систему ИБ в выбранной области применения.
Представленные рекомендации предусматривают применение как качественного подхода к оценке рисков, обеспечивающего получение релевантных данных для анализа инцидентов, способных оказать негативное воздействие на бизнес-процессы, так и количественное, а также сценарное, зависящее от выбираемого уровня обеспечения ИБ в выбранной области применения.
Рекомендации базируются на принципе, согласно которому обеспечение безопасной обработки информации, критически значимой для бизнеса, является обязательным требованием вне зависимости от отраслевой специфики и профиля деятельности организации. Но компании предоставляется полное право самой определять, что будет защищаться в первую очередь, затем во вторую, после в третью и так далее.
Ключевым преимуществом предлагаемой методологии является унификация подхода: организации применяющие данные рекомендации, получают единую нормативную базу для проведения оценочных процедур. Это способствует повышению прозрачности и согласованности процессов управления рисками, а также формирует доверительную среду для субъектов, стремящихся обеспечить эффективную защиту своего бизнеса от киберугроз и улучшить состояние ИБ в компании.
Настоящим уведомляем, что материалы, размещённые на данной странице, охраняются авторским правом в соответствии со статьей 1259 Гражданского кодекса Российской Федерации. Использование результатов интеллектуальной деятельности, представленных на данной странице, в том числе для создания средств обработки информации, без письменного согласия правообладателя — ООО «ЦифраБез» — запрещено.
Распространение данной информации допускается только при обязательном указании ссылки на источник (данную страницу).
Несанкционированное использование охраняемых авторским правом материалов является нарушением законодательства Российской Федерации и влечёт за собой ответственность, предусмотренную им.
Как бездумно потратить 220 тыс.рублей, ради сохранения 400 руб. Идиотизму поем мы оду. (Одноименный пост пока открыт для всех желающих)
Как я и говорил, буду максимально стараться излагать материал сугубо простым языком + на основе эмпирического опыта (но местами без теории не обойтись, это надо просто принять).
Погнали.
Итак, мы имеем некую середнячковую организацию (4-8 млрд выручки в год) , которую только что продали, убили всю региональную сеть и новый собственник начинает наводить свои порядки, что естественно.
Скорей всего на резервы и обычные текущие расходы.
Вот об обычных и текущих речь и пойдёт.
Новому хозяину было озвучено, что в этой конкретной компании если кто и хотел что-то украсть посредством расходной части, давно украл и его тут уже нет. И на это не нужно тратить время и людские ресурсы.
Но новый хозяин принимает решение, что надо назначить 2 людей, которые будут контролировать все текущие (любые) расходы.
При этом совокупная зп этих 2х людей 330 тыс.руб. (да, не самые дешёвые люди).
За 2 недели работы не выявлено никакого мошенничества и воровства (проверялось 100% расходов), а найден лишь один неверно оформленный акт выполненных работ на 2000 рублей.
Риск-аппетит - это когда лучше оставить потерю на своем удержании, чем понести еще бОльшие потери, чтобы ее выявить или чтобы управлять ею.
Простыми словами, - потратить много тысяч и сэкономить пару сотен - неправильное управление риском. А руководителя, который принимает такое решение...даже и не знаю как назвать. Есть варианты?
Не согласны с этой историей? Ну... It's up to you.
Продолжаем погружаться в мир внутреннего контроля, рисков и самообразования.
Постом ранее мы, надеюсь, выяснили, что такое РИСК. А так как повторенье - мать ученья, озвучу ещё раз: Риск - любое неблагоприятное событие, которое может привести или уже привело бизнес к потерям.
Резонно встаёт вопрос по классику: "Что делать?"
Дабы избежать академичности и сухой теории, предлагаю смоделировать некую практическую историю.
Пусть у нас есть организация, у которой очень много расходов. А расходы, как мы знаем, уменьшают налогооблагаемую базу по налогу на прибыль.
Очевидный риск организации - налоговый. А именно, - доначисление налога, штрафы, пени и прочие "блага".
Почему?
Потому что расходы могут быть не подтверждены документально (доков нет, доки неверно оформлены, доки не бьются с налоговым периодом...НК РФ нам в помощь).
Чтобы этот риск нас не настиг надо что-то делать (управлять риском) :
И т.д. В каждом бизнесе есть свои нюансы и вариации.
Всё вышеозначенное является примером контрольных процедур - меры, которые помогают вам избежать потерь.
Если у вас их нет...пора задуматься и внедрить. Если есть - вы молодец, но стоит проверить, а эффективны ли ваши контрольные процедуры? Действительно ли они оберегают вас от потерь?
А про риск-аппетит наслышаны?
Об этом позднее.
Реальная история о сверхглупости последует.
Оставаться или нет... it's up to you.
Т.к. в дальнейшем повествовании часто будут использоваться термины "контроль", " внутренний контроль", "риск", " Система Внутреннего Контроля (СВК)", думаю, будет не лишним разобраться, что это, несмотря на, казалось бы, очевидность их определения, а также в каком контексте они будут употребляться.
Многие привыкли и приняли как данность, что Система внутреннего контроля (равно как и Служба внутреннего контроля) - прерогатива крупных предприятий.
Поэтому продолжу с не самого очевидного: любой бизнес имеет Систему внутреннего контроля
Неважно, кто вы: самозанятый, ИП, ООО и т.д.
Например:
- Самозанятый, шьющий предметы одежды на дому, контролирует остаток материала, контролирует сроки выполнения работы и отправки заказа заказчику... ;
- ИП, который организовал небольшое производство детского конструктора контролирует качество поставленного материала, изнашиваемость оборудования и/или деталей к нему, мониторит (контролирует) проведение тематических выставок... ;
- ООО и более крупные единицы бизнеса контролируют сроки поставок, отгрузок, производства, выполнения услуг, организации продаж.... И много чего ещё. Думаю, суть ясна.
Иными словами - везде и всегда есть какой никакой, но контроль. А значит уже есть и некая система контроля (СВК).
(Забегая немного вперёд, раскрою карты - ключевым моментом всегда (на протяжении всего периода жизни бизнеса) будет являться КАЧЕСТВО, ЭФФЕКТИВНОСТЬ И ДОСТАТОЧНОСТЬ этой системы контроля. Но об этом потом).
А сейчас. ..Revenons à nos moutons, как говорят французы. То бишь - вернёмся к нашим баранам, к сути поста.
Многие ответят: чтобы зарабатывать деньги, как и было запланировано.
Я не соглашусь и отвечу иначе: мы контролируем, чтобы НЕ терять деньги. То есть своевременно реагировать на некие неблагоприятные события....РИСКИ
Если наш самозанятый вовремя не закупит материал, вовремя не сошьет заказанные мною перчатки и вовремя их не отправит, чем он рискует:
Если наш ИП вовремя не обновил детали оборудования по производству конструктора, он никак не сможет выполнить весь объем заказов на конструкторы в срок, пока не получит новые детали к оборудованию.... Отказы от заказов, списание материалов в убыток, негативные отзывы, потери, потери потери...
Более крупный бизнес теряет деньги вообще на каждом шагу. Об этом можно отдельные посты делать.
Надеюсь, посыл понятен.
А задача сегодняшнего упражнения запомнить, что РИСК - это событие, которое уже привело к потерям, либо может привести! И что вы контролируете свой бизнес...вопрос насколько качественно.
Если кто-то не согласен, то может высказать свою позицию в комментариях, а в остальном... it's up to you
Это первый пост. Пусть это будет, как означено в заголовке, некая проба пера. Не судите строго.
Ни брату, ни свату, ни маме с папой, ни любовнице, ни жене...никому. Это факт. Поверьте.
Предадут, обманут, начнут играть на чувствах и просить послабления, перевёрнут всё в угоду себе, но никак не вам. И вы будете плохим (и только вы).
Бизнес этого не приемлет. Это колоссальный риск! Ваш риск.
Все взаимоотношения со всеми вышеозначенными людьми (да и со всеми прочими, разумеется) подлежат юридическому оформлению. Если этого не сделать...винить в потерях можно только себя.
Договоры, расписки о получении денег (даже от мамы) , соглашения о намерениях (нотариально заверенные с детализацией ролей в бизнесе), совместное учредительство (ака ответственность). Только так. Это всё должно у вас быть.
Неудобно? Неловко? :)
Да, такие ощущения бывают.
Ну как же ...он (она, они) близкие люди, моё родное, я верю, не обманут.
Обманут!!!
Узнано и проверено опытным путём.
Ну а дальше...
It's up to you...