Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Новые экзамены
по ITSM
Реестр ESM- и ITSM-систем в России 2024

Управление рисками

COBIT 5 for Risk: основные области ИТ-рисков

Мы уже писали о публикации Risk Scenarios using COBIT5 for Risk. Кроме того, ей был посвящен недавно прошедший вебинар CleverTALK. В этой заметке хочу подвести краткие итоги того, какие области рисков в ИТ, по мнению авторов, являются наиболее критичными и нуждаются в пристальном внимании. Несмотря на то, что публикация содержит лишь примеры, так называемых, сценариев и не является исчерпывающим перечнем ИТ-рисков, выводы о том, где висят грозовые тучи, сделать можно и, на мой взгляд, весьма любопытные. Большое внимание авторы COBIT5 for Risk уделяют инсайдерской угрозе. Собственные сотрудники могут нарушать работу процессов, модифицировать клиентскую информацию, проводить фиктивные транзакции в финансовых системах, проводить несанкционированные изменения или, например, вступая в…

, 15 ноября 2015, последний комментарий 20 ноября 2015

Что читать про управление непрерывностью

В продолжение предыдущей заметки публикую список ключевой, на мой взгляд, литературы по теме управления непрерывностью, которая обстоятельно не раскрыта в наших любимых сводах знаний. ISO 22301:2012 Societal security – Business continuity management systems – Requirments Основной, с 2012 года ставший международным, а ранее известный как BS25999, стандарт по управлению непрерывностью бизнеса. Вводит важную терминологию, предъявляет требования к планированию, проектированию, внедрению, сопровождению, оценке и постоянному совершенствованию системы управления непрерывностью бизнеса. ISO 22313 Societal Security – Business continuity management systems – Guidance Если в ISO 22301 содержатся требования, с которыми более удобно работать аудиторам, то ISO 22313 дает руководство по тому, как эти требования могут быть…

Узнать о RESILIA за 3 минуты

Для тех, кто стремится быть в курсе известных стандартов, методологий и сборников лучших практик, но не имеет достаточно времени, компания Van Haren Publishing регулярно публикует краткие трёхминутные обзоры, благодаря которым можно познакомиться с основными идеями. На прошлой неделе вышло описание нового набора лучших практик в области информационной безопасности – RESILIA™ Cyber Resilience Best Practices.  Редакция портала RealITSM подготовила для вас перевод данного обзора, ознакомиться с оригинальной версией можно на сайте Van Haren Publishing. Общие сведения RESILIA входит в портфель лучших практик компании AXELOS наряду с ITIL и PRINCE2. Публикация описывает системный подход к управлению информационной безопасностью и спроектирована с учетом…

Что читать про управление ИТ-рисками

В заголовок этого поста я вынес вопрос, который довольно часто звучит после курса PPO. Как известно, в ITIL тема не раскрыта, а значит нужно черпать вдохновение откуда-то еще. Здесь я хочу привести небольшой список наиболее, на мой взгляд, интересных и полезных с точки зрения практики стандартов и публикаций. Вдруг пригодится. ISO 31000 (ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство). Тоненький стандарт, базовые принципы и описание цикла управления рисками, который с минимальными вариациями можно найти в большинстве прочих актуальных на сегодня стандартах и подходах. Помимо всего прочего, обращает внимание на важность непрерывных мониторинга и анализа, а также коммуникаций и консультаций, которые…

, 3 августа 2015, последний комментарий 11 августа 2015

Checklist: А вы готовы к неожиданностям?

Независимо от уровня надежности и отказоустойчивости ИТ-систем, приходит день, который испытывает их, а заодно и вас, на прочность. Пожары, затопления, отключения электричества, перебои у ключевых подрядчиков, нарушение целостности каналов связи, крупномасштабные отказы вследствие реализации угроз ИБ – вот лишь короткий список обстоятельств, которые могут поставить вас и ваших заказчиков в затруднительное положение. На случай, если у вас на это есть бюджет, мы предлагаем короткий чеклист, благодаря которому вы можете проверить свою способность держать удар. Разработан и актуален план реагирования на НШС, который включает:     События и сценарии, являющиеся триггерами для активации плана Порядок действий по реагированию и минимизации негативного…

Лучшие практики по ИБ от владельцев ITIL

AXELOS расширяет свой портфель лучших практик продуктом с экстравагантным названием RESILIA, который направлен на «помощь организациям по всему миру в повышении устойчивости в условиях угроз киберсреды». «Внутри организаций есть могущественная сила, которой по силам защитить информацию и сохранить репутацию компании – это ее сотрудники. Сохраняя фокус на обеспечении соответствия стратегических инициатив, архитектуры предприятия и управления системами на оперативном уровне, мы обращаем внимание на важность вовлечения в вопросы безопасности всех сотрудников организации»- говорит Nick Wilding, Head of Cyber Resilience в AXELOS. RESILIA включает: Лучшие практики по обеспечению кибербезопасности, описывающие, как должна выглядеть хорошая система обеспечения ИБ, в соответствии с жизненным циклом ITIL. Систему обучения…

Граница между доступностью и непрерывностью

Граница между двумя процессами – управление доступностью и управление непрерывностью ИТ-услуг – неочевидна, и часто вызывает сложности, особенно у тех, кто только знакомится с ITIL. Действительно, процессы используют схожие техники. В основе обоих процессов лежит понятие риска: мы должны идентифицировать нежелательные события, угрожающие вывести из строя услуги, затем думать, как с этим справляться. И в том, и в другом случае требуется понимание критических бизнес-функций (VBF) и анализ влияния отказов услуг/систем на бизнес-процессы (BIA). Оба процесса, в конечном счете, решают задачу обеспечения устойчивости организации к отказам. Так ли важно разделять эти процессы? На прошедшем недавно курсе PPO мы с группой составили небольшую табличку, иллюстрирующую различия, которую я…

, 28 марта 2015, последний комментарий 2 апреля 2015

CMDB как инструмент учёта прав доступа

Ярослав спрашивает авторов и читателей портала: Просьба посоветовать хорошие практики по учету прав доступа к информационным системам (бизнес-сервисам). Цель: учесть возможные права доступа к каждой системе и выданные права доступа каждого пользователя к каждой системе. Использовать это в заявках на запрос, изменение, отключение прав, для отчетности и аудита прав. Сейчас это представляется мне так: для каждого права доступа к системе создается отдельный класс  CI в CMDB. К CI "Информационная система" привязываются все CI "Право доступа…", имеющие к ней отношение. Пользователи привязываются к CI "Право доступа…", в соответствии с выданными им в реальности правами. Есть ли какой-то другой подход к решению такой задачи? Заранее благодарю!

, 9 февраля 2015, последний комментарий 11 февраля 2015

Реальные примеры: отчеты по оценке рисков

Мы продолжаем делиться с вами примерами полезных документов по различным процессам ITSM и не только. Мы уже публиковали подборки ссылок на интересные материалы по управлению инцидентами, управлению уровнем услуг, управлению изменениями и управлению конфигурациями. Сегодня тема более специфичная, но также касающаяся задачи, которую нередко приходится решать, особенно при запуске новой услуги или проекта – оценка рисков. В дайджесте – примеры и шаблоны отчетов по оценке рисков. Но сначала – как всегда, предостережение. Представленные ниже документы не подвергались детальному анализу со стороны нашей редакции. Тем не менее, они показались нам интересными примерами, которые можно использовать для знакомства с опытом других организаций, расширения…

, 17 декабря 2014, последний комментарий 27 декабря 2014

Как формулировать риск

Риски, угрозы, дестабилизирующие воздействия, нежелательные события – в литературе и, как следствие, в практике можно встретить совершенно различное понимание всех «неприятностей», которые поджидают ИТ-услуги на их и так не простом пути формирования ценности для заинтересованных сторон. Все бы ничего, но когда дело доходит до составления реестра, рисками называют и события, и угрозы, которые приводят к наступлению нежелательных событий, и уязвимости, и негативное влияние. Это затрудняет и непосредственно процесс оценки, и разработку мероприятий по снижению рисков. А ведь там и без того сложностей хватает. Хочется разобраться. Открыв ISO 31000, можно увидеть, что "риск – это влияние неопределенности на цели", где: Влияние (воздействие, эффект)…

, 13 декабря 2014, последний комментарий 25 ноября 2018

Детальное описание типовых ИТ-рисков от ISACA

Существует множество подходов и стандартов по управлению рисками: CRAMM, COSO ERM, ISO 27005, OCTAVE, MEHARI… Все они с большей или меньшей детализацией описывают известный цикл «определение охвата-идентификация-анализ-оценка-реагирование-контроль», с 2009 года закрепленный в стандарте ISO 31000. Кроме того, каждая методика предлагает свой способ описания (формулирования) риска. ITSM-специалистам привычен взгляд на риск, как тройку «актив-угроза-уязвимость», которого придерживаются авторы ITIL. А, например, PMBOK советует использовать конструкцию «причина-событие-последствие». ISACA еще со времен RiskIT, а теперь и в COBIT 5 for Risk предлагает использовать понятие сценария риска (Risk Scenario), которое включает в себя: источник угрозы (Actor): внутренний/внешний тип угрозы (Threat Type): злоумышленные действия, ошибка, природный катаклизм…

, 12 октября 2014, последний комментарий 16 октября 2014
 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику конфиденциальности и Согласие на обработку персональных данных.
;