Управления рисками – процесс принятия и выполнения управленческих решений, которые направленны на снижение вероятности возникновения неблагоприятного результата и минимизируют влияние возможных потерь на организацию убытков, вызванных случайными событиями.
Данный раздел содержит основные принципы управления рисками при проектировании архитектуры, которые должны быть приняты во внимание. В процессе разработки и внедрения различных сервисов ИТ архитектуры необходимо проводить непрерывный процесс управления рисками. Для управления ИТ рисками можно воспользоваться как общими методиками так м специфичными для ИТ. Данная глава учитывает рекомендации стандарта «Управления и анализа рисков ISO 73: 2009», а также методика CRAMM v5 (CCTA Risk Analysis & Management Method) на основе требований организации CCTA (Central Computer and Telecommunications Agency) которая соответствует стандарту BS7799/ ISO17799.
Общую классификацию рисков можно представить, как:
Внутренние риски:
•Проектные,
•Технические,
•Технологические,
•Организационные,
•Финансовые и т п
Внешние риски:
•Природные,
•Политические,
•Социальные,
•Экономические и т п
По типу:
•Предсказуемые
•Не предсказуемые
По характеру:
•Преднамеренные
•Не преднамеренные
По виду:
•Прямые
•Косвенные
По результату:
•Нарушение функционирования,
•Нарушение целостности,
•Нарушение достоверности
•Нарушение конфиденциальности
По механизму воздействия:
•Аварии
•Ошибка персонала
К основным критериям оценки ценности ресурсов можно отнести следующие:
•Ущерб для репутации организации
•Безопасность персонала
•Разглашение персональных данных
•Разглашение конфиденциальных данных
•Разглашение коммерческой информации и сведений
•Санкции со стороны надзорных и государственных органов
•Финансовые потери
•Нарушения нормального функционирования организации
В качестве основных шагов можно принять следующие действия:
Организация процесса управления рисками (General Risk Management)
•Разработка процесса, политик и процедур по Управлению Рисками
•Классификация ресурсов, рисков, уязвимостей, угроз
•Классификация реакции на риски и методов оценки
•Формирование комитета Управления Рисками
•Формирование экспертной группы, в состав которой входят специалисты ИТ, а также специалисты бизнеса.
Идентификация и оценка ресурсов (Identification and Valuation of Assets)
•Экспертная группа идентифицирует и оценивает ценность ресурсов
•Экспертная группа идентифицирует возможные риски
Оценка угроз и уязвимостей (Threat and Vulnerability Assessment)
•Экспертная группа оценивает уязвимости систем
•Экспертная группа оценивает угрозы систем
Анализ Рисков (Risk Analysis)
•Экспертная группа проводит качественный и количественный анализ рисков. В качестве основных критериев определяются: «вероятность» и «влияние» и классифицируются по значениям: «высокое», «среднее» и «низкое».
•Проводится количественный анализ рисков (при необходимости)
•Экспертная группа группирует риски и формирует матрицу (реестр) рисков
Управление Рисками (Risk Management)
•Концентрируется внимание на рисках со значениями «высокое» и «среднее».
•Определяется реакция на риски (принятие, снижение, передача и т п)
•Определяются возможные контрмеры и стоимость их внедрения
•Формируется ряд сценариев проекта как минимум «негативный», «позитивный» и «реалистичный»
