Moluch 114 c indd



Download 2,33 Mb.
bet31/59
Sana20.07.2022
Hajmi2,33 Mb.
#829409
1   ...   27   28   29   30   31   32   33   34   ...   59
Bog'liq
moluch 114 ch1 2

Полномочия и обязательства выступают следу- ющим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима привер- женность и поддержка со стороны руководства орга- низации. В первую очередь, руководство должно со- гласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менед- жмента. Затем необходимо распределить ответствен- ность между персоналом и выделить необходимые ре- сурсы.
Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: опреде- ление внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответствен- ности, а также выделение необходимых ресурсов. От- личие от предыдущего этапа заключается в том, что раз- работка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.
Для перехода к внедрению риск-менеджмента ру- ководство должно убедиться, что все этапы данного про- цесса применяются в соответствии с Планом риск-менед- жмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менед- жмента в процессы организации.
Мониторинг и анализ инфраструктуры риск-ме- неджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответ- ствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффектив- ность инфраструктуры риск-менеджмента.
По результатам мониторинга осуществляется по- стоянное улучшение инфраструктуры риск-менед- жмента. Улучшение заключается в обновлении раз- работанных документов и внедрении дополнительных организационных мероприятий в случае изменения кон- текста организации. В целом, организация должна доби- ваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться
к выполнению следующих признаков, при которых для ин- фраструктуры характерны:

  • постоянное улучшение посредством учета изме- нений

  • полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения

  • учет рисков при принятии решений

  • постоянный обмен информацией с причастными сторонами

  • полная интеграция в структуру управления органи- зации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом до- стижения целей

Процесс менеджмента рисков


Процесс менеджмента рисков содержит непосред- ственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для под- держания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).


На этапе планирование определяется контекст ме- неджмента рисков, осуществляется идентификация ак- тивов и их уязвимостей, угроз, последствий, а также вне- дренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осу- ществляется оценка рисков, по результатам которой вы- бираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обосно- вание выбора соответствующих контрмер для нейтрали- зации угроз.
Следуя из названия, этап реализация включает в себя внедрение необходимых контрмер, а также контроль реа- лизации Плана обработки рисков.
На этапе проверка осуществляется непрерывный мо- ниторинг внедренных контрмер и оценивается их эффек- тивность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевре- менно идентифицировать новые угрозы и уязвимости.
Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа действие. При необхо- димости пересматриваются определенные риски. Данный этап является важной составляющей процесса менед- жмента рисков, так как влияет на повышение его эффек- тивности применительно к защищаемому объекту.

Преимущества риск-ориентированного подхода


Организации, управляющие информационными ри- сками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании меропри-





Рис. 3. Процесс менеджмента рисков в рамках цикла PDCA





ятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны ин- женеры, специалисты и аналитики. А вот задача руководи- теля сводится именно к принятию стратегических для ор- ганизации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной об- ласти, трудно будет понять, о чем идет речь. Поэтому кра- еугольным камнем риск-ориентированного подхода яв- ляется именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет го- раздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.
Применение риск-ориентированного подхода позволяет:

  • Обосновать необходимость реализации опреде- ленных мероприятий по обеспечению информационной безопасности

  • Оптимизировать время на реализацию меропри- ятий по обеспечению информационной безопасности

  • Своевременно идентифицировать новые угрозы и уязвимости

  • Оценивать экономическую эффективность вы- бранных контрмер

  • Оптимизировать расходы на обеспечение информа- ционной безопасности

  • Оценивать эффективность службы информаци- онной безопасности посредством анализа возврата инве- стиций

Вывод

Внедрение в деятельность организаций риск-менед- жмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в риско- ванных ситуациях и, тем самым, оптимизировать рас- ходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные пре- имущества, он имеет и определенные ограничения. На- пример, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотно- шение затрат и результата, однако проблемы могут воз- никнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода яв- ляются актуальными, поскольку это увеличивает вероят- ность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.


Литература:





  1. Вишняков, Я. Д. Общая теория рисков: учеб. пособие / Я. Д. Вишняков, Н. Н. Радаев.— М.: ИЦ «Академия», 2007.— 368 с.

  2. Статистическое управление качеством // URL: http://mylektsii.ru/10–72650.html




  1. ГОСТ Р ИСО 31000–2010 Менеджмент риска. Принципы и руководство.

  2. ГОСТ Р ИСО/МЭК 27005–2010 Информационная технология. Методы и средства обеспечения безопас- ности. Менеджмент риска информационной безопасности.

  3. Астахов, А. М. Искусство управления информационными рисками.— М.: ДМК Пресс, 2010.— 314 с.


Download 2,33 Mb.

Do'stlaringiz bilan baham:
1   ...   27   28   29   30   31   32   33   34   ...   59




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish