Please enable JavaScript.
Coggle requires JavaScript to display documents.
Тема 8. Риск менеджмент в области информатизации - Coggle Diagram
Тема 8. Риск менеджмент в области информатизации
Общие положения
Риск
связан только с будущим событием
имеет вероятностную природу
событие приводит к отклонению от результатов
Классификация
Риски, связанные с информационной инфраструктурой
риск внутреннего контроля
риск ИБ
операционный бизнес-риск
риски персонала
Риски IT-проекта
Управление рисками предприятия (ERM)
непрерывный процесс
на всех уровнях
выработка стратегии
определение событий, которые представляют опасность для организации
Современные концепции управления рисками
Модель зрелости
Уровень 1. Анархия
сотрудники сами определяют "хорошо"/"плохо"
затраты и качество не прогнозируются
отсутствует контроль изменений
высшее руководство плохо представляет реальное положение дел
Уровень 2. Фольклор
выявлена определенная а=повторяемость организационных процессов
опыт организации представлен в виде преданий корпоративной мифологии
знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении
Уровень 3. Стандарты
корпоративная мифология зафиксирована на бумаге
организация начинает адаптировать свой опыт к специфики бизнеса
производится анализ знаний и умений
Уровень 4. Измеряемый
процессы измеряемы и стандартизированы
Уровень 5. Оптимизируемый
фокус на повторяемости, измерении эффективности, оптимизации
вся информация о функционировании процессов фиксируется
FRAP (FACILITATED RISK ANALYSIS
PROCESS)
Причины применения
документация по рискам становится слишком объемной
точная и детальная оценка рисков требует много времени
точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
Команда
представители бизнес-подразделений
представители технических подразделений
специалисты в области ИБ
специалисты проектного офиса
Оценка вероятности и воздействий
Вероятность
высокая - очень вероятно, что угроза реализуется в течение следующего года
средняя - возможно угроза реализуется в течение следующего года
низкая - маловероятно, что угроза реализуется в течение следующего года
Воздействие - мера величины потерь или вреда, наносимому активу
Стратегии реагирования
Стратегии реагирования на угрозы
Уклонение
Передача
Снижение
Общие стратегии реагирования
Принятие
Механизм реагирования на непредвиденные обстоятельства
Стратегии реагирования на возможности
Использование
Усиление
CRAMM
Первая стадия
анализируется все, что касается идентификации и определения ценности ресурсов системы
Вторая стадия
проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы
Третья стадия
затем строится модель информационной системы с позиции ИБ