Тема 4. Риски ис и риск-менеджмент ит

 

Вопросы:

1.     Понятие ИТ-риска, классификация.

2.     Способы управления рисками (уточнение, предотвращение, накопление, исследование).

Содержание темы (дидактические единицы и их характеристика):

Развитие и распространение информационных технологий в управлении: усложнение предметных технологий, невозможность использования их без ИТ. Зависимость процессов управления от качества ИТ. Место риска ИТ среди управленческих рисков. Схема рисков Гулда: технологические (риски эксплуатации систем) и внедренческие (проектные) риски.

Традиционный подход – общий подход к управлению риском. Сведение рисков к проблеме безопасности. Базельский комитет и его методы управления операционным риском. Отличие определения операционного риска Базельского комитета от определения Гулда. Новый подход – использование понятия «информационного» риска. Декомпозиция риска. Системы принятия решений в управлении риском. Способы классификации рисков ИС и методы их регулирования: организационные, технические, технологические и финансовые.

Риски ИС на различных этапах их жизненного цикла. Оценка ожидаемых рисков закупки ИС, периода внедрения ИС, периода эксплуатации ИС и управление ими.

В результате успешного изучения темы Вы узнаете:

       понятие риска в ИТ;

       о подходах к классификации рисков;

       виды рисков в ИТ;

       об условиях возникновения рисковых ситуаций;

       о регулировании различных видов рисков;

       о методологии управления рисками.

и приобретете следующие навыки (компетенции):

       идентификации рисков, способных повлиять на проект автоматизации;

       анализа возможных последствий, которые могут возникнуть в случае возникновения рисковых ситуаций при различных стратегиях автоматизации;

       в оценке рисков, возникающих при внедрении ИС на предприятии;

       разработки плана реагирования на риски.

В процессе освоения темы акцентируйте внимание на следующих понятиях:

       риск;

       угроза;

       уязвимость информационной системы;

       убыток;

       политика безопасности.

 

Теоретический материал

В экономической литературе широко распространено суждение о риске как о возможности опасности или неудаче:

       риск - это ситуативная характеристика деятельности любого производителя, отображающая неопределенность ее исхода и возможные неблагоприятные последствия в случае неуспеха;

       риск - неопределенность, связанная с некоторым событием;

       риск - это вероятность возникновения убытков или недополучения доходов по сравнению с прогнозируемым вариантом;

       риск - это действие, выполняемое в условиях выбора, когда в случае неудачи существует возможность оказаться в худшем положении, чем до выбора;

       риск - это деятельность, связанная с преодолением неопределенности в ситуации неизбежного выбора, в процессе которого имеется возможность количественно и качественно оценить вероятность достижения предполагаемого результата, неудачи и отклонения от цели.

Любой рисковой ситуации сопутствуют три условия:

       наличие неопределённости;

       необходимость выбора альтернативы;

       возможность оценить вероятность осуществления выбираемых альтернатив.

Раскрыть природу возникновения риска можно через описание взаимосвязи следующих основных элементов:

       возможность отклонения от предполагаемой цели ради которой осуществляется выбранная альтернатива;

       вероятность достижения желаемого результата;

       отсутствие уверенности в достижении поставленной цели;

       возможность потерь, связанных с осуществлением выбранной в условиях неопределённости альтернативы;

Раскрыть природу возникновения риска можно через описание взаимосвязи следующих основных элементов:

       возможность отклонения от предполагаемой цели, ради которой осуществляется выбранная альтернатива;

       вероятность достижения желаемого результата;

       отсутствие уверенности в достижении поставленной цели;

       возможность потерь, связанных с осуществлением выбранной в условиях неопределённости альтернативы.

Исходя из российской практики, риск можно представить как вероятность потерь вследствие неопределённости. Однако, согласно западной практике, риск — это нечто, что является следствием неопределённости и может приводить к потерям и дополнительным возможностям.

Существуют следующие подходы к классификации рисков.

•         По связи с другими рисками:

•         коррелированный – некоррелированный;

•         замещаемый – незамещаемый;

•         первичный – сложный.

•         По масштабам последствий:

•         катастрофический;

•         критический;

•         значительный;

•         умеренный;

•         незначительный.

•         По возможностям управления риском:

•         явный – скрытый;

•         измеримый – прогнозируемый - непредсказуемый;

•         передаваемый – непередаваемый;

•         управляемый – неуправляемый;

•         прямой – косвенный.

•         По экономическим последствиям:

–       банкротства;

–       потери капитала;

–       потери дохода;

–       упущенной прибыли;

–       неэффективных инвестиций.

Сложилась следующая классификация IT-рисков.

 Таблица 5

Классификация IT‑рисков

Традиционный подход	Price WaterHouse Coopers	По ответственности за риск
 Организационные  Технические  Технологические  Финансовые	 Операционные  Технические  Финансовые  Стратегические	 Проектные  Технические  Финансовые

 

 К организационным рискам относится:

–       риск ошибок в бюджете;

–       риск ошибок в плане-графике работ;

–       риск проблем с персоналом;

–       риск изменения требований к проекту;

–       риск неэффективного планирования;

–       зависимость от ключевого персонала:

•         саботаж;

•         недоступность человека.

Как правило ответственность за данный вид риска несёт руководитель проекта, руководитель направления (или компании).

К техническим рискам можно отнести приостановку деятельности из-за чрезвычайных ситуаций, сбоя оборудования, сбоя системного ПО.

К технологическим рискам относятся:

–        риск невозможности реализации решения;

–        риск неспособности разработчиков реализовать задачу;

–        риск недостаточной производительности системы;

–        риск затруднений при внедрении (например, адаптация);

–        вирусы;

–        логические бомбы;

–        округление вниз или отрезание;

–        изменение данных в момент или сразу после ввода;

–        перехват и воровство информации;

Обычно за технологические риски отвечает технический руководитель, ведущий аналитик.

Финансовые риски — это:

–        риск сокращения бюджета;

–        риск ошибки в оценке рынка программного продукта;

–        риск потери интереса к проекту со стороны пользователей;

–        риск контрагентов:

•         разногласия в терминологии;

•         приостановка деятельности 3его лица;

•         невыполнение обязательств;

•         риск зависимости;

•         неформальные отношения с персоналом.

Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат

Если топ-менеджер в состоянии оценить затраты на мероприятия по минимизации критичных рисков, а также четко представляет, сколько денег компания может потерять вследствие реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня безопасности, то достижение необходимой степени защиты с минимальными затратами становится более реальным. Таким образом, бизнесу требуется полноценная система управления рисками.

Для построения системы управления рисками информационной безопасности необходимо ввести следующие понятия:

          Угроза — потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на бизнес-процессы компании, IT-системы, а также на информационные активы компании. Иначе говоря, угроза — это нечто плохое, что когда-нибудь может произойти.

          Уязвимость информационной системы — тот или иной ее недостаток, из-за которого становится возможным нежелательное воздействие на нее со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

          Убыток — потенциально возможные прямые и косвенные финансовые потери, которые произошли вследствие реализации угрозы и уязвимости.

Процесс минимизации IT-рисков следует рассматривать комплексно:

1.      Сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

2.      Сможет ли компания в короткий срок интегрировать существующие технологии работы с информацией в системы предприятия, являющегося объектом слияния или приобретения? Например, в компании установлена одна или несколько учетных систем, с помощью которых финансисты получают данные для составления консолидированной отчетности. При покупке нового предприятия выясняется, что у него установлена другая учетная система. Поэтому у компании должен быть четкий план трансформации такой отчетности в стандарты, принятые на головном предприятии. В противном случае она может потерять оперативный контроль над ситуацией.

3.      Позволяет ли организация документооборота компании в существующих системах продолжить ее деятельность в прежнем режиме в случае ухода ключевых сотрудников?

4.      Эта проблема чрезвычайно актуальна для российских компаний, поскольку даже финансовая и бухгалтерская информация зачастую вводится и хранится в произвольном виде, не говоря уже о сведениях, касающихся клиентов и т. п. Это ведет к дополнительным затратам времени новых сотрудников на «вхождение» в курс дела и повышает вероятность возникновения ошибок.

5.      Обеспечена ли защита интеллектуальной собственности компании и ее клиентов?

6.      Имеет ли компания четкий алгоритм действий в критической ситуации, например в случае сбоев в работе компьютерных сетей или вирусной атаки?

7.      Соответствует ли способ работы информационных систем общим задачам компании? (Если перед компанией стоит задача иметь общий центр управления денежными потоками, а учетные системы, установленные в разных филиалах, не связаны между собой, то поставленная задача не будет решена).

Точно определить возможный ущерб от большинства IT-рисков довольно сложно, но примерно оценить их вполне возможно.

Как показывает опыт многих российских компаний, наиболее успешные стратегии предупреждения IT-рисков базируются на трех основных правилах.

        Доступ сотрудников к информационным системам и документам компании должен быть различен в зависимости от важности и конфиденциальности содержания документа.

        Компания должна контролировать доступ к информации и обеспечивать защиту уязвимых мест информационных систем.

        Информационные системы, от которых напрямую зависит деятельность компании (стратегически важные каналы связи, архивы документов, компьютерная сеть), должны работать бесперебойно даже в случае кризисной ситуации или иметь возможность оперативного развёртывания при форс-мажорных обстоятельств на другой площадке.

Для обеспечения необходимой защиты от IT-рисков и контроля безопасности можно провести следующие мероприятия.

Определить круг лиц, отвечающих за информационную безопасность, создать нормативные документы, в которых будут описаны действия персонала компании, направленные на предотвращение IT-рисков, а также обеспечить резервные мощности для работы в критической ситуации.

Разработать единые стандарты информационных систем в рамках организации, то есть перейти к единым отчетным формам, а также единым правилам расчета показателей, которые будут применяться во всех программных продуктах компании, используемых для этой цели.

Классифицировать данные по степени конфиденциальности и разграничить права доступа к ним.

Следить за тем, чтобы любые документы, обращающиеся внутри организации, создавались с помощью систем, централизованно установленных на компьютерах. Установка любых других программ должна быть санкционирована, иначе риск сбоев и вирусных атак резко возрастет.

Внедрить средства контроля, позволяющие отслеживать состояние всех корпоративных систем: в случае несанкционированного доступа система должна или автоматически запрещать вход, или сигнализировать об опасности, чтобы персонал мог принять меры.

Разработать и создать систему, позволяющую оперативно восстановить работоспособность IT- инфраструктуры при технических сбоях.

Помимо перечисленных мер необходимо подготовиться к последствиям возможных кризисных ситуаций и описать действия компании по выходу из кризиса. Для этого следует:

-      проанализировать сценарии проникновения посторонних лиц или не имеющих соответствующих полномочий сотрудников компании во внутреннюю информационную сеть, а также провести учебные мероприятия с целью отработки модели поведения сотрудников, ответственных за информационную безопасность, в кризисных ситуациях;

-      разработать варианты решения проблем, связанных с кадрами, включая уход из компании ключевых сотрудников, например составить и ознакомить персонал с планом преемственности управления на предприятии;

-      подготовить запасные информационные мощности (серверы, компьютеры), а также резервные линии связи. Максимально повысить отказоустойчивость IT - инфраструктуры.

Если бизнес компании во многом зависит от состояния ее информационных сетей (например, у фирм, занимающихся разработкой компьютерных программ), необходимо назначить ответственного за разработку, внедрение и контроль исполнения корпоративных правил, направленных на снижение IT-рисков. Желательно, чтобы такой координатор не имел отношения к IT-структуре компании (например, исполнительный директор).

Считается, что сотрудник, который не связан напрямую с информационными технологиями, будет наиболее объективен при организации мероприятий по риск-менеджменту. Его работа должна оцениваться с помощью измеряемых показателей, скажем, время устранения сбоев в работе сервера не должно превышать 30 минут или же частота таких сбоев должна быть не выше, чем два раза в год.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка IT-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

Вопросам IT-безопасности уделяется сейчас более чем пристальное внимание, поскольку случаи потери и кражи информации могут привести к краху компании или потере конкурентных преимуществ на рынке. Кроме того, за последние пять лет участились случаи кражи интеллектуальной собственности. Одновременно корпоративные сети все чаще подвергаются нападениям со стороны недовольных или нелояльных сотрудников внутри организации.

Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат.

Построение эффективной системы управления рисками IT-безопасности — это не разовый проект, а комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время. Для построения эффективной системы IT-безопасности необходимо первоначально обобщенно описать процессы деятельности и выделить риски. Затем следует определить порог риска. Превышение подобного порога означает, что данным риском необходимо управлять. Требуется построить такую систему IT-безопасности, которая обеспечит минимизацию рисков с высоким уровнем опасности. Причем риски, имеющие уровень ниже критического, можно вообще исключить из анализа.

Для построения системы управления рисками IT-безопасности можно предложить метод CRAMM (UK Goverment Risk Analysis and Managment Method), который был разработан Службой безопасности Великобритании (UK Security Service) по заданию британского правительства и взят на вооружение в качестве государственного стандарта. С 1985 года он используется правительственными и коммерческими организациями Великобритании. К настоящему моменту CRAMM приобрел популярность во всем мире. Один из наиболее важных результатов применения метода CRAMM — получение возможности экономического обоснования расходов организации на обеспечение информационной безопасности. В конечном итоге экономически обоснованная стратегия управления рисками информационной безопасности позволяет минимизировать издержки и избегать неоправданных расходов.

На основе информации об угрозах и уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, применять их нецелесообразно).

После оценки важности риска планируются необходимые мероприятия и выделяются соответствующие ресурсы. Затем реализуются контрмеры в соответствии с графиком работ и оценивается их эффективность.

На этапе разработки и внедрения системы управления IT-безопасностью, помимо моделей критических бизнес-процессов, может быть использован инструментарий Process Risk Assistant, относящийся к семейству продуктов ARIS, предназначенный для методологического обеспечения и содержащий детальное руководство по построению системы управления рисками., разработанных компанией IDS Scheer AG (Германия).

После более подробного изучения процесса и выявления потенциальных угроз следует сформировать перечень рисков, которые необходимо минимизировать. Цель процесса сбора (идентификации) рисков — выяснить, в какой степени организация подвержена угрозам, способным нанести существенный ущерб. Для сбора рисков проводится анализ бизнес-процессов компании и опрос экспертов предметной области. По результатам проделанной работы перечень всех потенциальных рисков классифицируется.

Существует два подхода к определению рисков. Первый основан на описании процессов и их анализе на предмет нахождения рисков IT-безопасности. Обычно его применение требует больших затрат как на описание, так и на анализ бизнес-процессов, но неоспоримым преимуществом данного метода является гарантированная полнота определения перечня рисков.

Второй подход к определению рисков базируется на экспертных знаниях, информации по инцидентам IT-безопасности и понесенному компанией убытку от произошедших инцидентов. Этот подход имеет меньшую трудоемкость, но не гарантирует полноты перечня рисков и требует большого экспертного опыта при выделении рисков без анализа описания процессов.

Если говорить о практике применения, то на первых этапах развертывания процесса управления рисками IT-безопасности возможно использование второго метода, как менее трудоемкого, однако на следующих этапах анализа рисков следует перейти к полноценному определению рисков с помощью описания и анализа бизнес-процессов.

Примером качественных критериев оценки может быть куб (четыре на четыре на четыре):

          угроза — низкая, средняя, высокая, критическая;

          уязвимость — низкая, средняя, высокая, критическая;

          ущерб — низкий, средний, высокий, критический;

Суммарную оценку риска можно определить путем перемножения или взвешенного суммирования полученных качественных коэффициентов. Затем определятся порог или уровень существенности для рисков. Фактически перечень рисков делится уровнем существенности на две части. Во-первых, риски, по которым в данном цикле системы будет производиться предотвращение или минимизация последствий. Во-вторых, риски, по которым в данном цикле системы не будет производиться предотвращение или минимизация последствий.

При дальнейших реализациях процесса можно перейти от качественных к числовым оценкам, но это потребует анализа вероятностей для угроз и уязвимостей, и числовых оценок для убытков, что усложнит систему управления рисками. Но главное — при запуске процесса управления рисками IT-безопасности сосредоточиться на самом процессе, а методики можно отточить в дальнейшем, когда механизм будет работать в циклическом режиме.

Основным результатом (выходом) процесса оценки рисков является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Т.к. перечень рисков имеет большой объем, необходимо определить перечень особо опасных рисков, к минимизации которых следует приступить немедленно и минимизация которых повысит уровень безопасности организации. То есть речь идет лишь о понимании, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.

Стоит отказаться от минимизации рисков, у которых стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Поэтому основной задачей становится определение логической границы между рисками, требующими минимизации, и остаточными рисками. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы. Дополнительным результатом процесса оценки рисков является перечень рисков информационной безопасности, которые не будут отслеживаться в организации, но на следующем цикле анализа рисков будут оценены. Все данные, важные с точки зрения управления рисками, моделируются, например, с помощью программного обеспечения ARIS.

Существует инструментарий под названием «Портал рисков» (Process risk portal) обеспечивает пользователю проведение графического анализа и оценки рисков процессов. Кроме того, процессы внутри компании становятся прозрачными, а данные по управлению рисками — общедоступными, что и помогает сотрудникам выполнять постоянный мониторинг существующих рисков и выявлять новые. Как правило, цикл управления рисками информационной безопасности имеет квартальный период, что, с одной стороны, обеспечивает реакцию системы на изменение внешних условий, а с другой — сокращает затраты на данные работы.

Цель процесса планирования мероприятий по минимизации рисков — определение сроков и перечня работ по исключению или сведению к минимуму ущерба в случае реализации риска. Данный процесс позволяет сформулировать кто, где, когда и какими ресурсами будет минимизировать определенные риски. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.07 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И. И.».

 

Вопросы для самопроверки

 1. Какие виды IT-рисков существуют?

2. Кто несёт ответственность за различные виды рисков?

3. Как минимизировать IT-риски?

4. Как оценить риски?

5. Какие методики управления IT-рисками существуют?

6. Все ли риски необходимо минимизировать?

7. Что является риском ИС?

8. Каково место риска ИТ среди управленческих рисков?

9. Как классифицируются риски ИС и каковы методы их регулирования?

10. Какие риски существуют на различных этапах их жизненного цикла ИС?

11. Как оценить риск закупки ИС?

12. Как оценить риск периода внедрения ИС?

13. Как оценить риск периода эксплуатации ИС?