управления риском
Существует общепризнанный подход к организации управления рисками, основная его цель – повысить эффективность процесса управления и снизить вероятность нарушения принципа разграничения полномочий. Подход подразумевает разделение функционала участников процесса управления рисками и их логическое разделение на три линии защиты. Поговорим о них более подробно.
Первая линия – это бизнес-подразделения организации, все те, кто участвует в ее повседневной деятельности. Например, менеджеры по продажам/закупкам, по работе с клиентами, ИТ-подразделения, финансовый, налоговый департаменты и т. д.
Вторая линия – это эксперты в области управления рисками. Например, функция внутреннего контроля, функция управления рисками.
Третья линия – это функция внутреннего аудита. Независимое подразделение организации, проверяющее, эффективное выполнение и соблюдение первой линией правил, установленных второй линией и других требований, предъявляемых к организации.
При этом может быть еще четвертая линия – это регулирующие органы, независимый внешний аудитор и другие внешние заинтересованные участники.
Этапы управления риском ИТ
Управление ИТ-риском – это цикличный процесс. Давайте разберем каждый шаг.
1.5. ИДЕНТИФИКАЦИЯ РИСКА ИТ И ОПРЕДЕЛЕНИЕ
АППЕТИТА К РИСКУ
Идентификация риска ИТ – это процесс обнаружения, распознавания и документирования риска, которому подвержена организация.
Оценка и приоритезация идентифицированных
риска ИТ
Оценка риска ИТ – это анализ рисковых сценариев, их приоритезация и оценка. Оценка может быть как качественной (высокий/средний/низкий), так и количественной (недоступность ИТ-системы в минутах / денежные потери от недоступности ИТ-системы, потери данных).
Снижение риска ИТ
Снижение риска ИТ – это выработка мер, способствующих уменьшению вероятности реализации рисковых сценариев, обнаруженных на шаге идентификации рисков. Мерами могут быть различные управленческие документы, включая политики7 организации, приказы, а также меры, предпринимаемые организацией, такие как различные формализованные процедуры и мероприятия, например, ограничение доступа и мониторинг действий пользователей ИТ-систем, настройки безопасности ИТ-систем, резервное копирование и другие.
Мониторинг и контроль риска ИТ,
формирование отчетности по риску
Мониторинг риска ИТ – это выработка ключевых индикаторов риска, наблюдение и оценка эффективности процессов и процедур, направленных на снижение риска, актуализация и обновление профиля рисков (перечня рисков, присущих ИТ).
Это финальный этап управления. Как правило, весь цикл повторяется ежегодно, а иногда и чаще.
Ценность