Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Новые экзамены
по ITSM
Реестр ITSM-систем в России 2023

Управление рисками

Что читать про управление непрерывностью

В продолжение предыдущей заметки публикую список ключевой, на мой взгляд, литературы по теме управления непрерывностью, которая обстоятельно не раскрыта в наших любимых сводах знаний. ISO 22301:2012 Societal security – Business continuity management systems – Requirments Основной, с 2012 года ставший международным, а ранее известный как BS25999, стандарт по управлению непрерывностью бизнеса. Вводит важную терминологию, предъявляет требования к планированию, проектированию, внедрению, сопровождению, оценке и постоянному совершенствованию системы управления непрерывностью бизнеса. ISO 22313 Societal Security – Business continuity management systems – Guidance Если в ISO 22301 содержатся требования, с которыми более удобно работать аудиторам, то ISO 22313 дает руководство по тому, как эти требования могут быть...

, 12 октября 2015

Узнать о RESILIA за 3 минуты

Для тех, кто стремится быть в курсе известных стандартов, методологий и сборников лучших практик, но не имеет достаточно времени, компания Van Haren Publishing регулярно публикует краткие трёхминутные обзоры, благодаря которым можно познакомиться с основными идеями. На прошлой неделе вышло описание нового набора лучших практик в области информационной безопасности – RESILIA™ Cyber Resilience Best Practices.  Редакция портала RealITSM подготовила для вас перевод данного обзора, ознакомиться с оригинальной версией можно на сайте Van Haren Publishing. Общие сведения RESILIA входит в портфель лучших практик компании AXELOS наряду с ITIL и PRINCE2. Публикация описывает системный подход к управлению информационной безопасностью и спроектирована с учетом...

, 4 сентября 2015

Что читать про управление ИТ-рисками

В заголовок этого поста я вынес вопрос, который довольно часто звучит после курса PPO. Как известно, в ITIL тема не раскрыта, а значит нужно черпать вдохновение откуда-то еще. Здесь я хочу привести небольшой список наиболее, на мой взгляд, интересных и полезных с точки зрения практики стандартов и публикаций. Вдруг пригодится. ISO 31000 (ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство). Тоненький стандарт, базовые принципы и описание цикла управления рисками, который с минимальными вариациями можно найти в большинстве прочих актуальных на сегодня стандартах и подходах. Помимо всего прочего, обращает внимание на важность непрерывных мониторинга и анализа, а также коммуникаций и консультаций, которые...

, 3 августа 2015, последний комментарий 11 августа 2015

Checklist: А вы готовы к неожиданностям?

Независимо от уровня надежности и отказоустойчивости ИТ-систем, приходит день, который испытывает их, а заодно и вас, на прочность. Пожары, затопления, отключения электричества, перебои у ключевых подрядчиков, нарушение целостности каналов связи, крупномасштабные отказы вследствие реализации угроз ИБ – вот лишь короткий список обстоятельств, которые могут поставить вас и ваших заказчиков в затруднительное положение. На случай, если у вас на это есть бюджет, мы предлагаем короткий чеклист, благодаря которому вы можете проверить свою способность держать удар. Разработан и актуален план реагирования на НШС, который включает:     События и сценарии, являющиеся триггерами для активации плана Порядок действий по реагированию и минимизации негативного...

, 7 мая 2015

Лучшие практики по ИБ от владельцев ITIL

AXELOS расширяет свой портфель лучших практик продуктом с экстравагантным названием RESILIA, который направлен на «помощь организациям по всему миру в повышении устойчивости в условиях угроз киберсреды». «Внутри организаций есть могущественная сила, которой по силам защитить информацию и сохранить репутацию компании – это ее сотрудники. Сохраняя фокус на обеспечении соответствия стратегических инициатив, архитектуры предприятия и управления системами на оперативном уровне, мы обращаем внимание на важность вовлечения в вопросы безопасности всех сотрудников организации»- говорит Nick Wilding, Head of Cyber Resilience в AXELOS. RESILIA включает: Лучшие практики по обеспечению кибербезопасности, описывающие, как должна выглядеть хорошая система обеспечения ИБ, в соответствии с жизненным циклом ITIL. Систему обучения...

, 17 апреля 2015

Граница между доступностью и непрерывностью

Граница между двумя процессами – управление доступностью и управление непрерывностью ИТ-услуг – неочевидна, и часто вызывает сложности, особенно у тех, кто только знакомится с ITIL. Действительно, процессы используют схожие техники. В основе обоих процессов лежит понятие риска: мы должны идентифицировать нежелательные события, угрожающие вывести из строя услуги, затем думать, как с этим справляться. И в том, и в другом случае требуется понимание критических бизнес-функций (VBF) и анализ влияния отказов услуг/систем на бизнес-процессы (BIA). Оба процесса, в конечном счете, решают задачу обеспечения устойчивости организации к отказам. Так ли важно разделять эти процессы? На прошедшем недавно курсе PPO мы с группой составили небольшую табличку, иллюстрирующую различия, которую я...

, 28 марта 2015, последний комментарий 2 апреля 2015

CMDB как инструмент учёта прав доступа

Ярослав спрашивает авторов и читателей портала: Просьба посоветовать хорошие практики по учету прав доступа к информационным системам (бизнес-сервисам). Цель: учесть возможные права доступа к каждой системе и выданные права доступа каждого пользователя к каждой системе. Использовать это в заявках на запрос, изменение, отключение прав, для отчетности и аудита прав. Сейчас это представляется мне так: для каждого права доступа к системе создается отдельный класс  CI в CMDB. К CI "Информационная система" привязываются все CI "Право доступа...", имеющие к ней отношение. Пользователи привязываются к CI "Право доступа...", в соответствии с выданными им в реальности правами. Есть ли какой-то другой подход к решению такой задачи? Заранее благодарю!

, 9 февраля 2015, последний комментарий 11 февраля 2015

Реальные примеры: отчеты по оценке рисков

Мы продолжаем делиться с вами примерами полезных документов по различным процессам ITSM и не только. Мы уже публиковали подборки ссылок на интересные материалы по управлению инцидентами, управлению уровнем услуг, управлению изменениями и управлению конфигурациями. Сегодня тема более специфичная, но также касающаяся задачи, которую нередко приходится решать, особенно при запуске новой услуги или проекта – оценка рисков. В дайджесте – примеры и шаблоны отчетов по оценке рисков. Но сначала – как всегда, предостережение. Представленные ниже документы не подвергались детальному анализу со стороны нашей редакции. Тем не менее, они показались нам интересными примерами, которые можно использовать для знакомства с опытом других организаций, расширения...

, 17 декабря 2014, последний комментарий 27 декабря 2014

Как формулировать риск

Риски, угрозы, дестабилизирующие воздействия, нежелательные события – в литературе и, как следствие, в практике можно встретить совершенно различное понимание всех «неприятностей», которые поджидают ИТ-услуги на их и так не простом пути формирования ценности для заинтересованных сторон. Все бы ничего, но когда дело доходит до составления реестра, рисками называют и события, и угрозы, которые приводят к наступлению нежелательных событий, и уязвимости, и негативное влияние. Это затрудняет и непосредственно процесс оценки, и разработку мероприятий по снижению рисков. А ведь там и без того сложностей хватает. Хочется разобраться. Открыв ISO 31000, можно увидеть, что "риск – это влияние неопределенности на цели", где: Влияние (воздействие, эффект)...

, 13 декабря 2014, последний комментарий 25 ноября 2018

Детальное описание типовых ИТ-рисков от ISACA

Существует множество подходов и стандартов по управлению рисками: CRAMM, COSO ERM, ISO 27005, OCTAVE, MEHARI... Все они с большей или меньшей детализацией описывают известный цикл «определение охвата-идентификация-анализ-оценка-реагирование-контроль», с 2009 года закрепленный в стандарте ISO 31000. Кроме того, каждая методика предлагает свой способ описания (формулирования) риска. ITSM-специалистам привычен взгляд на риск, как тройку «актив-угроза-уязвимость», которого придерживаются авторы ITIL. А, например, PMBOK советует использовать конструкцию «причина-событие-последствие». ISACA еще со времен RiskIT, а теперь и в COBIT 5 for Risk предлагает использовать понятие сценария риска (Risk Scenario), которое включает в себя: источник угрозы (Actor): внутренний/внешний тип угрозы (Threat Type): злоумышленные действия, ошибка, природный катаклизм...

, 12 октября 2014, последний комментарий 16 октября 2014

Где в ITIL управление рисками?

Словосочетание “risk management” в ITIL 2011 можно встретить 245 раз. При этом описанию практики управления рисками в пяти томах места не нашлось. Вопрос «почему?» — не стоит. А вот «где?» – тема, на мой взгляд, интересная.

, 12 сентября 2014, последний комментарий 12 марта 2018
 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику конфиденциальности и Согласие на обработку персональных данных.