Управление риском ИТ. Основы - страница 2

Exposure Factor (SF) – фактор воздействия – процент потерь, которые организация может понести, в случае если актив будет подвержен реализации риска.

Single Loss Expectancy (SLE) – единовременный ожидаемый убыток, стоимость, присущая единовременной реализации риска в отношении актива.

Asset Value (AV) – стоимость актива.

Annualized Rate of Occurrence (ARO) – частота реализации риска в год.

Annualized Loss Expectancy (ALE) – ожидаемые годовые убытки от реализации риска.

Количественная оценка

Используя метрики, приведенные выше, можно сделать количественную оценку потенциальных потерь в случае реализации риска, присущего ИТ. Например:

AV = $ 200 000

EF = 45%

ARO = 2 раза

SLE = AV × EF

ALE = SLE × ARO

Таким образом:

SLE = $ 200 000 × 45% = $ 90 000. В случае реализации риска ⠀в ⠀отношении ⠀актива ожидается потеря организацией $ 90 000.

ALE = $ 90 000 × 2 = $ 180 000. В случае реализации риска «2 раза» организация потеряет в два раза больше.

Ну и что это дает?

Зная о потенциальных потерях, даже приблизительно, менеджмент организации сможет более точно распределить расходы, сфокусировать необходимые ресурсы, экспертизу и усилия и принять более осознанные управленческие решения.

Качественная оценка

Качественная оценка – это более простой способ оценки вероятности возникновения, реализации риска. Однако требующий больше экспертизы с привлечением экспертов из различных областей, включая представителей бизнеса, ИТ, ИБ, внешних консультантов.

Качественная оценка, как правило, выполняется путем присвоения риску уровня его вероятности либо влияния на ту или иную цель организации, так называемый «Светофор»:

• Высокая/Higher (Красный).

• Средняя/Medium (Желтый).

• Низкая/Low (Зеленый).

Наиболее точная оценка риска достигается при использовании одновременно как количественной оценки риска, так и качественной.

1.3. ПРИМЕРЫ РИСКОВ ИТ

На мой взгляд, наиболее полно и точно риски, присущие ИТ, сформулированы в Международном стандарте по аудиту №315. Все остальные версии рисков ИТ и ИБ проистекают от этих категорий и общих формулировок. Приведу их в оригинале, без перевода:

• Reliance on systems or programs that are inaccurately processing data, processing inaccurate data, or both.

• Unauthorized access to data that may result in destruction of data or improper changes to data, including the recording of unauthorized or nonexistent transactions, or inaccurate recording of transactions. Particular risks may arise where multiple users access a common database.

• The possibility of IT personnel gaining access privileges beyond those necessary to perform their assigned duties thereby breaking down segregation of duties.

• Unauthorized changes to data in master files.

• Unauthorized changes to systems or programs.

• Failure to make necessary changes to systems or programs.

• Inappropriate manual intervention.

• Potential loss of data or inability to access data as required.

Примеры реализации ИТ-рисков

(рисковых событий)

Приведу для примера выдержки из общедоступных источников информации. Как я говорил в самом начале главы, «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Данная фраза применима к каждому событию, приведенному ниже:

1.4. УПРАВЛЕНИЕ РИСКОМ-ИТ

Так что же делать? Помните, ИТ-риском можно и нужно управлять. Этот подход в целом мало отличается от обычного подхода к управлению любой другой категорией рисков.