Менеджмент рисков информационной безопасности как непрерывный процесс | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №10 (114) май-2 2016 г.

Дата публикации: 15.05.2016

Статья просмотрена: 1754 раза

Библиографическое описание:

Макеев, А. С. Менеджмент рисков информационной безопасности как непрерывный процесс / А. С. Макеев. — Текст : непосредственный // Молодой ученый. — 2016. — № 10 (114). — С. 62-66. — URL: https://moluch.ru/archive/114/29934/ (дата обращения: 21.11.2024).



В данной статье рассматривается риск-менеджмент как непрерывный процесс. Описываются инфраструктура и процесс менеджмента рисков с точки зрения цикла PDCA. Выявляются преимущества внедрения риск-ориентированного подхода в области информационной безопасности.

Ключевые слова: риск-менеджмент, непрерывный процесс, цикл PDCA, инфраструктура риск-менеджмента, процесс менеджмента рисков.

Информатизация деятельности организаций и увеличение объемов обрабатываемой информации требуют внедрения системного подхода к обеспечению информационной безопасности. Для эффективной защиты от информационных угроз уже недостаточно реализовать отдельные контрмеры. В свою очередь, с целью поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности, прежде всего, как непрерывный процесс.

История термина «риск»

История термина «риск» имеет древние корни и связана с отношением человека к будущему [1]. В частности, с появлением мировых религий стало очевидно, что будущее неоднозначно. Зародилось понимание того, что от поведения человека в жизни зависит его положение в загробном мире. Появилась ответственность за последствия своих действий. Однако, в обиходе это слово начало употребляться только в средние века и было связано именно с мореплаванием. Данный термин моряки использовали при проходе узкостей. Так, выражение «рисковать» (итал. risicare) означало «лавировать между скалами». Первый механизм управления рисками связывают именно со страхованием торговых судов от кораблекрушения. К началу XXI века риск-менеджмент начал рассматриваться как эффективное средство управления ресурсами организации применительно к различным областям. Если еще полвека назад данное направление развивалось в рамках экономической теории, то в наши дни риск-ориентированный подход играет важную роль, в том числе, и в области безопасности (рис. 1).

C:\Users\Andrey\Desktop\123.PNG

Рис. 1. Применение риск-менеджмента

Цикл Деминга-Шухарта

При рассмотрении риск-менеджмента с точки зрения процесса осуществляется его условное деление на четыре этапа: планирование, реализация, проверка, действие. Эти этапы взаимосвязаны так, что вход одного является выходом другого, образуя тем самым непрерывный процесс или цикл. Родоначальником данного цикла считают Уильяма Шухарта [2]. В своих работах ученый выделяет три стадии управления качеством: разработка спецификации, производство продукции, контроль произведенной продукции. Данные стадии представляют собой цикл из четырех шагов:

– Разработка продукта

– Изготовление и проверка на производственной линии

– Поставка на рынок

– Проверка в работе

Шухарт утверждал, что необходимо постоянно улучшать качество продукции. Для этого он предложил также процессный подход не только при контроле над качеством, но и при организации производственных связей от операции к операции, обосновал необходимость организации производства не по функциональным признакам, а следуя процессу производства.

Концепция Шухарта о непрерывном улучшении качества получила развитие в работах Эдварда Деминга, который предложил использовать цикл PDCA: планирование (Plan), реализация (Do), проверка (Check), действие (Action).

В наши дни цикл PDCA является распространенной моделью непрерывного улучшения процессов и применяется в различных областях деятельности. В частности, идеи данного цикла лежат в основе процесса менеджмента рисков информационной безопасности и его инфраструктуры.

Инфраструктура риск-менеджмента

При изучении вопросов управления рисками зачастую все внимание уделяется именно процессу менеджмента рисков. Между тем, понимание инфраструктуры риск-менеджмента и его основных принципов крайне необходимо для внедрения эффективного процесса, способного предоставлять воспроизводимые результаты (рис. 2). Цель данной инфраструктуры заключается в оказании помощи организациям, внедряющим риск-менеджмент в общую систему менеджмента [3].

C:\Users\Andrey\Desktop\66.PNG

Рис. 2. Инфраструктура риск-менеджмента

Компонент принципы риск-менеджмента отражает его сущность. А именно, риск-менеджмент:

– способствует достижению целей

– является неотъемлемой частью всех организационных процессов

– связан с неопределенностью

– представляет собой структурированный процесс

– основан на наилучшей доступной информации

– учитывает интересы заинтересованных сторон

– является динамичным процессом

Полномочия и обязательства выступают следующим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима приверженность и поддержка со стороны руководства организации. В первую очередь, руководство должно согласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менеджмента. Затем необходимо распределить ответственность между персоналом и выделить необходимые ресурсы.

Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: определение внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответственности, а также выделение необходимых ресурсов. Отличие от предыдущего этапа заключается в том, что разработка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.

Для перехода к внедрению риск-менеджмента руководство должно убедиться, что все этапы данного процесса применяются в соответствии с Планом риск-менеджмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менеджмента в процессы организации.

Мониторинг и анализ инфраструктуры риск-менеджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффективность инфраструктуры риск-менеджмента.

По результатам мониторинга осуществляется постоянное улучшение инфраструктуры риск-менеджмента. Улучшение заключается в обновлении разработанных документов и внедрении дополнительных организационных мероприятий в случае изменения контекста организации. В целом, организация должна добиваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться к выполнению следующих признаков, при которых для инфраструктуры характерны:

– постоянное улучшение посредством учета изменений

– полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения

– учет рисков при принятии решений

– постоянный обмен информацией с причастными сторонами

– полная интеграция в структуру управления организации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом достижения целей

Процесс менеджмента рисков

Процесс менеджмента рисков содержит непосредственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).

C:\Users\Andrey\Desktop\567.PNG

Рис. 3. Процесс менеджмента рисков в рамках цикла PDCA

На этапе планирование определяется контекст менеджмента рисков, осуществляется идентификация активов и их уязвимостей, угроз, последствий, а также внедренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осуществляется оценка рисков, по результатам которой выбираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обоснование выбора соответствующих контрмер для нейтрализации угроз.

Следуя из названия, этап реализация включает в себя внедрение необходимых контрмер, а также контроль реализации Плана обработки рисков.

На этапе проверка осуществляется непрерывный мониторинг внедренных контрмер и оценивается их эффективность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевременно идентифицировать новые угрозы и уязвимости.

Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа действие. При необходимости пересматриваются определенные риски. Данный этап является важной составляющей процесса менеджмента рисков, так как влияет на повышение его эффективности применительно к защищаемому объекту.

Преимущества риск-ориентированного подхода

Организации, управляющие информационными рисками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании мероприятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны инженеры, специалисты и аналитики. А вот задача руководителя сводится именно к принятию стратегических для организации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной области, трудно будет понять, о чем идет речь. Поэтому краеугольным камнем риск-ориентированного подхода является именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет гораздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.

Применение риск-ориентированного подхода позволяет:

– Обосновать необходимость реализации определенных мероприятий по обеспечению информационной безопасности

– Оптимизировать время на реализацию мероприятий по обеспечению информационной безопасности

– Своевременно идентифицировать новые угрозы и уязвимости

– Оценивать экономическую эффективность выбранных контрмер

– Оптимизировать расходы на обеспечение информационной безопасности

– Оценивать эффективность службы информационной безопасности посредством анализа возврата инвестиций

Вывод

Внедрение в деятельность организаций риск-менеджмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в рискованных ситуациях и, тем самым, оптимизировать расходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные преимущества, он имеет и определенные ограничения. Например, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотношение затрат и результата, однако проблемы могут возникнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода являются актуальными, поскольку это увеличивает вероятность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.

Литература:

  1. Вишняков Я. Д. Общая теория рисков : учеб. пособие / Я. Д. Вишняков, Н. Н. Радаев. — М.: ИЦ "Академия", 2007. — 368 с.
  2. Статистическое управление качеством // URL: http://mylektsii.ru/10-72650.html
  3. ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство.
  4. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
  5. Астахов А.М. Искусство управления информационными рисками. — М.:
  6. ДМК Пресс, 2010. — 314 с.
Основные термины (генерируются автоматически): PDCA, информационная безопасность, процесс менеджмента рисков, риск-ориентированный подход, непрерывный процесс, инфраструктура риск-менеджмента, цикл, этап, внедрение риск-менеджмента, должный уровень.


Ключевые слова

Цикл PDCA, риск-менеджмент, непрерывный процесс, цикл PDCA, инфраструктура риск-менеджмента, процесс менеджмента рисков

Похожие статьи

Проблемы интеграции системы риск-менеджмента в предпринимательских структурах

В статье анализируются особенности интегрированного подхода к управлению рисками в предпринимательских структурах. Перечислены основные элементы и преимущества интегрированной системы управления рисками. Обосновывается важность перехода к интегрирова...

Управление рисками как элемент системы обеспечения экономической безопасности предприятия

Статья посвящена рассмотрению риск-менеджмента в качестве инструмента обеспечения экономической безопасности предприятия. С помощью управления рисками компания имеет возможность достичь желаемых показателей и обеспечить эффективность функционирования...

Безопасность интегрированных корпоративных структур на основе риск-ориентированного подхода к управлению цепями поставок

В статье проанализирован риск-ориентированный подход к управлению интегрированными корпоративными структурами и цепями поставок. Сделан вывод о решающем значении информационного обеспечения и эффективных коммуникаций в управлении рисками в цепях пост...

Организация процедуры управления рисками процессов СМК

В статье рассмотрено понятие риска и процесс управления рисками в системе менеджмента качества, сравнительная таблица методов оценки рисков. Деятельность по управлению рисками помогает повысить результативность и эффективность процессов СМК, а, следо...

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Применение процессного подхода в менеджменте логистики

В данной статье рассматривается процессный подход, его структура и применение в менеджменте логистики. Перечисляются объекты идентификации, определяется главная цель процессного подхода.

Системный подход к управлению логистическими бизнес-процессами в цепях поставок

В статье проанализированы ключевые логистические бизнес-процессы в цепях поставок. Сделан вывод о необходимости внедрения четырехуровневой системы метрик при мониторинге и оценке эффективности функционирования цепей поставок на основе системного подх...

Оценка применимости нотации описания бизнес-процессов для моделирования процесса управления рисками информационной безопасности в организации

В статье рассматриваются различные методологии для построения бизнес-процессов, статистика популярности каждой методики, приводятся рекомендации, по какой методике производить моделирование управления рисками информационной безопасности в организации...

Управление качеством на промышленных предприятиях на основе процессного подхода

В данной статье рассматривается роль управления качеством на промышленных предприятиях на основе процессного подхода, предложены перспективные рекомендации по повышению эффективности системы управления качеством.

Влияние информационных систем управления машиностроительным предприятием на процессные инновации в контексте стандарта ISA-95

В статье автор пытается определить роль информационных систем управления машиностроительным предприятием, используя стандарт ISA-95 и функциональную модель предприятия.

Похожие статьи

Проблемы интеграции системы риск-менеджмента в предпринимательских структурах

В статье анализируются особенности интегрированного подхода к управлению рисками в предпринимательских структурах. Перечислены основные элементы и преимущества интегрированной системы управления рисками. Обосновывается важность перехода к интегрирова...

Управление рисками как элемент системы обеспечения экономической безопасности предприятия

Статья посвящена рассмотрению риск-менеджмента в качестве инструмента обеспечения экономической безопасности предприятия. С помощью управления рисками компания имеет возможность достичь желаемых показателей и обеспечить эффективность функционирования...

Безопасность интегрированных корпоративных структур на основе риск-ориентированного подхода к управлению цепями поставок

В статье проанализирован риск-ориентированный подход к управлению интегрированными корпоративными структурами и цепями поставок. Сделан вывод о решающем значении информационного обеспечения и эффективных коммуникаций в управлении рисками в цепях пост...

Организация процедуры управления рисками процессов СМК

В статье рассмотрено понятие риска и процесс управления рисками в системе менеджмента качества, сравнительная таблица методов оценки рисков. Деятельность по управлению рисками помогает повысить результативность и эффективность процессов СМК, а, следо...

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Применение процессного подхода в менеджменте логистики

В данной статье рассматривается процессный подход, его структура и применение в менеджменте логистики. Перечисляются объекты идентификации, определяется главная цель процессного подхода.

Системный подход к управлению логистическими бизнес-процессами в цепях поставок

В статье проанализированы ключевые логистические бизнес-процессы в цепях поставок. Сделан вывод о необходимости внедрения четырехуровневой системы метрик при мониторинге и оценке эффективности функционирования цепей поставок на основе системного подх...

Оценка применимости нотации описания бизнес-процессов для моделирования процесса управления рисками информационной безопасности в организации

В статье рассматриваются различные методологии для построения бизнес-процессов, статистика популярности каждой методики, приводятся рекомендации, по какой методике производить моделирование управления рисками информационной безопасности в организации...

Управление качеством на промышленных предприятиях на основе процессного подхода

В данной статье рассматривается роль управления качеством на промышленных предприятиях на основе процессного подхода, предложены перспективные рекомендации по повышению эффективности системы управления качеством.

Влияние информационных систем управления машиностроительным предприятием на процессные инновации в контексте стандарта ISA-95

В статье автор пытается определить роль информационных систем управления машиностроительным предприятием, используя стандарт ISA-95 и функциональную модель предприятия.

Задать вопрос