Перепелкіна Л.В.
Державний ВНЗ «Національний гірський університет»,
Україна
Постановка
процесу управління інформаційними ризиками.
Ризик - це подія, здатна (у
разі його реалізації) вплинути на хід виконання проекту. Ризики існують у всіх
проектах, але не завжди реалізуються. Ризик, який реалізувався, перетворюється
в проблему.
Вплив, або наслідок ризику -
вплив реалізованого ризику на
можливість виконати певні складові плану. Вплив звичайно стосується вартості,
графіка і технічних характеристик розроблюваного продукту. Наприклад, при
розробці ПЗ вплив ризику може призвести до того, що продукт перестане
задовольняти замовника в повній мірі або навіть стане непридатним. Вплив часто
має прихований період - від моменту прояву ризику до появи результуючої зміни в системі. Для оцінки впливу ризику
зазвичай використовують умовні одиниці або якісну шкалу (наприклад мале, істотне, велике, катастрофічне). Для
роботи з позитивними ризиками потрібно відповідним чином розширити шкалу.
Імовірність ризику -
ймовірність, з якою даний ризик перетвориться на проблему. Тут також
застосовується якісна шкала (мала ймовірність і т. д. - аж до вельми ймовірної). Але можуть використовуватися і чисельні
значення (зазвичай вибирають певний набір типових значень, наприклад, 0,1, 0,3
та 0,5; 0,7; 0,9). Слід зазначити, що подія, яка повинна обов'язково відбутися,
не є ризиком, і дії, які необхідно в зв'язку з ним зробити, визначаються в
рамках звичайного планування і управління, а не управління ризиками.
Управління
інформаційними ризиками - процес виявлення, аналізу та зменшення ризиків
інформаційної безпеки, які можуть принести або приносять шкоду інформаційній системі
компанії. Завдання управління ризиками включає в себе створення набору заходів
(засобів контролю), які дозволяють знизити рівень ризиків до припустимої
величини.
Інформаційні
технології значно розширили можливості бізнесу. Але нові можливості неминуче
пов'язані з новими загрозами, які втілившись, можуть призвести до відчутного
збитку компанії.
Сучасне
поле ведення бізнесу в Україні переповнене динамічно змінюваними ризиками
інформаційної безпеки. Для того, щоб зберегти конкурентоспроможність, необхідно
впроваджувати економічно виправдані заходи захисту цінних інформаційних
активів, що враховують безліч чинників. Серед них постійне збільшення кількості
електронних злочинів, жорсткі вимоги з боку держави і регуляторів, а також
збільшення залежності бізнесу від безперервності роботи інформаційної системи
підприємства.
Організація процесу управління
ризиками дозволить виявити і мінімізувати інформаційні ризики і представить ряд
переваг компанії:
• Підвищення
конкурентоспроможності та безпеки бізнесу в агресивному динамічному середовищі
ризиків;
• Оптимізація витрат на інформаційну безпеку;
• Визначеність у тому, наскільки потрібно
захищати інформаційні активи;
• Визначеність у тому, як краще досягти
прийнятного рівня інформаційної безпеки, і який рівень можна вважати
прийнятним;
• Керівництво зможе
приймати правильні стратегічні рішення, беручи до уваги інформацію про
актуальні ризиках;
• Інтеграція функцій
безпеки в усі аспекти обробки інформації в організації.
При постановці процесу
управління ризиками застосовують:
·
методики, що враховують положення та вимоги міжнародних
стандартів ISO / IEC 17799, ISO / IEC 27001 та CobiT (Control Objectives for
Information and related Technology), а також рекомендації NIST (National
Institute of Standards and Technology) ;
·
оригінальні методики, розроблені на основі власного
досвіду, а також світової практики та міжнародних стандартів; спеціальні
інструментальні засоби, засновані на структурних методах системного аналізу і
проектування (SSADM - Structured Systems Analysis and Design).
Постановка процесу управління
ризиками в кілька етапів:
1. Ініціалізація
управління ризиками інформаційної безпеки;
2. Ідентифікація
інформаційних активів та їх цінності;
3. Ідентифікація загроз
і вразливостей інформаційної безпеки;
4. Оцінка і аналіз ризиків;
5. Планування коштів і
методів мінімізації інформаційних ризиків;
6. Впровадження засобів
контролю;
7. Моніторинг і контроль
інформаційних ризиків.