Описание и назначение
Управление рисками (Risk Management) – процесс принятия управленческих решений, направленных на выявление и оценку рисков, с целью снижения их до приемлемого для компании уровня.
Категории ущерба, которые необходимо учитывать при оценке рисков:
- Физический ущерб. Отсутствие электроэнергии, пожар, затопление, стихийные бедствия.
- Человеческий фактор. Непроизвольные или намеренные действия или бездействие, которые могут привести к нарушению работы компании.
- Неисправность оборудования. Временные сбои или неработоспособность оборудования.
- Атаки со стороны злоумышленника как внешнего, так и внутреннего. Нарушение работоспособности программных и аппаратных средств компании посредством проведения хакерских атак.
- Использование информационных активов не по назначению. Разглашение чувствительной для компании информации, шпионаж, мошенничество.
- Потеря данных. Повреждение или потеря информации в результате различных факторов.
- Ошибки в работе приложений. Ошибки, в результате которой приложение приводит к неожиданному поведению и результату.
Процесс управления риском состоит из двух основных этапов: оценка и обработка риска. Процесс оценки включает анализ и количественную оценку риска, идентификацию угроз и уязвимостей с целью вынесения контрмер, соразмерных оцененным рискам.
После оценки риска следует обработка риска, то есть должно быть принято одно из четырех решений: уменьшение (например, введение контрмер), перенос (например, застрахование определенных рисков), отвержение (например, прекращение деятельности, которая приводит к появлению риска), принятие (допустимо, когда стоимость контрмер выше величины предполагаемого ущерба).
Политика управления рисками должна быть включена и в организационной политике безопасности компании, а также должна учитывать следующие вопросы:
- цели группы управления рисками;
- порядок взаимосвязи между политикой управления рисками и процессами стратегического планирования компании (целевые показатели, бюджет и внутренний контроль);
- обязанности, возлагаемые на группу управления рисками;
- показатели мониторинга, показывающие эффективность контрмер.
Основная цель группы управления рисками заключается в обеспечении защиты компании наиболее выгодным с экономической точки зрения и оптимальным способом, которая достигается только при наличии следующих составляющих:
- выполнение требований стандартов информационной безопасности;
- высшим руководством установлен приемлемый уровень риска;
- процессы оценки рисков документированы;
- подготовлены процедуры выявления и снижения рисков;
- высшим руководством предоставлены необходимые ресурсы и бюджет;
- постоянно проводимые тренинги по вопросам информационной безопасности для всех сотрудников, оперируемых информационными активами;
- возможность адаптации размеров и компетенций группы анализа рисков в случае необходимости;
- объединение процесса управления рисками с процессами управления изменениями компании с целью недопущения появления новых рисков.
Таким образом, в ходе управления рисками необходимо выявить угрозы, категорировать и оценить с позиции потенциального ущерба, который они могут нанести компании. Вследствие того, что реальные риски трудно оценить, то необходимо очертить рамки только теми рисками, которые имеют высокий приоритет. Следовательно, необходимо составить методологию оценки риска, которая наилучшим образом соответствует конкретной компании.