Moluch 114 c indd

Полномочия и обязательства выступают следу- ющим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима привер- женность и поддержка со стороны руководства орга- низации. В первую очередь, руководство должно со- гласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менед- жмента. Затем необходимо распределить ответствен- ность между персоналом и выделить необходимые ре- сурсы.
Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: опреде- ление внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответствен- ности, а также выделение необходимых ресурсов. От- личие от предыдущего этапа заключается в том, что раз- работка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.
Для перехода к внедрению риск-менеджмента ру- ководство должно убедиться, что все этапы данного про- цесса применяются в соответствии с Планом риск-менед- жмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менед- жмента в процессы организации.
Мониторинг и анализ инфраструктуры риск-ме- неджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответ- ствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффектив- ность инфраструктуры риск-менеджмента.
По результатам мониторинга осуществляется по- стоянное улучшение инфраструктуры риск-менед- жмента. Улучшение заключается в обновлении раз- работанных документов и внедрении дополнительных организационных мероприятий в случае изменения кон- текста организации. В целом, организация должна доби- ваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться
к выполнению следующих признаков, при которых для ин- фраструктуры характерны:

• 
  постоянное улучшение посредством учета изме- нений
  
• 
  полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения
  
• 
  учет рисков при принятии решений
  
• 
  постоянный обмен информацией с причастными сторонами
  
• 
  полная интеграция в структуру управления органи- зации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом до- стижения целей
  

Процесс менеджмента рисков

Процесс менеджмента рисков содержит непосред- ственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для под- держания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).

На этапе планирование определяется контекст ме- неджмента рисков, осуществляется идентификация ак- тивов и их уязвимостей, угроз, последствий, а также вне- дренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осу- ществляется оценка рисков, по результатам которой вы- бираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обосно- вание выбора соответствующих контрмер для нейтрали- зации угроз.
Следуя из названия, этап реализация включает в себя внедрение необходимых контрмер, а также контроль реа- лизации Плана обработки рисков.
На этапе проверка осуществляется непрерывный мо- ниторинг внедренных контрмер и оценивается их эффек- тивность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевре- менно идентифицировать новые угрозы и уязвимости.
Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа действие. При необхо- димости пересматриваются определенные риски. Данный этап является важной составляющей процесса менед- жмента рисков, так как влияет на повышение его эффек- тивности применительно к защищаемому объекту.

Преимущества риск-ориентированного подхода

Организации, управляющие информационными ри- сками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании меропри-

ятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны ин- женеры, специалисты и аналитики. А вот задача руководи- теля сводится именно к принятию стратегических для ор- ганизации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной об- ласти, трудно будет понять, о чем идет речь. Поэтому кра- еугольным камнем риск-ориентированного подхода яв- ляется именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет го- раздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.
Применение риск-ориентированного подхода позволяет:

• 
  Обосновать необходимость реализации опреде- ленных мероприятий по обеспечению информационной безопасности
  
• 
  Оптимизировать время на реализацию меропри- ятий по обеспечению информационной безопасности
  
• 
  Своевременно идентифицировать новые угрозы и уязвимости
  
• 
  Оценивать экономическую эффективность вы- бранных контрмер
  
• 
  Оптимизировать расходы на обеспечение информа- ционной безопасности
  
• 
  Оценивать эффективность службы информаци- онной безопасности посредством анализа возврата инве- стиций
  

Вывод

Внедрение в деятельность организаций риск-менед- жмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в риско- ванных ситуациях и, тем самым, оптимизировать рас- ходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные пре- имущества, он имеет и определенные ограничения. На- пример, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотно- шение затрат и результата, однако проблемы могут воз- никнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода яв- ляются актуальными, поскольку это увеличивает вероят- ность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.

Литература:

1. 
   Вишняков, Я. Д. Общая теория рисков: учеб. пособие / Я. Д. Вишняков, Н. Н. Радаев.— М.: ИЦ «Академия», 2007.— 368 с.
   
2. 
   Статистическое управление качеством // URL: http://mylektsii.ru/10–72650.html