Целью аудита информационной безопасности являются:
• оценка текущего уровня защищенности ИТ;
• выявление рисков и уязвимостей в системе защиты;
• анализ угроз, которые могут быть реализованы через обнаруженные уязвимости;
• оценка соответствия требованиям системы информационной безопасности;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности, а также по приведению в соответствие требованиям системы информационной безопасности.
Результатом проведения ИТ-аудита является «Отчет о текущем состоянии исследуемых областей», который содержит выводы о необходимости развития или модернизации существующих систем с учетом выявленных рисков на основе проведенного анализа, а также рекомендации о возможных направлениях развития, технологических или организационных решениях в области ИТ.
Глава 4
Этапы управления риском ИТ
4.1. Планирование и идентификация рисков
Управление рисками – это целенаправленные процессы, связанные с идентификацией, анализом рисков и принятием управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь на протяжении всего жизненного цикла проекта.
Как и любая другая деятельность в проекте, управление рисками требует времени и затрат ресурсов. Поэтому эта работа обязательно должна планироваться. На этапе планирования рисков (первом этапе процесса управления рисками) происходят организация работ и планирование действий по управлению рисками с привязкой к жизненному циклу ИТ-проекта. То есть планирование управления рисками – это процесс определения подходов и планирования операций по управлению рисками проекта.
Во время этапа планирования необходимо ответить на следующие вопросы: как будет реализовываться процесс управления рисками? Из каких шагов состоит этот процесс? Какие именно действия, роли участников и их обязанности, результаты характеризуют каждый шаг? Кто будет осуществлять действия по управлению рисками? Какие для этого требуются навыки/квалификация? Какой инструментарий и какие методики будут применены? Какой терминологический аппарат будет использован для классификации и оценки? Какова процедура приоритезации рисков? Как будут строиться планы управления рисками и планы мероприятий по смягчению возможных негативных последствий? Какие действия будут предпринимать отдельные члены проектной группы для управления рисками? Как будет выполняться мониторинг управления рисками? Какая инфраструктура (базы данных, программные инструменты, хранилища данных) будет использована для обеспечения процесса управления рисками?
Планирование управления рисками может включать в себя решения по организации, кадровому обеспечению процедур управления рисками проекта, выбор предпочтительной методологии, источников данных для идентификации рисков, регламент выполнения процедур. Важно спланировать управление рисками, адекватное как уровню неопределенности и риска, так и важности проекта для организации.
По статистике мировой консалтинговой компании IBM, занимающейся реализацией проектов в области ИТ в различных индустриях, на стадии предварительной проработки и планирования внедрения проекта (первые 10 %) закладывается более 90 % его полезности. Именно в это время закладываются наиболее болезненные последствия: срыв сроков, нереальный бюджет, ущербная функциональность. При этом консультанты и заказчики видят проблемы неодинаково, что приводит к различным методам управления рисками, которые планируются на ранних этапах. Каждая компания должна разработать собственный план управления рисками, содержащий общие регламенты и рекомендуемые методики.
Целью этапа планирования управления рисками является разработка плана управления рисками, который содержит:
обоснование выбора методологии управления рисками. В зависимости от выбранной методологии могут выполняться определенные этапы, использоваться различные средства управления рисками;
детальные планы управления рисками. Тщательное и подробное планирование управления рисками позволяет выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками, определить общие основания для оценки рисков, повысить вероятность успешного достижения результатов проекта. Данные о выделенных ресурсах и оценка стоимости мероприятий, необходимых для управления рисками, включаются в базовый план по стоимости проекта. Необходимо предусмотреть обеспечение планов управления рисками посредством их интеграции в общие процессы управления ИТ-проектом;
определение роли и ответственности в процессе управления рисками и обеспечение вовлеченности участников. Помимо распределения ролей и ответственности, необходимо выделить список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности;
определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте. Организации могут иметь заранее разработанные подходы к управлению рисками, например категории рисков, общие определения понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений, что необходимо прописать в плане управления рисками на этапе планирования;
определение пороговых уровней рисков. Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом. Оно должно быть зафиксировано в изложении основных принципов и подходов к управлению рисками;
определение методов идентификации и оценки рисков, критериев приоритезации идентифицированных рисков. В зависимости от выбранной методологии происходит определение сроков и частоты выполнения идентификации и оценки рисков на протяжении всего жизненного цикла проекта, а также определение методов по идентификации и оценке рисков;
принципы учета и документирования. На этапе планирования происходят определение частоты и формата отчетности, разработка шаблонов для документирования процесса управления рисками, определяются регламенты и правила написания и оформления документов.
