Менеджмент рисков информационной безопасности как непрерывный процесс | Статья в журнале «Молодой ученый»

Автор:

Рубрика: Информатика

Опубликовано в Молодой учёный №10 (114) май-2 2016 г.

Дата публикации: 15.05.2016

Статья просмотрена: 645 раз

Библиографическое описание:

Макеев А. С. Менеджмент рисков информационной безопасности как непрерывный процесс // Молодой ученый. — 2016. — №10. — С. 62-66. — URL https://moluch.ru/archive/114/29934/ (дата обращения: 22.07.2018).



В данной статье рассматривается риск-менеджмент как непрерывный процесс. Описываются инфраструктура и процесс менеджмента рисков с точки зрения цикла PDCA. Выявляются преимущества внедрения риск-ориентированного подхода в области информационной безопасности.

Ключевые слова: риск-менеджмент, непрерывный процесс, цикл PDCA, инфраструктура риск-менеджмента, процесс менеджмента рисков.

Информатизация деятельности организаций и увеличение объемов обрабатываемой информации требуют внедрения системного подхода к обеспечению информационной безопасности. Для эффективной защиты от информационных угроз уже недостаточно реализовать отдельные контрмеры. В свою очередь, с целью поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности, прежде всего, как непрерывный процесс.

История термина «риск»

История термина «риск» имеет древние корни и связана с отношением человека к будущему [1]. В частности, с появлением мировых религий стало очевидно, что будущее неоднозначно. Зародилось понимание того, что от поведения человека в жизни зависит его положение в загробном мире. Появилась ответственность за последствия своих действий. Однако, в обиходе это слово начало употребляться только в средние века и было связано именно с мореплаванием. Данный термин моряки использовали при проходе узкостей. Так, выражение «рисковать» (итал. risicare) означало «лавировать между скалами». Первый механизм управления рисками связывают именно со страхованием торговых судов от кораблекрушения. К началу XXI века риск-менеджмент начал рассматриваться как эффективное средство управления ресурсами организации применительно к различным областям. Если еще полвека назад данное направление развивалось в рамках экономической теории, то в наши дни риск-ориентированный подход играет важную роль, в том числе, и в области безопасности (рис. 1).

C:\Users\Andrey\Desktop\123.PNG

Рис. 1. Применение риск-менеджмента

Цикл Деминга-Шухарта

При рассмотрении риск-менеджмента с точки зрения процесса осуществляется его условное деление на четыре этапа: планирование, реализация, проверка, действие. Эти этапы взаимосвязаны так, что вход одного является выходом другого, образуя тем самым непрерывный процесс или цикл. Родоначальником данного цикла считают Уильяма Шухарта [2]. В своих работах ученый выделяет три стадии управления качеством: разработка спецификации, производство продукции, контроль произведенной продукции. Данные стадии представляют собой цикл из четырех шагов:

– Разработка продукта

– Изготовление и проверка на производственной линии

– Поставка на рынок

– Проверка в работе

Шухарт утверждал, что необходимо постоянно улучшать качество продукции. Для этого он предложил также процессный подход не только при контроле над качеством, но и при организации производственных связей от операции к операции, обосновал необходимость организации производства не по функциональным признакам, а следуя процессу производства.

Концепция Шухарта о непрерывном улучшении качества получила развитие в работах Эдварда Деминга, который предложил использовать цикл PDCA: планирование (Plan), реализация (Do), проверка (Check), действие (Action).

В наши дни цикл PDCA является распространенной моделью непрерывного улучшения процессов и применяется в различных областях деятельности. В частности, идеи данного цикла лежат в основе процесса менеджмента рисков информационной безопасности и его инфраструктуры.

Инфраструктура риск-менеджмента

При изучении вопросов управления рисками зачастую все внимание уделяется именно процессу менеджмента рисков. Между тем, понимание инфраструктуры риск-менеджмента и его основных принципов крайне необходимо для внедрения эффективного процесса, способного предоставлять воспроизводимые результаты (рис. 2). Цель данной инфраструктуры заключается в оказании помощи организациям, внедряющим риск-менеджмент в общую систему менеджмента [3].

C:\Users\Andrey\Desktop\66.PNG

Рис. 2. Инфраструктура риск-менеджмента

Компонент принципы риск-менеджмента отражает его сущность. А именно, риск-менеджмент:

– способствует достижению целей

– является неотъемлемой частью всех организационных процессов

– связан с неопределенностью

– представляет собой структурированный процесс

– основан на наилучшей доступной информации

– учитывает интересы заинтересованных сторон

– является динамичным процессом

Полномочия и обязательства выступают следующим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима приверженность и поддержка со стороны руководства организации. В первую очередь, руководство должно согласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менеджмента. Затем необходимо распределить ответственность между персоналом и выделить необходимые ресурсы.

Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: определение внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответственности, а также выделение необходимых ресурсов. Отличие от предыдущего этапа заключается в том, что разработка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.

Для перехода к внедрению риск-менеджмента руководство должно убедиться, что все этапы данного процесса применяются в соответствии с Планом риск-менеджмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менеджмента в процессы организации.

Мониторинг и анализ инфраструктуры риск-менеджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффективность инфраструктуры риск-менеджмента.

По результатам мониторинга осуществляется постоянное улучшение инфраструктуры риск-менеджмента. Улучшение заключается в обновлении разработанных документов и внедрении дополнительных организационных мероприятий в случае изменения контекста организации. В целом, организация должна добиваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться к выполнению следующих признаков, при которых для инфраструктуры характерны:

– постоянное улучшение посредством учета изменений

– полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения

– учет рисков при принятии решений

– постоянный обмен информацией с причастными сторонами

– полная интеграция в структуру управления организации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом достижения целей

Процесс менеджмента рисков

Процесс менеджмента рисков содержит непосредственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).

C:\Users\Andrey\Desktop\567.PNG

Рис. 3. Процесс менеджмента рисков в рамках цикла PDCA

На этапе планирование определяется контекст менеджмента рисков, осуществляется идентификация активов и их уязвимостей, угроз, последствий, а также внедренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осуществляется оценка рисков, по результатам которой выбираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обоснование выбора соответствующих контрмер для нейтрализации угроз.

Следуя из названия, этап реализация включает в себя внедрение необходимых контрмер, а также контроль реализации Плана обработки рисков.

На этапе проверка осуществляется непрерывный мониторинг внедренных контрмер и оценивается их эффективность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевременно идентифицировать новые угрозы и уязвимости.

Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа действие. При необходимости пересматриваются определенные риски. Данный этап является важной составляющей процесса менеджмента рисков, так как влияет на повышение его эффективности применительно к защищаемому объекту.

Преимущества риск-ориентированного подхода

Организации, управляющие информационными рисками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании мероприятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны инженеры, специалисты и аналитики. А вот задача руководителя сводится именно к принятию стратегических для организации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной области, трудно будет понять, о чем идет речь. Поэтому краеугольным камнем риск-ориентированного подхода является именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет гораздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.

Применение риск-ориентированного подхода позволяет:

– Обосновать необходимость реализации определенных мероприятий по обеспечению информационной безопасности

– Оптимизировать время на реализацию мероприятий по обеспечению информационной безопасности

– Своевременно идентифицировать новые угрозы и уязвимости

– Оценивать экономическую эффективность выбранных контрмер

– Оптимизировать расходы на обеспечение информационной безопасности

– Оценивать эффективность службы информационной безопасности посредством анализа возврата инвестиций

Вывод

Внедрение в деятельность организаций риск-менеджмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в рискованных ситуациях и, тем самым, оптимизировать расходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные преимущества, он имеет и определенные ограничения. Например, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотношение затрат и результата, однако проблемы могут возникнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода являются актуальными, поскольку это увеличивает вероятность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.

Литература:

  1. Вишняков Я. Д. Общая теория рисков : учеб. пособие / Я. Д. Вишняков, Н. Н. Радаев. — М.: ИЦ "Академия", 2007. — 368 с.
  2. Статистическое управление качеством // URL: http://mylektsii.ru/10-72650.html
  3. ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство.
  4. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
  5. Астахов А.М. Искусство управления информационными рисками. — М.:
  6. ДМК Пресс, 2010. — 314 с.
Основные термины (генерируются автоматически): PDCA, информационная безопасность, процесс менеджмента рисков, риск-ориентированный подход, непрерывный процесс, инфраструктура риск-менеджмента, цикл, этап, должный уровень, внедрение риск-менеджмента.


Ключевые слова

риск-менеджмент, непрерывный процесс, цикл PDCA, инфраструктура риск-менеджмента, процесс менеджмента рисков

Похожие статьи

Организация процедуры управления рисками процессов СМК

В статье рассмотрено понятие риска и процесс управления рисками в системе менеджмента качества, сравнительная таблица методов оценки рисков. Деятельность по управлению рисками помогает повысить результативность и эффективность процессов СМК, а...

Факторы, определяющие сущность менеджмента рисков...

сущность риск-менеджмента, критерии принятия риска, ограничения риск-менеджмента, асимметрия принятия решений.

Менеджмент рисков информационной безопасности как непрерывный процесс. Оценка рисков информационной безопасности с помощью метода...

Сравнительный анализ методов оценки рисков и подходов...

Процесс риск-менеджмента является многоступенчатым и, помимо оценки рисков, содержит целый ряд этапов.

Процессный подход рассматривает риск-менеджмент как непрерывную серию взаимосвязанных управленческий функций.

Основные аспекты управления рисками информационной...

Менеджмент риска информационной безопасности. информационная безопасность, уровень риска, процесс управления, риск, угроза, актив, таблица, уязвимость актива, таблица оценки ущерба, вероятность реализации...

Безопасность интегрированных корпоративных структур на...

Заключительным этапом в процессе управления рисками является оценка результатов риск-менеджмента.

Рассмотренная модель управления рисками выстроена в соответствии с классическим подходом риск-менеджмента.

Проблемы интеграции системы риск-менеджмента...

Ключевые слова: риск; культура управления рисками; интегрированный подход; риск-менеджмент.

И инвесторы, и владельцы бизнеса должны стремиться избежать всех ненужных рисков, не нарушая правильное функционирование бизнеса.

Оценка рисков информационной безопасности с помощью...

Менеджмент рисков информационной безопасности как непрерывный процесс.

Факторы, определяющие сущность менеджмента рисков информационной безопасности.

К вопросу о создании системы менеджмента непрерывности...

При этом риск-менеджмент будем рассматривать как часть системы менеджмента непрерывности бизнеса (далее СМНБ).

Основные термины (генерируются автоматически): ГОСТ Р, менеджмент непрерывности бизнеса, PDCA, предприятие, угроза, риск...

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Организация процедуры управления рисками процессов СМК

В статье рассмотрено понятие риска и процесс управления рисками в системе менеджмента качества, сравнительная таблица методов оценки рисков. Деятельность по управлению рисками помогает повысить результативность и эффективность процессов СМК, а...

Факторы, определяющие сущность менеджмента рисков...

сущность риск-менеджмента, критерии принятия риска, ограничения риск-менеджмента, асимметрия принятия решений.

Менеджмент рисков информационной безопасности как непрерывный процесс. Оценка рисков информационной безопасности с помощью метода...

Сравнительный анализ методов оценки рисков и подходов...

Процесс риск-менеджмента является многоступенчатым и, помимо оценки рисков, содержит целый ряд этапов.

Процессный подход рассматривает риск-менеджмент как непрерывную серию взаимосвязанных управленческий функций.

Основные аспекты управления рисками информационной...

Менеджмент риска информационной безопасности. информационная безопасность, уровень риска, процесс управления, риск, угроза, актив, таблица, уязвимость актива, таблица оценки ущерба, вероятность реализации...

Безопасность интегрированных корпоративных структур на...

Заключительным этапом в процессе управления рисками является оценка результатов риск-менеджмента.

Рассмотренная модель управления рисками выстроена в соответствии с классическим подходом риск-менеджмента.

Проблемы интеграции системы риск-менеджмента...

Ключевые слова: риск; культура управления рисками; интегрированный подход; риск-менеджмент.

И инвесторы, и владельцы бизнеса должны стремиться избежать всех ненужных рисков, не нарушая правильное функционирование бизнеса.

Оценка рисков информационной безопасности с помощью...

Менеджмент рисков информационной безопасности как непрерывный процесс.

Факторы, определяющие сущность менеджмента рисков информационной безопасности.

К вопросу о создании системы менеджмента непрерывности...

При этом риск-менеджмент будем рассматривать как часть системы менеджмента непрерывности бизнеса (далее СМНБ).

Основные термины (генерируются автоматически): ГОСТ Р, менеджмент непрерывности бизнеса, PDCA, предприятие, угроза, риск...

Задать вопрос