На мой взгляд, наиболее полно и точно риски, присущие ИТ, сформулированы в Международном стандарте по аудиту №315. Все остальные версии рисков ИТ и ИБ проистекают от этих категорий и общих формулировок. Приведу их в оригинале, без перевода:

• Reliance on systems or programs that are inaccurately processing data, processing inaccurate data, or both.

• Unauthorized access to data that may result in destruction of data or improper changes to data, including the recording of unauthorized or nonexistent transactions, or inaccurate recording of transactions. Particular risks may arise where multiple users access a common database.

• The possibility of IT personnel gaining access privileges beyond those necessary to perform their assigned duties thereby breaking down segregation of duties.

• Unauthorized changes to data in master files.

• Unauthorized changes to systems or programs.

• Failure to make necessary changes to systems or programs.

• Inappropriate manual intervention.

• Potential loss of data or inability to access data as required.

Примеры реализации ИТ-рисков

(рисковых событий)

Приведу для примера выдержки из общедоступных источников информации. Как я говорил в самом начале главы, «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Данная фраза применима к каждому событию, приведенному ниже:

1.4. УПРАВЛЕНИЕ РИСКОМ-ИТ

Так что же делать? Помните, ИТ-риском можно и нужно управлять. Этот подход в целом мало отличается от обычного подхода к управлению любой другой категорией рисков.

Давайте внесем ясность в термин «Управление риском». ISACA CRISC6 дает следующее определение: «Управление риском – это скоординированные действия по управлению и контролю за деятельностью организации с учетом возможного риска».

Риск можно рассматривать в контексте вероятности того, что цели организации не будут достигнуты. И управление риском – это способ предсказания подобной вероятности, снижения шансов на возникновение, снижения последствий возникновения. При этом эффективное управление риском может позволить организации максимизировать свои возможности.

Три линии защиты.

Участники процесса управления риском

Существует общепризнанный подход к организации управления рисками, основная его цель – повысить эффективность процесса управления и снизить вероятность нарушения принципа разграничения полномочий. Подход подразумевает разделение функционала участников процесса управления рисками и их логическое разделение на три линии защиты. Поговорим о них более подробно.

Первая линия – это бизнес-подразделения организации, все те, кто участвует в ее повседневной деятельности. Например, менеджеры по продажам/закупкам, по работе с клиентами, ИТ-подразделения, финансовый, налоговый департаменты и т. д.

Вторая линия – это эксперты в области управления рисками. Например, функция внутреннего контроля, функция управления рисками.

Третья линия – это функция внутреннего аудита. Независимое подразделение организации, проверяющее, эффективное выполнение и соблюдение первой линией правил, установленных второй линией и других требований, предъявляемых к организации.

При этом может быть еще четвертая линия – это регулирующие органы, независимый внешний аудитор и другие внешние заинтересованные участники.

Этапы управления риском ИТ

Управление ИТ-риском – это цикличный процесс. Давайте разберем каждый шаг.

1.5. ИДЕНТИФИКАЦИЯ РИСКА ИТ И ОПРЕДЕЛЕНИЕ

АППЕТИТА К РИСКУ

Идентификация риска ИТ – это процесс обнаружения, распознавания и документирования риска, которому подвержена организация.

Оценка и приоритезация идентифицированных

риска ИТ

Оценка риска ИТ – это анализ рисковых сценариев, их приоритезация и оценка. Оценка может быть как качественной (высокий/средний/низкий), так и количественной (недоступность ИТ-системы в минутах / денежные потери от недоступности ИТ-системы, потери данных).

Снижение риска ИТ

Снижение риска ИТ – это выработка мер, способствующих уменьшению вероятности реализации рисковых сценариев, обнаруженных на шаге идентификации рисков. Мерами могут быть различные управленческие документы, включая политики7 организации, приказы, а также меры, предпринимаемые организацией, такие как различные формализованные процедуры и мероприятия, например, ограничение доступа и мониторинг действий пользователей ИТ-систем, настройки безопасности ИТ-систем, резервное копирование и другие.

Мониторинг и контроль риска ИТ,

формирование отчетности по риску

Мониторинг риска ИТ – это выработка ключевых индикаторов риска, наблюдение и оценка эффективности процессов и процедур, направленных на снижение риска, актуализация и обновление профиля рисков (перечня рисков, присущих ИТ).

Это финальный этап управления. Как правило, весь цикл повторяется ежегодно, а иногда и чаще.

Ценность управления риском ИТ

Что это нам дает? Что именно дает процесс управления риском ИТ организации в обмен на существенные инвестиции? Эффективное и регулярное управление риском ИТ сулит для организации значительные материальные и нематериальные выгоды. Приведу несколько примеров:

• создание риск-ориентированной культуры и среды с меньшей зависимостью от отдельных специалистов повышает вероятность успешного завершения проектов;

• приоретизация усилий по реакции на риск в соответствии с целями и приоритетами организации увеличивает способности организации к достижению целей и созданию ценности;

• проактивная идентификация угроз, уязвимостей и оценка последствий повышает надежность контроля над активами организации, снижает величину потенциальных потерь и систематизирует подход в усилиях по соответствию требованиям регуляторов;