Please enable JavaScript.
Coggle requires JavaScript to display documents.
Риск менеджмент в области информатизации - Coggle Diagram
Риск менеджмент в области информатизации
Риск
— это вероятное возникновение события, которое окажет отрицательное воздействие на достижение поставленных целей.
Классификация рисков
Риски, связанные с информационной инфраструктурой:
риск внутреннего контроля,
информационной безопасности,
операционный бизнес-риск,
риски персонала
Риски IT-проекта.
Понятие риска
риск связан только с
будущим событием
— событие прошлого уже произошло и к управлению рисками отношения не имеет;
ожидаемое событие имеет
вероятностную природу
: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
событие может привести к отклонению от ожидаемых результатов деятельности с негативными или позитивными последствиями.
Учет рисков в системах управления
Управление рисками предприятия (Enterprise Risk Management, ERM)
— это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.
Согласно COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:
представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
нацелено на определение событий, которые представляют опасность для организации.
FRAP
Facilitated Risk Analysis Process
Причины применения FRAP
Точная и детальная оценка рисков требует чрезмерного количества времени и усилий для разработки, документирования и проверки;
Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение;
Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
Формирование команды
Представителей бизнес-подразделений, имеющих информацию о ценности анализируемых ИТ-активов для основной деятельности организации;
Представителей технических подразделений, имеющих информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемую область, а также о присущих им уязвимостях;
Специалистов в области информационной безопасности;
Специалистов проектного офиса, организовывающих мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы.
Подготовка к анализу
Определение защищаемых активов
производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
Идентификация угроз
. При составлении списка угроз могут использоваться разные подходы:
заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
анализ статистики происшествий связанных с ИБ данной ИС подобных ей, оценивается их среднегодовая частота;
«мозговой штурм», проводимый сотрудниками компании.
Оценка вероятности и воздействий
Вероятность:
высокая - очень вероятно, что угроза реализуется в течение следующего года;
средняя - возможно угроза реализуется в течение следующего года;
низкая - маловероятно, что угроза реализуется в течение следующего года.
Воздействие - мера величины потерь или вреда, наносимого активу:
высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.