История теории информационных рисков

В 1855 г. Ханс фон Мангольдт опубликовал работу "Действительное назначение предпринимателя и истинная природа предпринимательской прибыли". В центр своих теоретических исследований предпринимательства он поставил несение риска как важнейшую ролевую функцию предпринимателя. 

Американского экономист Фрэнк Найт в своей монографии "Риск, неопределенность и прибыль" (1921 г.) провел наиболее полное исследование риска как важнейшей составляющей предпринимательской деятельности. Риск, по Ф.Найту, представляет собой объективную вероятность того или иного события, и может быть выражен количественно, в частности, в виде математически вероятностного распределения доходов. Чем больше вероятность стандартного отклонения от ожидаемой величины при таком распределении, тем меньше риск, и наоборот. 

До середины ХХ в. риски изучались, анализировалось и оценивались, главным образом, для экономических систем, в области экономической теории (проблемы страхования, инвестирования, развития бизнеса и др.). Однако, во второй половине ХХ в. выяснилось, что методология оценки рисков может быть очень полезна при анализе и обеспечении безопасности практически любых систем (социальных, технических, биологических, экологических и др.). По существу с этого времени и началось с возрастающей интенсивностью развитие общей теории рисков и безопасности [1]. 

Управление риском стало объективно необходимым во многих ключевых сферах деятельности, определяющих современную цивилизацию. Это требует подготовки большего числа специалистов в области наук о рисках и безопасности, а также ориентирующихся в вопросах анализа и управления рисками. Проблемы рисков все шире рассматриваются и в учебных дисциплинах, касающихся обеспечения конкретных видов безопасности (природной, техногенной, промышленной, безопасности в ЧС, безопасности жизнедеятельности, экономической, экологической, национальной) [2]. 

Переход через условный рубеж 2000 года ознаменовал собой переход от индустриального века к информационному – поворотный момент в истории человечества, не осознанный еще в полной мере. Когда все более или менее значимые для людей процессы окажутся полностью компьютеризированными, а финансовые и информационные системы глобализированными (а это фактически уже почти что произошло в развитых странах), на первое место выйдут информационные риски [3]. 

Первая методика управления информационными рисками была описана в британском стандарте BS 7799-2 "Управление информационной безопасностью. Спецификация системы управления информационной безопасностью" в 1998 году. В 2002 году он был пересмотре, а в октябре 2005 года Международная организация по стандартизации приняла этот стандарт в качестве международного – ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования".

Кроме того, в 2001-2004 году была разработана серия международных стандартов ISO/IEC 13335 "Информационные технологии. Руководства по менеджменту безопасности информационных и телекоммуникационных технологий". Третья и четвертая часть данной серии в дальнейшем легли в основу ISO/IEC 27005:2008 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности", который был принят в 2010 году в качестве государственного стандарта России (ГОСТ Р ИСО/МЭК 27005-2010). В 2011 году вышла новая редакция международного стандарта ISO/IEC 27005:2011. 

Также заслуживает упоминания американский стандарт в области управления рисками NIST 800-30 , основные положения которого были учтены при разработке стандарта ISO 27005.