Полномочия и обязательства выступают следу- ющим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима привер- женность и поддержка со стороны руководства орга- низации. В первую очередь, руководство должно со- гласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менед- жмента. Затем необходимо распределить ответствен- ность между персоналом и выделить необходимые ре- сурсы.
Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: опреде- ление внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответствен- ности, а также выделение необходимых ресурсов. От- личие от предыдущего этапа заключается в том, что раз- работка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.
Для перехода к
внедрению риск-менеджмента ру- ководство должно убедиться, что все этапы данного про- цесса применяются в соответствии с Планом риск-менед- жмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менед- жмента в процессы организации.
Мониторинг и анализ инфраструктуры риск-ме- неджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответ- ствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффектив- ность инфраструктуры риск-менеджмента.
По результатам мониторинга осуществляется
по- стоянное улучшение инфраструктуры риск-менед- жмента. Улучшение заключается в обновлении раз- работанных документов и внедрении дополнительных организационных мероприятий в случае изменения кон- текста организации. В целом, организация должна доби- ваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться
к выполнению следующих признаков, при которых для ин- фраструктуры характерны:
постоянное улучшение посредством учета изме- нений
полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения
учет рисков при принятии решений
постоянный обмен информацией с причастными сторонами
полная интеграция в структуру управления органи- зации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом до- стижения целей
Процесс менеджмента рисков
Процесс менеджмента рисков содержит непосред- ственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для под- держания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).
На этапе
планирование определяется контекст ме- неджмента рисков, осуществляется идентификация ак- тивов и их уязвимостей, угроз, последствий, а также вне- дренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осу- ществляется оценка рисков, по результатам которой вы- бираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обосно- вание выбора соответствующих контрмер для нейтрали- зации угроз.
Следуя из названия, этап
реализация включает в себя внедрение необходимых контрмер, а также контроль реа- лизации Плана обработки рисков.
На этапе
проверка осуществляется непрерывный мо- ниторинг внедренных контрмер и оценивается их эффек- тивность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевре- менно идентифицировать новые угрозы и уязвимости.
Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа
действие. При необхо- димости пересматриваются определенные риски. Данный этап является важной составляющей процесса менед- жмента рисков, так как влияет на повышение его эффек- тивности применительно к защищаемому объекту.
Преимущества риск-ориентированного подхода
Организации, управляющие информационными ри- сками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании меропри-
Рис. 3. Процесс менеджмента рисков в рамках цикла PDCA
ятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны ин- женеры, специалисты и аналитики. А вот задача руководи- теля сводится именно к принятию стратегических для ор- ганизации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной об- ласти, трудно будет понять, о чем идет речь. Поэтому кра- еугольным камнем риск-ориентированного подхода яв- ляется именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет го- раздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.
Применение риск-ориентированного подхода позволяет:
Обосновать необходимость реализации опреде- ленных мероприятий по обеспечению информационной безопасности
Оптимизировать время на реализацию меропри- ятий по обеспечению информационной безопасности
Своевременно идентифицировать новые угрозы и уязвимости
Оценивать экономическую эффективность вы- бранных контрмер
Оптимизировать расходы на обеспечение информа- ционной безопасности
Оценивать эффективность службы информаци- онной безопасности посредством анализа возврата инве- стиций
Вывод
Внедрение в деятельность организаций риск-менед- жмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в риско- ванных ситуациях и, тем самым, оптимизировать рас- ходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные пре- имущества, он имеет и определенные ограничения. На- пример, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотно- шение затрат и результата, однако проблемы могут воз- никнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода яв- ляются актуальными, поскольку это увеличивает вероят- ность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.