В данной статье рассматривается риск-менеджмент как непрерывный процесс. Описываются инфраструктура и процесс менеджмента рисков с точки зрения цикла PDCA. Выявляются преимущества внедрения риск-ориентированного подхода в области информационной безопасности.
Ключевые слова: риск-менеджмент, непрерывный процесс, цикл PDCA, инфраструктура риск-менеджмента, процесс менеджмента рисков.
Информатизация деятельности организаций и увеличение объемов обрабатываемой информации требуют внедрения системного подхода к обеспечению информационной безопасности. Для эффективной защиты от информационных угроз уже недостаточно реализовать отдельные контрмеры. В свою очередь, с целью поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности, прежде всего, как непрерывный процесс.
История термина «риск»
История термина «риск» имеет древние корни и связана с отношением человека к будущему [1]. В частности, с появлением мировых религий стало очевидно, что будущее неоднозначно. Зародилось понимание того, что от поведения человека в жизни зависит его положение в загробном мире. Появилась ответственность за последствия своих действий. Однако, в обиходе это слово начало употребляться только в средние века и было связано именно с мореплаванием. Данный термин моряки использовали при проходе узкостей. Так, выражение «рисковать» (итал. risicare) означало «лавировать между скалами». Первый механизм управления рисками связывают именно со страхованием торговых судов от кораблекрушения. К началу XXI века риск-менеджмент начал рассматриваться как эффективное средство управления ресурсами организации применительно к различным областям. Если еще полвека назад данное направление развивалось в рамках экономической теории, то в наши дни риск-ориентированный подход играет важную роль, в том числе, и в области безопасности (рис. 1).
Рис. 1. Применение риск-менеджмента
Цикл Деминга-Шухарта
При рассмотрении риск-менеджмента с точки зрения процесса осуществляется его условное деление на четыре этапа: планирование, реализация, проверка, действие. Эти этапы взаимосвязаны так, что вход одного является выходом другого, образуя тем самым непрерывный процесс или цикл. Родоначальником данного цикла считают Уильяма Шухарта [2]. В своих работах ученый выделяет три стадии управления качеством: разработка спецификации, производство продукции, контроль произведенной продукции. Данные стадии представляют собой цикл из четырех шагов:
– Разработка продукта
– Изготовление и проверка на производственной линии
– Поставка на рынок
– Проверка в работе
Шухарт утверждал, что необходимо постоянно улучшать качество продукции. Для этого он предложил также процессный подход не только при контроле над качеством, но и при организации производственных связей от операции к операции, обосновал необходимость организации производства не по функциональным признакам, а следуя процессу производства.
Концепция Шухарта о непрерывном улучшении качества получила развитие в работах Эдварда Деминга, который предложил использовать цикл PDCA: планирование (Plan), реализация (Do), проверка (Check), действие (Action).
В наши дни цикл PDCA является распространенной моделью непрерывного улучшения процессов и применяется в различных областях деятельности. В частности, идеи данного цикла лежат в основе процесса менеджмента рисков информационной безопасности и его инфраструктуры.
Инфраструктура риск-менеджмента
При изучении вопросов управления рисками зачастую все внимание уделяется именно процессу менеджмента рисков. Между тем, понимание инфраструктуры риск-менеджмента и его основных принципов крайне необходимо для внедрения эффективного процесса, способного предоставлять воспроизводимые результаты (рис. 2). Цель данной инфраструктуры заключается в оказании помощи организациям, внедряющим риск-менеджмент в общую систему менеджмента [3].
Рис. 2. Инфраструктура риск-менеджмента
Компонент принципы риск-менеджмента отражает его сущность. А именно, риск-менеджмент:
– способствует достижению целей
– является неотъемлемой частью всех организационных процессов
– связан с неопределенностью
– представляет собой структурированный процесс
– основан на наилучшей доступной информации
– учитывает интересы заинтересованных сторон
– является динамичным процессом
Полномочия и обязательства выступают следующим компонентом, в рамках которого для обеспечения эффективности риск-менеджмента необходима приверженность и поддержка со стороны руководства организации. В первую очередь, руководство должно согласовать цели риск-менеджмента со стратегическими целями организации и утвердить Политику риск-менеджмента. Затем необходимо распределить ответственность между персоналом и выделить необходимые ресурсы.
Разработка инфраструктуры риск-менеджмента начинается с установления контекста. Данный этап тесно взаимосвязан с предыдущим и включает в себя: определение внешнего и внутреннего контекста, установление Политики риск-менеджмента, распределение ответственности, а также выделение необходимых ресурсов. Отличие от предыдущего этапа заключается в том, что разработка инфраструктуры подразумевает сам перечень необходимых мероприятий, в то время как обязательства руководства отражают его приверженность и поддержку к описанным мероприятиям.
Для перехода к внедрению риск-менеджмента руководство должно убедиться, что все этапы данного процесса применяются в соответствии с Планом риск-менеджмента. В целом, следуя из названия, в рамках данного компонента осуществляется внедрение риск-менеджмента в процессы организации.
Мониторинг и анализ инфраструктуры риск-менеджмента позволяет убедиться в его эффективности. В рамках мониторинга осуществляется контроль соответствия разработанных документов и внедренных процессов установленным требованиям, анализируется эффективность инфраструктуры риск-менеджмента.
По результатам мониторинга осуществляется постоянное улучшение инфраструктуры риск-менеджмента. Улучшение заключается в обновлении разработанных документов и внедрении дополнительных организационных мероприятий в случае изменения контекста организации. В целом, организация должна добиваться высокого уровня эффективности инфраструктуры риск-менеджмента. Для этого необходимо стремиться к выполнению следующих признаков, при которых для инфраструктуры характерны:
– постоянное улучшение посредством учета изменений
– полная ответственность за риски, заключающаяся в распределении обязанностей и выделения необходимых ресурсов для их исполнения
– учет рисков при принятии решений
– постоянный обмен информацией с причастными сторонами
– полная интеграция в структуру управления организации, выражающаяся в понимании руководством того, что риск-менеджмент является важным инструментом достижения целей
Процесс менеджмента рисков
Процесс менеджмента рисков содержит непосредственно организационные и технические мероприятия, которые внедряются в процессы организации [4]. Для поддержания постоянной защищённости объекта на должном уровне необходимо рассматривать вопросы обеспечения безопасности как непрерывный процесс. В связи с этим, в рамках данной работы процесс менеджмента рисков рассматривается как цикл (рис. 3).
Рис. 3. Процесс менеджмента рисков в рамках цикла PDCA
На этапе планирование определяется контекст менеджмента рисков, осуществляется идентификация активов и их уязвимостей, угроз, последствий, а также внедренных контрмер. Кроме того, определяется ценность активов и разрабатывается План обработки рисков. Осуществляется оценка рисков, по результатам которой выбираются необходимые контрмеры. Документированию подлежат все стадии данного этапа, в том числе, обоснование выбора соответствующих контрмер для нейтрализации угроз.
Следуя из названия, этап реализация включает в себя внедрение необходимых контрмер, а также контроль реализации Плана обработки рисков.
На этапе проверка осуществляется непрерывный мониторинг внедренных контрмер и оценивается их эффективность. Кроме того, контролируются функциональные изменения защищаемого объекта, что позволяет своевременно идентифицировать новые угрозы и уязвимости.
Совершенствование процесса менеджмента рисков по результатам проведенного мониторинга осуществляется в рамках заключительного этапа действие. При необходимости пересматриваются определенные риски. Данный этап является важной составляющей процесса менеджмента рисков, так как влияет на повышение его эффективности применительно к защищаемому объекту.
Преимущества риск-ориентированного подхода
Организации, управляющие информационными рисками, разительно отличаются от тех, кто этому не уделяет должное внимание. Решение о финансировании мероприятий по обеспечению информационной безопасности в таких организациях принимается по результатам оценки рисков, что аргументирует обоснованность конкретных действий [5]. Руководитель не может знать все тонкости процессов организации в ее разных областях, особенно для крупных компаний и корпораций. На это и нужны инженеры, специалисты и аналитики. А вот задача руководителя сводится именно к принятию стратегических для организации решений с целью повышения эффективности ее деятельности. В связи с этим, человеку, не обладающему специальными знаниями и навыками в определенной области, трудно будет понять, о чем идет речь. Поэтому краеугольным камнем риск-ориентированного подхода является именно обоснованность реализации конкретных мероприятий. При таком подходе руководителю будет гораздо проще понять, почему нужно что-то делать, что именно нужно делать и сколько это будет стоить.
Применение риск-ориентированного подхода позволяет:
– Обосновать необходимость реализации определенных мероприятий по обеспечению информационной безопасности
– Оптимизировать время на реализацию мероприятий по обеспечению информационной безопасности
– Своевременно идентифицировать новые угрозы и уязвимости
– Оценивать экономическую эффективность выбранных контрмер
– Оптимизировать расходы на обеспечение информационной безопасности
– Оценивать эффективность службы информационной безопасности посредством анализа возврата инвестиций
Вывод
Внедрение в деятельность организаций риск-менеджмента позволяет обеспечить стабильность их развития, повысить обоснованность принятия решений в рискованных ситуациях и, тем самым, оптимизировать расходы на информационную безопасность. Несмотря на то, что процесс менеджмента рисков приносит важные преимущества, он имеет и определенные ограничения. Например, важно понимать, что персональное суждение при принятии решений может быть ошибочным. Безусловно, решения о выборе контрмер должны учитывать соотношение затрат и результата, однако проблемы могут возникнуть из-за простых человеческих ошибок. Понимание этого аспекта не позволяет руководству иметь абсолютную уверенность в достижении целей организации, поэтому необходимо учитывать неопределенность. В связи с этим, вопросы внедрения риск-ориентированного подхода являются актуальными, поскольку это увеличивает вероятность успеха и минимизирует вероятность отклонения от достижения поставленных организацией целей.
Литература:
- Вишняков Я. Д. Общая теория рисков : учеб. пособие / Я. Д. Вишняков, Н. Н. Радаев. — М.: ИЦ "Академия", 2007. — 368 с.
- Статистическое управление качеством // URL: http://mylektsii.ru/10-72650.html
- ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство.
- ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
- Астахов А.М. Искусство управления информационными рисками. — М.:
- ДМК Пресс, 2010. — 314 с.
