Please enable JavaScript.
Coggle requires JavaScript to display documents.
Риск менеджмент в области информатизации - Coggle Diagram
Риск менеджмент в области информатизации
Общие положения
Риск — это вероятное возникновение события, которое окажет отрицательное воздействие на достижение поставленных целей.
риск связан только с будущим событием — событие прошлого уже произошло и к управлению рисками отношения не имеет;
ожидаемое событие имеет вероятностную природу: то есть заранее неизвестно, произойдёт это событие или нет, но есть основания полагать, что оно вероятно;
событие может привести к отклонению от ожидаемых результатов деятельности с негативными или позитивными последствиями.
Классификация рисков
Риски, связанные с информационной инфраструктурой:
риск внутреннего контроля,
информационной безопасности,
операционный бизнес-риск,
риски персонала
Риски IT-проекта.
Учет рисков в системах управления
Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.
Согласно COSO (The Committee of Sponsoring Organizations of the Treadway Commission) управление рисками организации:
представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии;
нацелено на определение событий, которые представляют опасность для организации.
Современные концепции управления рисками
Управление рисками в соответствии со стандартом NIST 800-30
Фаза жизненного цикла информационной технологии
Предпроектная стадия ИС (концепция данной ИС: определение целей и задач и их документация)
Проектирование ИС
Создание ИС: поставка элементов, монтаж, настройка и конфигурирование
Соответствие фазе управления рисками
Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения информационной безопасности
Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)
До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков
FRAP
Причины применения FRAP
Точная и детальная оценка рисков требует чрезмерного количества времени и усилий для разработки, документирования и проверки;
Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение;
Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
Формирование команды
Для проведения анализа и оценки рисков создается проектная команда, включающая в себя:
Представителей бизнес-подразделений, имеющих информацию о ценности анализируемых ИТ-активов для основной деятельности организации;
Представителей технических подразделений, имеющих информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемую область, а также о присущих им уязвимостях;
Специалистов в области информационной безопасности;
Специалистов проектного офиса, организовывающих мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы.
Подготовка к анализу
Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
заранее подготовленные экспертами перечни угроз (checklists), из которых выбираются актуальные для данной системы;
анализ статистики происшествий связанных с ИБ данной ИС подобных ей, оценивается их среднегодовая частота;
«мозговой штурм», проводимый сотрудниками компании.
Оценка вероятности и воздействий
высокая - очень вероятно, что угроза реализуется в течение следующего года;
средняя - возможно угроза реализуется в течение следующего года;
низкая - маловероятно, что угроза реализуется в течение следующего года.
Воздействие - мера величины потерь или вреда, наносимого активу:
высокий: остановка критически важных бизнес-подразделений, которая приводит к существенному ущербу для бизнеса, потере имиджа или неполучению существенной прибыли;
средний: кратковременное прерывание работы критических процессов или систем, которое приводит к ограниченным финансовым потерям в одном бизнес-подразделении;
низкий: перерыв в работе, не вызывающий ощутимых финансовых потерь.
CRAMM
оценка воздействия риска
оценка вероятности риска
