В статье рассматривается разработанная информационная система «Оценка рисков проекта», которая позволит автоматизировать процесс аналитика по информационной безопасности.
Ключевые слова: оценка рисков, управление рисками, прототипирование, автоматизация, информационная система.
В настоящее время термин «информационный риск» нашел широкое применение. Появление данного понятия в середине 90-х годов минувшего века объясняется необходимостью применения нового подхода к решению вопросов по информационной безопасности. Рост цифровой революции привел к тому, что организации все больше зависят от различных событии или инцидентов, которые каким-то образом ставят под угрозу ИТ, и могут оказывать неблагоприятное воздействие на бизнес-процессы или миссию организации, начиная от несущественных до катастрофических масштабов.
Необходимо создание инструментального средства анализа рисков, которое позволяет автоматизировать работу экспертов в сфере защиты информации, осуществляющих оценку информационных рисков предприятия.
Методика управления рисками осуществляется в нескольких этапах [1]:
1) Идентификация риска
2) Анализ рисков
3) Мониторинг и контроль рисков
4) Планирование с последующим анализом
5) Регулярное обновление базы известных рисков
На рисунке 1 представлена декомпозиция информационной системы рисков проекта. Весь процесс функционирования системы разбивается на 4 этапа:
1) «Редактирование БД проектов»
2) «Редактирование БД рисков»
3) «Анализ»
4) «Формирование плана по предотвращению риска»
На рисунке 2 изображена диаграмма вариантов использования, описывающая все сценарии работы системы. Сценарии системы взаимодействуют с тремя актерами: администратор, руководитель и менеджер.
Рис. 1. Декомпозиция информационной системы «оценка рисков проекта»
Рис. 2. Диаграмма вариантов использования
В рамках работы были разработаны прототипы экранных интерфейсов. На рисунке 3 изображена экранная форма «оценка риска». Для каждого риска производится количественный анализ риска. Менеджер оценивает вероятность по шкале от 1 до 4, а затем оценивает последствия риска — также от 1 до 4. Перемножив оценки, получаем рейтинг уровня риска.
На рисунке 4 представлена форма «Анализ рисков», в зависимости от количества высокий и очень высоких рисков возможно принятие решения об выработки стратегии их предотвращения или минимизации их последствий.
Рис. 3. Прототип формы «Оценка риска»
Рис. 4. Прототип формы «Анализ рисков»
В результате, получаем подробный план управления рисками. План включает в себя все риски, выявленные в течение всего срока службы проекта, в том числе те, которые прошли и больше не представляют угрозы для проекта, те, которые были предотвращены или смягчены, и те, которые стали проблемными.
Информационная система позволит существенно автоматизировать работу специалистов в области защиты информации:
1. Осуществлять оценку информационных рисков предприятия
2. Ускорить формирование отчетов по анализам рисков.
Литература:
- Руководство к Своду знаний по управлению проектами (Руководство PMBOK) Третье издание 2004 Project Management Institute, Four Campus Boulevard, Newtown Square, PA 19073–3299 USA / США
