Управление риском ИТ. Основы
Шрифт:
Качественная оценка
Качественная оценка – это более простой способ оценки вероятности возникновения, реализации риска. Однако требующий больше экспертизы с привлечением экспертов из различных областей, включая представителей бизнеса, ИТ, ИБ, внешних консультантов.
Качественная оценка, как правило, выполняется путем присвоения риску уровня его вероятности либо влияния на ту или иную цель организации, так называемый «Светофор»:
• Высокая/Higher (Красный).
• Средняя/Medium (Желтый).
• Низкая/Low (Зеленый).
Наиболее точная оценка риска достигается при использовании
1.3. ПРИМЕРЫ РИСКОВ ИТ
На мой взгляд, наиболее полно и точно риски, присущие ИТ, сформулированы в Международном стандарте по аудиту №315. Все остальные версии рисков ИТ и ИБ проистекают от этих категорий и общих формулировок. Приведу их в оригинале, без перевода:
• Reliance on systems or programs that are inaccurately processing data, processing inaccurate data, or both.
• Unauthorized access to data that may result in destruction of data or improper changes to data, including the recording of unauthorized or nonexistent transactions, or inaccurate recording of transactions. Particular risks may arise where multiple users access a common database.
• The possibility of IT personnel gaining access privileges beyond those necessary to perform their assigned duties thereby breaking down segregation of duties.
• Unauthorized changes to data in master files.
• Unauthorized changes to systems or programs.
• Failure to make necessary changes to systems or programs.
• Inappropriate manual intervention.
• Potential loss of data or inability to access data as required.
Примеры реализации ИТ-рисков
(рисковых событий)
Приведу для примера выдержки из общедоступных источников информации. Как я говорил в самом начале главы, «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Данная фраза применима к каждому событию, приведенному ниже:
1.4. УПРАВЛЕНИЕ РИСКОМ-ИТ
Так что же делать? Помните, ИТ-риском можно и нужно управлять. Этот подход в целом мало отличается от обычного подхода к управлению любой другой категорией рисков.
Давайте внесем ясность в термин «Управление риском». ISACA CRISC 6 дает следующее определение: «Управление риском – это скоординированные действия по управлению и контролю за деятельностью организации с учетом возможного риска».
6
ISACA: CRISC – Certified in Risk and Information Systems Control.
Риск можно рассматривать в контексте вероятности того, что цели организации не будут достигнуты. И управление риском – это способ предсказания подобной вероятности, снижения шансов на возникновение, снижения последствий возникновения. При этом эффективное управление риском может позволить организации максимизировать свои возможности.
Три линии защиты.
Участники процесса управления риском
Существует
Первая линия – это бизнес-подразделения организации, все те, кто участвует в ее повседневной деятельности. Например, менеджеры по продажам/закупкам, по работе с клиентами, ИТ-подразделения, финансовый, налоговый департаменты и т. д.
Вторая линия – это эксперты в области управления рисками. Например, функция внутреннего контроля, функция управления рисками.
Третья линия – это функция внутреннего аудита. Независимое подразделение организации, проверяющее, эффективное выполнение и соблюдение первой линией правил, установленных второй линией и других требований, предъявляемых к организации.
При этом может быть еще четвертая линия – это регулирующие органы, независимый внешний аудитор и другие внешние заинтересованные участники.
Этапы управления риском ИТ
Управление ИТ-риском – это цикличный процесс. Давайте разберем каждый шаг.
1.5. ИДЕНТИФИКАЦИЯ РИСКА ИТ И ОПРЕДЕЛЕНИЕ
АППЕТИТА К РИСКУ
Идентификация риска ИТ – это процесс обнаружения, распознавания и документирования риска, которому подвержена организация.
Оценка и приоритезация идентифицированных
риска ИТ
Оценка риска ИТ – это анализ рисковых сценариев, их приоритезация и оценка. Оценка может быть как качественной (высокий/средний/низкий), так и количественной (недоступность ИТ-системы в минутах / денежные потери от недоступности ИТ-системы, потери данных).
Снижение риска ИТ
Снижение риска ИТ – это выработка мер, способствующих уменьшению вероятности реализации рисковых сценариев, обнаруженных на шаге идентификации рисков. Мерами могут быть различные управленческие документы, включая политики 7 организации, приказы, а также меры, предпринимаемые организацией, такие как различные формализованные процедуры и мероприятия, например, ограничение доступа и мониторинг действий пользователей ИТ-систем, настройки безопасности ИТ-систем, резервное копирование и другие.
7
Политика организации – заявление о намерениях, которые реализуются через процедуры или протокол. Политика, изложенная в виде руководящего документа, как правило, принимается высшим руководящим органом организации, в то время как процедуры или протоколы разрабатываются и принимаются ее старшими руководителями. https://ru.wikipedia.org