Существует множество подходов и стандартов по управлению рисками: CRAMM, COSO ERM, ISO 27005, OCTAVE, MEHARI… Все они с большей или меньшей детализацией описывают известный цикл «определение охвата-идентификация-анализ-оценка-реагирование-контроль», с 2009 года закрепленный в стандарте ISO 31000. Кроме того, каждая методика предлагает свой способ описания (формулирования) риска. ITSM-специалистам привычен взгляд на риск, как тройку «актив-угроза-уязвимость», которого придерживаются авторы ITIL. А, например, PMBOK советует использовать конструкцию «причина-событие-последствие».

ISACA еще со времен RiskIT, а теперь и в COBIT 5 for Risk предлагает использовать понятие сценария риска (Risk Scenario), которое включает в себя:

• источник угрозы (Actor): внутренний/внешний
• тип угрозы (Threat Type): злоумышленные действия, ошибка, природный катаклизм и т.д.
• событие (Event): раскрытие информации, модификация, кража, уничтожение и т.д.
• связанные активы (Asset/Resource): люди, оргструктуры, процессы, ИТ-инфраструктура и т.д.
• время (Time). Любопытное расширение в остальном довольно привычной структуры описания риска, за счет которого предлагается учитывать, например, прогнозируемую длительность негативного влияния, критичность события к календарному периоду и/или времени суток.

Что примечательно, описанием структуры, в отличие от многих публикаций, COBIT 5 for Risk не ограничивается и приводит более сотни различных сценариев риска, разбитых на 20 категорий: от управления ИТ-инвестициями, программами и проектами до рисков, связанных с поставщиками, вредоносным ПО, атаками и регуляторами. А для каждой категории рисков COBIT 5 for Risk также дает рекомендации по снижению, группируя их по семи факторам влияния. Казалось, куда уж подробнее.

Однако в конце сентября вышла публикация Risk Scenarios Using COBIT 5 for Risk, в которой большая часть заявленных ранее сценариев описана согласно шаблону профиля риска (Risk Profile) и содержит следующую информацию:

• конкретный пример реализации риска в некой организации
• детальное описание каждого из пяти компонентов структуры сценария (см.выше)
• влияние риска на три составляющие:​
• получение ценности от ИТ (IT Benefit/Value Enablement)
• исполнение ИТ программ и проектов (IT Programme and Project Delivery)
• эксплуатация и предоставление ИТ-услуг (IT Operations and Service Delivery)
• указание применимости стратегий реагирования (уклонение, принятие, передача, снижение)
• применение семи факторов влияния (политики, принципы и подходы; процессы; оргструктура; культура, этика, поведение; информация; услуги, инфраструктура и приложения; люди, навыки и компетенции) для снижения риска. Причем, для каждой предлагаемой меры есть уточнение эффективности ее воздействия на вероятность и ущерб.
• ключевые показатели риска (Key Risk Indicators – KRI) в привязке к ИТ-целям (из основной публикации COBIT 5) и целям процесса (из COBIT 5: Enabling Processes)

И так для КАЖДОГО риска на без малого двух сотнях страниц. Итого: существенное расширение COBIT 5 for Risk и, полагаю, самое подробное и актуальное описание типовых рисков, связанных с ИТ, которое ISACA в лучших традициях дополнила инструментами, которые пригодятся практикам. В комплекте с самой публикацией идет архив шаблонов профилей рисков по каждой из 20 категорий.

ОБУЧЕНИЕ

Учебные курсы и сертификация на русском языке

специалистов по ИТ-менеджменту