Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Новые экзамены
по ITSM
Реестр ESM- и ITSM-систем в России 2024

Павел Дёмин

Детальное описание типовых ИТ-рисков от ISACA

Существует множество подходов и стандартов по управлению рисками: CRAMM, COSO ERM, ISO 27005, OCTAVE, MEHARI… Все они с большей или меньшей детализацией описывают известный цикл «определение охвата-идентификация-анализ-оценка-реагирование-контроль», с 2009 года закрепленный в стандарте ISO 31000. Кроме того, каждая методика предлагает свой способ описания (формулирования) риска. ITSM-специалистам привычен взгляд на риск, как тройку «актив-угроза-уязвимость», которого придерживаются авторы ITIL. А, например, PMBOK советует использовать конструкцию «причина-событие-последствие». ISACA еще со времен RiskIT, а теперь и в COBIT 5 for Risk предлагает использовать понятие сценария риска (Risk Scenario), которое включает в себя: источник угрозы (Actor): внутренний/внешний тип угрозы (Threat Type): злоумышленные действия, ошибка, природный катаклизм…

Где в ITIL управление рисками?

Словосочетание “risk management” в ITIL 2011 можно встретить 245 раз. При этом описанию практики управления рисками в пяти томах места не нашлось. Вопрос «почему?» – не стоит. А вот «где?» – тема, на мой взгляд, интересная.

COBIT 5: все еще Control Objectives?

На прошлой неделе у нас прошел очередной открытый курс «COBIT 5 Основы», в преддверии которого была серьезно обновлена программа: обзор пяти принципов и введение в процессную модель были расширены обзорами публикаций Enabling Information, COBIT5 for Risk, COBIT 5 for Information Security, COBIT 5 Implementation и введением в оценку процессов по COBIT 5 PAM. Для трех дней – невероятно насыщенно. Несмотря на то, что ISACA не выставляет никаких начальных требований к слушателям курса, очевидно, что для благополучного усваивания такого объема информации требуется бекграунд. Радостно, что люди собираются действительно подготовленные. Мы же продолжаем с интересом изучать аудиторию этого курса, с каждым разом…

О пользе FTA

Решая задачи управления рисками и непрерывностью ИТ-услуг, я искал инструмент, который в условиях ограниченных ресурсов аналитиков и сложностей с привлечением технических экспертов, позволял бы получить максимально точный ландшафт рисков и полную картину нарушений доступности. Да еще хотелось, чтобы с его помощью была возможна вероятностная оценка, и сразу можно было представить, как полученные и не очень устраивающие цифры исправлять. В книге Service Design любимого пятитомника говорится о методе анализа дерева отказов (Fault-Tree Analysis, далее – FTA), но уж слишком вскользь, чтобы обратить на него внимание. Стандарт ISO 31010 “Risk Management – Risk assessment techniques”, выступает более развернуто и, приводя следующий пример (см….

 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM