Please enable JavaScript.
Coggle requires JavaScript to display documents.
Риск менеджмент в области информатизации - Coggle Diagram
Риск менеджмент в области информатизации
Общие положения
Понятие риска
Риск — это вероятное возникновение события, которое окажет
отрицательное воздействие на достижение поставленных целей.
.
риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
ожидаемое событие имеет вероятностную природу: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
событие может привести к отклонению от ожидаемых результатов деятельности с негативными или позитивными последствиями.
Классификация рисков
Риски, связанные с информационной инфраструктурой:
.
риск внутреннего контроля,
информационной безопасности,
операционный бизнес-риск,
риски персонала
Риски IT-проекта.
Учет рисков в системах управления
Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.
Согласно COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:
представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
нацелено на определение событий, которые представляют опасность для организации.
Современные концепции управления рисками
Модель зрелости
Уровень 1. "Анархия"
сотрудники сами определяют, что хорошо, а что плохо
затраты и качество не прогнозируются
отсутствует контроль изменений
высшее руководсвто плохо представляет реальное положение дел
Уровень 2. "Фольклор"
выявлена определенная повторяемость организационных процессов
опыт организаций представлен в виде преданий корпоративной мифологии
знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
Уровень 3. "Стандарты"
корпоративная мифология записана на бумаге
процессы повторяемые и не зависят от личных качеств исполнителей
информация о процессах для измерения эффективности не собирается
наличие формализованного описания процессов не означает, что они работают
организация начинает адаптировать свой опыт к специфики бизнеса
производится анализ знаний и умений сотрудников с целью определения необходимого уровня компетентности
вырабатывается стратегия развития компетентности
Уровень 4. "Измеряемый"
процессы измеряемы и стандартизированы
Уровен
Уровень 5 "Оптимизируемый"
фокус на повторяемости, измерении эффективност, оптимизации
вся информация о функционировании процессов фиксируется
FRAP
Причины применения FRAP
Точная и детальная оценка рисков требует чрезмерного количества времени и усилий для разработки, документирования и проверки;
Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение;
Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
Формирование команды
Для проведения анализа и оценки рисков создается проектная команда, включающая в себя:
Представителей бизнес-подразделений, имеющих информацию о ценности анализируемых ИТ-активов для основной деятельности организации;
Представителей технических подразделений, имеющих информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемую область, а также о присущих им уязвимостях;
Специалистов в области информационной безопасности;
Специалистов проектного офиса, организовывающих мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы.
Подготовка к анализу
Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
анализ статистики происшествий связанных с ИБ данной ИС подобных ей, оценивается их среднегодовая частота;
«мозговой штурм», проводимый сотрудниками компании.
После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня
Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.
Оценка вероятности и воздействия
Вероятность
низкая - маловероятно, что угроза реализуется в течение следующего года
средняя - возможно угроза реализуется в течение следующего года;
высокая - очень вероятно, что угроза реализуется в течение следующего года;
Воздействие - мера величины потерь или вреда, наносимого активу
высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
CRAMM
