Информатизация бизнеса. Управление рисками
Шрифт:
4) организационные риски, угрожающие невозможностью управлять системой, данными или всей ИТ-инфраструктурой из-за отсутствия должной технической документации, регламентов, правил работы сотрудников компании и сотрудников ИТ-службы, избыточных прав доступа к системам и данным, отсутствием элементарной защиты от вирусов и сетевых вторжений.
Аудит информационной безопасности является одной из составляющих ИТ-аудита и представляет собой комплекс организационно-технических мероприятий, проводимых независимыми экспертами, имеющих целью оценку состояния информационной безопасности объекта аудита и степени его соответствия критериям аудита.
Целью аудита
• оценка текущего уровня защищенности ИТ;
• выявление рисков и уязвимостей в системе защиты;
• анализ угроз, которые могут быть реализованы через обнаруженные уязвимости;
• оценка соответствия требованиям системы информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности, а также по приведению в соответствие требованиям системы информационной безопасности.
Результатом проведения ИТ-аудита является «Отчет о текущем состоянии исследуемых областей», который содержит выводы о необходимости развития или модернизации существующих систем с учетом выявленных рисков на основе проведенного анализа, а также рекомендации о возможных направлениях развития, технологических или организационных решениях в области ИТ.
Глава 4
Этапы управления риском ИТ
4.1. Планирование и идентификация рисков
Управление рисками – это целенаправленные процессы, связанные с идентификацией, анализом рисков и принятием управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь на протяжении всего жизненного цикла проекта.
Как и любая другая деятельность в проекте, управление рисками требует времени и затрат ресурсов. Поэтому эта работа обязательно должна планироваться. На этапе планирования рисков (первом этапе процесса управления рисками) происходят организация работ и планирование действий по управлению рисками с привязкой к жизненному циклу ИТ-проекта. То есть планирование управления рисками – это процесс определения подходов и планирования операций по управлению рисками проекта.
Во время этапа планирования необходимо ответить на следующие вопросы: как будет реализовываться процесс управления рисками? Из каких шагов состоит этот процесс? Какие именно действия, роли участников и их обязанности, результаты характеризуют каждый шаг? Кто будет осуществлять действия по управлению рисками? Какие для этого требуются навыки/квалификация? Какой инструментарий и какие методики будут применены? Какой терминологический аппарат будет использован для классификации и оценки? Какова процедура приоритезации рисков? Как будут строиться планы управления рисками и планы мероприятий по смягчению возможных негативных последствий? Какие действия будут предпринимать отдельные члены проектной группы для управления рисками? Как будет выполняться мониторинг управления рисками? Какая инфраструктура (базы данных, программные инструменты, хранилища данных) будет использована для обеспечения процесса управления рисками?
Планирование управления рисками может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации рисков, регламент выполнения процедур. Важно спланировать управление рисками, адекватное как уровню неопределенности и риска, так и важности проекта для организации.
По статистике мировой консалтинговой компании IBM, занимающейся реализацией проектов в области ИТ в различных индустриях, на стадии предварительной
Целью этапа планирования управления рисками является разработка плана управления рисками, который содержит:
обоснование выбора методологии управления рисками. В зависимости от выбранной методологии могут выполняться определенные этапы, использоваться различные средства управления рисками;
детальные планы управления рисками. Тщательное и подробное планирование управления рисками позволяет выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками, определить общие основания для оценки рисков, повысить вероятность успешного достижения результатов проекта. Данные о выделенных ресурсах и оценка стоимости мероприятий, необходимых для управления рисками, включаются в базовый план по стоимости проекта. Необходимо предусмотреть обеспечение планов управления рисками посредством их интеграции в общие процессы управления ИТ-проектом;
определение роли и ответственности в процессе управления рисками и обеспечение вовлеченности участников. Помимо распределения ролей и ответственности, необходимо выделить список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности;
определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте. Организации могут иметь заранее разработанные подходы к управлению рисками, например категории рисков, общие определения понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений, что необходимо прописать в плане управления рисками на этапе планирования;
определение пороговых уровней рисков. Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом. Оно должно быть зафиксировано в изложении основных принципов и подходов к управлению рисками;
определение методов идентификации и оценки рисков, критериев приоритезации идентифицированных рисков. В зависимости от выбранной методологии происходит определение сроков и частоты выполнения идентификации и оценки рисков на протяжении всего жизненного цикла проекта, а также определение методов по идентификации и оценке рисков;
принципы учета и документирования. На этапе планирования происходят определение частоты и формата отчетности, разработка шаблонов для документирования процесса управления рисками, определяются регламенты и правила написания и оформления документов.
Планирование управления рисками должно быть завершено на ранней стадии планирования проекта, поскольку оно крайне важно для успешного выполнения других процессов. План управления рисками проекта разрабатывается на основе внутренних документов предприятия, а также контрактов с внешними заинтересованными сторонами.