Максим Торнов

Управление риском ИТ. Основы


Скачать книгу

управления риском

      Существует общепризнанный подход к организации управления рисками, основная его цель – повысить эффективность процесса управления и снизить вероятность нарушения принципа разграничения полномочий. Подход подразумевает разделение функционала участников процесса управления рисками и их логическое разделение на три линии защиты. Поговорим о них более подробно.

      Первая линия – это бизнес-подразделения организации, все те, кто участвует в ее повседневной деятельности. Например, менеджеры по продажам/закупкам, по работе с клиентами, ИТ-подразделения, финансовый, налоговый департаменты и т. д.

      Вторая линия – это эксперты в области управления рисками. Например, функция внутреннего контроля, функция управления рисками.

      Третья линия – это функция внутреннего аудита. Независимое подразделение организации, проверяющее, эффективное выполнение и соблюдение первой линией правил, установленных второй линией и других требований, предъявляемых к организации.

      При этом может быть еще четвертая линия – это регулирующие органы, независимый внешний аудитор и другие внешние заинтересованные участники.

      Этапы управления риском ИТ

      Управление ИТ-риском – это цикличный процесс. Давайте разберем каждый шаг.

      1.5. ИДЕНТИФИКАЦИЯ РИСКА ИТ И ОПРЕДЕЛЕНИЕ

      АППЕТИТА К РИСКУ

      Идентификация риска ИТ – это процесс обнаружения, распознавания и документирования риска, которому подвержена организация.

      Оценка и приоритезация идентифицированных

      риска ИТ

      Оценка риска ИТ – это анализ рисковых сценариев, их приоритезация и оценка. Оценка может быть как качественной (высокий/средний/низкий), так и количественной (недоступность ИТ-системы в минутах / денежные потери от недоступности ИТ-системы, потери данных).

      Снижение риска ИТ

      Снижение риска ИТ – это выработка мер, способствующих уменьшению вероятности реализации рисковых сценариев, обнаруженных на шаге идентификации рисков. Мерами могут быть различные управленческие документы, включая политики7 организации, приказы, а также меры, предпринимаемые организацией, такие как различные формализованные процедуры и мероприятия, например, ограничение доступа и мониторинг действий пользователей ИТ-систем, настройки безопасности ИТ-систем, резервное копирование и другие.

      Мониторинг и контроль риска ИТ,

      формирование отчетности по риску

      Мониторинг риска ИТ – это выработка ключевых индикаторов риска, наблюдение и оценка эффективности процессов и процедур, направленных на снижение риска, актуализация и обновление профиля рисков (перечня рисков, присущих ИТ).

      Это финальный этап управления. Как правило, весь цикл повторяется ежегодно, а иногда и чаще.

      Ценность