Please enable JavaScript.
Coggle requires JavaScript to display documents.
Риск менеджмент в области информатизации - Coggle Diagram
Риск менеджмент в области информатизации
Понятие риска
Риск — это вероятное возникновение события, которое окажет отрицательное воздействие на достижение поставленных целей.
риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
ожидаемое событие имеет вероятностную природу: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
событие может привести к отклонению от ожидаемых результатов деятельности с негативными или позитивными последствиями.
Классификация рисков
Риски, связанные с информационной инфраструктурой:
риск внутреннего контроля,
информационной безопасности,
операционный бизнес-риск,
риски персонала
Риски IT-проекта
Учет рисков в системах управления
Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.
Согласно COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:
представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
нацелено на определение событий, которые представляют опасность для организации.
Современные концепции управления рисками
Модель зрелости
Уровень 1. Анархия
Признаки: сотрудники сами определяют, что хорошо, что плохо; затраты и качество не прогнозируются; отсутствует контроль изменений
Уровень 2. Фольклор
Признаки: выявлена определенная повторяемость организационных процессов; опыт организаций представлен в виде преданий корпоративной мифологии; знания накапливаются в виде личного опыта сотрудников
Уровень 3. Стандарты
Признаки: корпоративная мифология записана на бумаге; процессы повторяемые и не зависят от личных качеств исполнителей; информация о процессах для измерения эффективности не собирается; организация начинает адаптировать свой опыт к специфике бизнеса
Уровень 4. Измеряемый
Признаки: процессы измеряемы и стандартизированы
Уровень 5. Оптимизируемый
Признаки: фокус на повторяемости, измерении эффективности, оптимизации; вся инфа о функционировании процессов фиксируется
Управление рисками в соответствии со стандартом NIST 800-30
Предпроектная стадия ИС (концепция данной ИС: определение целей и задач и их документация)
Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения информационной безопасности
Проектирование ИС
Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)
Создание ИС: поставка элементов, монтаж, настройка и конфигурирование
До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков
Функционирование ИС
Периодическая переоценка рисков, связанная с изменениями внешних условий и конфигураций ИС
Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используется по назначению и утилизируются)
Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам
FRAP
Facilitated Risk Analysis Process
Причины применения
Точная и детальная оценка рисков требует чрезмерного количества времени и усилий для разработки, документирования и проверки;
Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение;
Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
Формирование команды
Для проведения анализа и оценки рисков создается проектная команда, включающая в себя:
Представителей бизнес-подразделений, имеющих информацию о ценности анализируемых ИТ-активов для основной деятельности организации;
Представителей технических подразделений, имеющих информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемую область, а также о присущих им уязвимостях;
Специалистов в области информационной безопасности;
Специалистов проектного офиса, организовывающих мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы.
Подготовка к анализу
1) Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
2) Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
анализ статистики происшествий связанных с ИБ данной ИС подобных ей, оценивается их среднегодовая частота;
«мозговой штурм», проводимый сотрудниками компании.
Оценка вероятности и воздействий
Вероятность
высокая - очень вероятно, что угроза реализуется в течение следующего года;
средняя - возможно угроза реализуется в течение следующего года;
низкая - маловероятно, что угроза реализуется в течение следующего года.
Воздействие
высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.