Библиографическое описание:

Макеев А. С. Менеджмент рисков информационной безопасности как непрерывный процесс // Молодой ученый. — 2016. — №10. — С. 62-66.



В данной статье рассматривается риск-менеджмент как непрерывный процесс. Описываются инфраструктура и процесс менеджмента рисков с точки зрения цикла PDCA. Выявляются преимущества внедрения риск-ориентированного подхода в области информационной безопасности.

Ключевые слова: риск-менеджмент, непрерывный процесс, цикл PDCA, инфраструктура риск-менеджмента, процесс менеджмента рисков.

Информатизация деятельности организаций и увеличение объемов обрабатываемой информации требуют внедрения системного подхода к обеспечению информационной безопасности. Для эффективной защиты от информационных угроз уже недостаточно реализовать отдельные контрмеры. В свою очередь, с целью поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности, прежде всего, как непрерывный процесс.

История термина «риск»

История термина «риск» имеет древние корни и связана с отношением человека к будущему [1]. В частности, с появлением мировых религий стало очевидно, что будущее неоднозначно. Зародилось понимание того, что от поведения человека в жизни зависит его положение в загробном мире. Появилась ответственность за последствия своих действий. Однако, в обиходе это слово начало употребляться только в средние века и было связано именно с мореплаванием. Данный термин моряки использовали при проходе узкостей. Так, выражение «рисковать» (итал. risicare) означало «лавировать между скалами». Первый механизм управления рисками связывают именно со страхованием торговых судов от кораблекрушения. К началу XXI века риск-менеджмент начал рассматриваться как эффективное средство управления ресурсами организации применительно к различным областям. Если еще полвека назад данное направление развивалось в рамках экономической теории, то в наши дни риск-ориентированный подход играет важную роль, в том числе, и в области безопасности (рис. 1).

C:\Users\Andrey\Desktop\123.PNG

Рис. 1. Применение риск-менеджмента

Цикл Деминга-Шухарта

При рассмотрении риск-менеджмента с точки зрения процесса осуществляется его условное деление на четыре этапа: планирование, реализация, проверка, действие. Эти этапы взаимосвязаны так, что вход одного является выходом другого, образуя тем самым непрерывный процесс или цикл. Родоначальником данного цикла считают Уильяма Шухарта [2]. В своих работах ученый выделяет три стадии управления качеством: разработка спецификации, производство продукции, контроль произведенной продукции. Данные стадии представляют собой цикл из четырех шагов:

– Разработка продукта

– Изготовление и проверка на производственной линии

– Поставка на рынок

– Проверка в работе

Шухарт утверждал, что необходимо постоянно улучшать качество продукции. Для этого он предложил также процессный подход не только при контроле над качеством, но и при организации производственных связей от операции к операции, обосновал необходимость организации производства не по функциональным признакам, а следуя процессу производства.

Концепция Шухарта о непрерывном улучшении качества получила развитие в работах Эдварда Деминга, который предложил использовать цикл PDCA: планирование (Plan), реализация (Do), проверка (Check), действие (Action).

В наши дни цикл PDCA является распространенной моделью непрерывного улучшения процессов и применяется в различных областях деятельности. В частности, идеи данного цикла лежат в основе процесса менеджмента рисков информационной безопасности и его инфраструктуры.

Инфраструктура риск-менеджмента

При изучении вопросов управления рисками зачастую все внимание уделяется именно процессу менеджмента рисков. Между тем, понимание инфраструктуры риск-менеджмента и его основных принципов крайне необходимо для внедрения эффективного процесса, способного предоставлять воспроизводимые результаты (рис. 2). Цель данной инфраструктуры заключается в оказании помощи организациям, внедряющим риск-менеджмент в общую систему менеджмента [3].

C:\Users\Andrey\Desktop\66.PNG

Рис. 2. Инфраструктура риск-менеджмента

Компонент принципы риск-менеджмента отражает его сущность. А именно, риск-менеджмент:

– способствует достижению целей

– является неотъемлемой частью всех организационных процессов

– связан с неопределенностью

– представляет собой структурированный процесс

– основан на наилучшей доступной информации

– учитывает интересы заинтересованных сторон

– является динамичным процессом

Полномочия и обязательства выступают следующим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима приверженность и поддержка со стороны руководства организации. В первую очередь, руководство должно согласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менеджмента. Затем необходимо распределить ответственность между персоналом и выделить необходимые ресурсы.

Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: определение внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответственности, а также выделение необходимых ресурсов. Отличие от предыдущего этапа заключается в том, что разработка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.

Для перехода к внедрению риск-менеджмента руководство должно убедиться, что все этапы данного процесса применяются в соответствии с Планом риск-менеджмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менеджмента в процессы организации.

Мониторинг и анализ инфраструктуры риск-менеджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффективность инфраструктуры риск-менеджмента.

По результатам мониторинга осуществляется постоянное улучшение инфраструктуры риск-менеджмента. Улучшение заключается в обновлении разработанных документов и внедрении дополнительных организационных мероприятий в случае изменения контекста организации. В целом, организация должна добиваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться к выполнению следующих признаков, при которых для инфраструктуры характерны:

– постоянное улучшение посредством учета изменений

– полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения

– учет рисков при принятии решений

– постоянный обмен информацией с причастными сторонами

– полная интеграция в структуру управления организации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом достижения целей

Процесс менеджмента рисков

Процесс менеджмента рисков содержит непосредственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).

C:\Users\Andrey\Desktop\567.PNG

Рис. 3. Процесс менеджмента рисков в рамках цикла PDCA

На этапе планирование определяется контекст менеджмента рисков, осуществляется идентификация активов и их уязвимостей, угроз, последствий, а также внедренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осуществляется оценка рисков, по результатам которой выбираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обоснование выбора соответствующих контрмер для нейтрализации угроз.

Следуя из названия, этап реализация включает в себя внедрение необходимых контрмер, а также контроль реализации Плана обработки рисков.

На этапе проверка осуществляется непрерывный мониторинг внедренных контрмер и оценивается их эффективность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевременно идентифицировать новые угрозы и уязвимости.

Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа действие. При необходимости пересматриваются определенные риски. Данный этап является важной составляющей процесса менеджмента рисков, так как влияет на повышение его эффективности применительно к защищаемому объекту.

Преимущества риск-ориентированного подхода

Организации, управляющие информационными рисками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании мероприятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны инженеры, специалисты и аналитики. А вот задача руководителя сводится именно к принятию стратегических для организации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной области, трудно будет понять, о чем идет речь. Поэтому краеугольным камнем риск-ориентированного подхода является именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет гораздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.

Применение риск-ориентированного подхода позволяет:

– Обосновать необходимость реализации определенных мероприятий по обеспечению информационной безопасности

– Оптимизировать время на реализацию мероприятий по обеспечению информационной безопасности

– Своевременно идентифицировать новые угрозы и уязвимости

– Оценивать экономическую эффективность выбранных контрмер

– Оптимизировать расходы на обеспечение информационной безопасности

– Оценивать эффективность службы информационной безопасности посредством анализа возврата инвестиций

Вывод

Внедрение в деятельность организаций риск-менеджмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в рискованных ситуациях и, тем самым, оптимизировать расходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные преимущества, он имеет и определенные ограничения. Например, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотношение затрат и результата, однако проблемы могут возникнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода являются актуальными, поскольку это увеличивает вероятность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.

Литература:

  1. Вишняков Я. Д. Общая теория рисков : учеб. пособие / Я. Д. Вишняков, Н. Н. Радаев. — М.: ИЦ "Академия", 2007. — 368 с.
  2. Статистическое управление качеством // URL: http://mylektsii.ru/10-72650.html
  3. ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство.
  4. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
  5. Астахов А.М. Искусство управления информационными рисками. — М.:
  6. ДМК Пресс, 2010. — 314 с.

Обсуждение

Социальные комментарии Cackle