Детальное описание типовых ИТ-рисков от ISACA

cobit5_risk_scenariosСуществует множество подходов и стандартов по управлению рисками: CRAMM, COSO ERM, ISO 27005, OCTAVE, MEHARI... Все они с большей или меньшей детализацией описывают известный цикл «определение охвата-идентификация-анализ-оценка-реагирование-контроль», с 2009 года закрепленный в стандарте ISO 31000. Кроме того, каждая методика предлагает свой способ описания (формулирования) риска. ITSM-специалистам привычен взгляд на риск, как тройку «актив-угроза-уязвимость», которого придерживаются авторы ITIL. А, например, PMBOK советует использовать конструкцию «причина-событие-последствие».

ISACA еще со времен RiskIT, а теперь и в COBIT 5 for Risk предлагает использовать понятие сценария риска (Risk Scenario), которое включает в себя:

  • источник угрозы (Actor): внутренний/внешний
  • тип угрозы (Threat Type): злоумышленные действия, ошибка, природный катаклизм и т.д.
  • событие (Event): раскрытие информации, модификация, кража, уничтожение и т.д.
  • связанные активы (Asset/Resource): люди, оргструктуры, процессы, ИТ-инфраструктура и т.д.
  • время (Time). Любопытное расширение в остальном довольно привычной структуры описания риска, за счет которого предлагается учитывать, например, прогнозируемую длительность негативного влияния, критичность события к календарному периоду и/или времени суток.

Что примечательно, описанием структуры, в отличие от многих публикаций, COBIT 5 for Risk не ограничивается и приводит более сотни различных сценариев риска, разбитых на 20 категорий: от управления ИТ-инвестициями, программами и проектами до рисков, связанных с поставщиками, вредоносным ПО, атаками и регуляторами. А для каждой категории рисков COBIT 5 for Risk также дает рекомендации по снижению, группируя их по семи факторам влияния. Казалось, куда уж подробнее.

Однако в конце сентября вышла публикация Risk Scenarios Using COBIT 5 for Risk, в которой большая часть заявленных ранее сценариев описана согласно шаблону профиля риска (Risk Profile) и содержит следующую информацию:

  • конкретный пример реализации риска в некой организации
  • детальное описание каждого из пяти компонентов структуры сценария (см.выше)
  • влияние риска на три составляющие:​
  • получение ценности от ИТ (IT Benefit/Value Enablement)
  • исполнение ИТ программ и проектов (IT Programme and Project Delivery)
  • эксплуатация и предоставление ИТ-услуг (IT Operations and Service Delivery)
  • указание применимости стратегий реагирования (уклонение, принятие, передача, снижение)
  • применение семи факторов влияния (политики, принципы и подходы; процессы; оргструктура; культура, этика, поведение; информация; услуги, инфраструктура и приложения; люди, навыки и компетенции) для снижения риска. Причем, для каждой предлагаемой меры есть уточнение эффективности ее воздействия на вероятность и ущерб.
  • ключевые показатели риска (Key Risk Indicators — KRI) в привязке к ИТ-целям (из основной публикации COBIT 5) и целям процесса (из COBIT 5: Enabling Processes)

И так для КАЖДОГО риска на без малого двух сотнях страниц. Итого: существенное расширение COBIT 5 for Risk и, полагаю, самое подробное и актуальное описание типовых рисков, связанных с ИТ, которое ISACA в лучших традициях дополнила инструментами, которые пригодятся практикам. В комплекте с самой публикацией идет архив шаблонов профилей рисков по каждой из 20 категорий.

 

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

COBIT Основы COBIT 5

Подробный трёхдневный учебный курс.
 

Узнайте больше!

Комментарии и мнения

    1. Павел Дёмин Автор

      Конечно.

      1. Подсказка при составлении реестра рисков.

      2. Если риски уже идентифицированы и оценены: подсказка при разработке плана снижения рисков (в т.ч. планирование улучшений в части процессов). 

      3. Множество примеров метрик, которые можно примерить на себя при организации оценки и измерения процессов управления ИТ. 

      0
      0

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

НОЯ
27
Учебный курс:
Основы ITIL (очно)