risk assessment

Оценка риска в ITSM — это целенаправленная деятельность, позволяющая понять, какие риски существуют для услуги, ИТ-услуги, продукта, организации или конкретного потока создания ценности, насколько они вероятны и каков возможный ущерб или выгода. На практике оценка риска применяется при проектировании услуг, управлении изменениями, управлении информационной безопасностью, управлении непрерывностью услуг, а также при работе с поставщиками и третьими сторонами, когда нужно подтвердить соответствие требованиям и обеспечить приемлемые уровни доступности, надёжности и конфиденциальности. Результаты оценки риска обычно используются для обоснования приоритетов, выбора контролей, корректировки требований гарантии и требований полезности, а также для согласования ожиданий с заказчиком и заинтересованными сторонами. Важно, что оценка риска описывает и сравнивает риски, но сама по себе не включает выполнение мер реагирования, таких как внедрение контролей, перенос риска на поставщика или принятие решения об инвестициях; это относится к управлению рисками и последующим управленческим решениям. Также оценка риска не заменяет измерение и отчётность по фактической производительности или расследование причин инцидента — она работает с потенциальными сценариями и их последствиями.

Оценку риска часто ошибочно воспринимают как разовую формальность «для соответствия требованиям». В ITSM она должна быть повторяемой и соразмерной: для стандартного изменения обычно достаточно лёгкой оценки, а для экстренного изменения риск может быть высоким даже при малом объёме работ из‑за ограниченного времени на валидацию и тестирование. Ещё одна типичная путаница — смешение оценки риска с управлением рисками: оценка риска отвечает на вопрос «какие риски и насколько они значимы», а управление рисками включает выбор и реализацию вариантов обработки, назначение владельцев, мониторинг и пересмотр. Также оценку риска нередко смешивают с анализом влияния на бизнес: анализ влияния на бизнес фокусируется на последствиях прерываний и требованиях к восстановлению (например, RTO и RPO), тогда как оценка риска шире и учитывает множество сценариев, включая информационную безопасность, зависимость от поставщика услуги и изменения в среде. Опасна чрезмерная субъективность: если критерии вероятности и воздействия не определены, сравнение рисков между услугами становится некорректным. Наконец, распространённая ошибка — оценивать риск «в вакууме», игнорируя существующие контроли и фактическую архитектуру; корректная оценка должна учитывать текущую конфигурацию и реальное состояние среды.