Історія теорії інформаційних ризиків
Дослідження ризику тісно пов'язане з розвитком теорії ймовірностей. У середні століття цей розвиток був багато в чому обумовлено аналітичним інтересом математиків до азартних ігор.
Перші застосування теорії ризиків були пов'язані з розвитком мореплавання і зростанням міських поселень. Уже тоді робилися спроби оцінити ризики втрати корабля при корабельній аварії, втрати майна при пожежі тощо. Саме для таких випадків і сформувалося визначення ризику як твір відносної частоти загибелі кораблів на їх середню вартість або частоти пожеж на середню вартість згорілого майна [1].
У 1738 році швейцарський математик Данило Бернуллі доповнив теорію ймовірностей методом корисності або привабливості того чи іншого результату подій. Ідея Бернуллі полягала в тому, що в процесі прийняття рішення люди приділяють більше уваги розміру наслідків різних результатів, ніж їх ймовірності. У 1855 р Ханс фон Мангольдт опублікував роботу "Справжнє призначення підприємця і щира природа підприємницької прибутку". У центр своїх теоретичних досліджень підприємництва він поставив несення ризику як найважливішу рольову функцію підприємця. американського економіст Френк Найт у своїй монографії "Ризик, невизначеність і прибуток" (1921 г.) провів найбільш повне дослідження ризику як найважливішої складової підприємницької діяльності. Ризик, по Ф.Найт, являє собою об'єктивну ймовірність тієї чи іншої події, і може бути виражений кількісно, зокрема, як математично вероятностного розподілу доходів. Чим більша ймовірність стандартного відхилення від очікуваної величини при такому розподілі, тим менше ризик, і навпаки.
До середини ХХ ст. ризики вивчалися, аналізувалося і оцінювалися, головним чином, для економічних систем, в галузі економічної теорії (проблеми страхування, інвестування, розвитку бізнесу та ін.). Однак, у другій половині ХХ ст. з'ясувалося, що методологія оцінки ризиків може бути дуже корисна при аналізі і забезпеченні безпеки практично будь-яких систем (соціальних, технічних, біологічних, екологічних та ін.). По суті з цього часу і почалося зі зростаючою інтенсивністю розвиток загальної теорії ризиків і безпеки [1].
Управління ризиком стало об'єктивно необхідним у багатьох ключових сферах діяльності, що визначають сучасну цивілізацію. Це вимагає підготовки більшого числа фахівців в області наук про ризики і безпеки, а також орієнтуються в питаннях аналізу та управління ризиками. Проблеми ризиків все ширше розглядаються і в навчальних дисциплінах, що стосуються забезпечення конкретних видів безпеки (природного, техногенного, промислової, безпеки в НС, безпеки життєдіяльності, економічної, екологічної, національної) [2].
Перехід через умовний кордон 2000 року ознаменував собою перехід від індустріального століття до інформаційного - поворотний момент в історії людства, що не усвідомлений ще в повній мірі. Коли все більш-менш значущі для людей процеси виявляться повністю комп'ютеризованими, а фінансові та інформаційні системи глобалізованими (а це фактично вже майже що сталося в розвинених країнах), на перше місце вийдуть інформаційні ризики [3].
Перша методика управління інформаційними ризиками була описана в британському стандарті BS 7799-2 "Управління інформаційною безпекою. Специфікація системи управління інформаційною безпекою" в 1998 році. У 2002 році він був перегляд, а в жовтні 2005 року Міжнародна організація по стандартизації прийняла цей стандарт в якості міжнародного - ISO / IEC 27001: 2005 "Інформаційні технології. Методи забезпечення безпеки. Системи управління інформаційною безпекою. Вимоги".
Крім того, в 2001-2004 році була розроблена серія міжнародних стандартів ISO / IEC 13335 "Інформаційні технології. Настанови з менеджменту безпеки інформаційних і телекомунікаційних технологій". Третя і четверта частина даної серії в подальшому лягли в основу ISO / IEC 27005: 2008 "Інформаційна технологія. Методи і засоби забезпечення безпеки. Менеджмент ризику інформаційної безпеки", який був прийнятий в 2010 році в якості державного стандарту Росії (ГОСТ Р ISO / IEC 27005-2010). У 2011 році вийшла нова редакція міжнародного стандарту ISO / IEC 27005: 2011.
Також заслуговує на увагу американський стандарт в галузі управління ризиками NIST 800-30 , Основні положення якого були враховані при розробці стандарту ISO 27005.
- Брушінскій М.М. Соколов С.В. Про формування загальної теорії ризиків і безпеки // Спільнота Політична екологія
- Вишняков Я.Д. Радаєв М.М. Загальна теорія ризиків // навч. посібник для студ. вищ. навч. закладів - 2-е изд., испр. - М.: Видавничий центр «Академія», 2008. - 368 с.
- Астахов А.М. Мистецтво управління інформаційними ризиками. - М .: ДМК Пресс, 2010. - 312 с.