Максим Торнов

Управление риском ИТ. Основы


Скачать книгу

способ предсказания подобной вероятности, снижения шансов на возникновение, снижения последствий возникновения. При этом эффективное управление риском может позволить организации максимизировать свои возможности.

      Три линии защиты.

      Участники процесса управления риском

      Существует общепризнанный подход к организации управления рисками, основная его цель – повысить эффективность процесса управления и снизить вероятность нарушения принципа разграничения полномочий. Подход подразумевает разделение функционала участников процесса управления рисками и их логическое разделение на три линии защиты. Поговорим о них более подробно.

      Первая линия – это бизнес-подразделения организации, все те, кто участвует в ее повседневной деятельности. Например, менеджеры по продажам/закупкам, по работе с клиентами, ИТ-подразделения, финансовый, налоговый департаменты и т. д.

      Вторая линия – это эксперты в области управления рисками. Например, функция внутреннего контроля, функция управления рисками.

      Третья линия – это функция внутреннего аудита. Независимое подразделение организации, проверяющее, эффективное выполнение и соблюдение первой линией правил, установленных второй линией и других требований, предъявляемых к организации.

      При этом может быть еще четвертая линия – это регулирующие органы, независимый внешний аудитор и другие внешние заинтересованные участники.

      Этапы управления риском ИТ

      Управление ИТ-риском – это цикличный процесс. Давайте разберем каждый шаг.

      1.5. ИДЕНТИФИКАЦИЯ РИСКА ИТ И ОПРЕДЕЛЕНИЕ

      АППЕТИТА К РИСКУ

      Идентификация риска ИТ – это процесс обнаружения, распознавания и документирования риска, которому подвержена организация.

      Оценка и приоритезация идентифицированных

      риска ИТ

      Оценка риска ИТ – это анализ рисковых сценариев, их приоритезация и оценка. Оценка может быть как качественной (высокий/средний/низкий), так и количественной (недоступность ИТ-системы в минутах / денежные потери от недоступности ИТ-системы, потери данных).

      Снижение риска ИТ

      Снижение риска ИТ – это выработка мер, способствующих уменьшению вероятности реализации рисковых сценариев, обнаруженных на шаге идентификации рисков. Мерами могут быть различные управленческие документы, включая политики7 организации, приказы, а также меры, предпринимаемые организацией, такие как различные формализованные процедуры и мероприятия, например, ограничение доступа и мониторинг действий пользователей ИТ-систем, настройки безопасности ИТ-систем, резервное копирование и другие.

      Мониторинг и контроль риска ИТ,

      формирование отчетности по риску

      Мониторинг риска ИТ – это выработка ключевых индикаторов риска, наблюдение и оценка эффективности процессов и процедур, направленных на снижение риска, актуализация и обновление