1.3 Управления и анализ рисков при оценке эффективности автоматизированной информационной технологии управления

Решение задач, связанных с появлением ИТ-рисков, т.е. управление рисковыми ситуациями включает в себя перечень необходимых мер: своевременное реагирование на возникающие ситуации, управление рисками, оценка их угрозы и поддержка осведомленности о них, что и стало объектом нашего рассмотрения.

ИТ-риски делятся на три категории:

- Первая — это риски, вызванные действиями персонала. Сюда относится управление доступом к ресурсам, обеспечение его в строгом соответствии с выполняемыми сотрудником функциями и контроль использования ресурсов.

- Второй тип — риски технологические, куда относятся сбои или отказы оборудования. В рамках управления этим видом рисков обеспечивается непрерывность предоставления пользователям ИТ-сервисов надлежащего качества.

- Третий тип – риски, связанные с использованием нелегального программного обеспечения. В рамках управления этим видом рисков обеспечивается оптимизация использования программного обеспечения, предотвращения юридических, технологически, деловых рисков. Данная классификация используется далее при разработке автоматизированной системы управления ИТ-рисками.

Процесс управления ИТ-рисками заключается в выработке системы действий: периодической идентификации, оценке рисков и выработке мероприятий по их снижению. Опираясь на рекомендации NIST (National Institute of Standards and Technology), в частности NIST SP800-30 Risk Management Guide for Information Technology Systems, выделяют следующие этапы управления ИТ-рисками:

1. Инвентаризация информационных активов и оценка их критичности;

2. Идентификация угроз и уязвимостей;

3. Определение вероятностей и воздействий;

4. Анализ угроз и уязвимостей;

5. Определение рисков;

6. Анализ рисков;

7. Оценка и контроль рисков.

В ходе инвентаризации информационных активов составляется база данных конфигурационных единиц, описывающая инфраструктуру организации.

Анализ рисков – часть управления ИТ-рисками, в процессе которого оцениваются уязвимости (например, на основе база знаний CERT) информационной инфраструктуры компании к угрозам безопасности, их критичность и вероятность ущерба, разрабатываются мероприятия по снижению рисков до допустимого уровня.

С позиции системного анализа решение задачи управления ИТ-рисками включает в себя перечень основных этапов:

- DO – сбор и передача информации об ОУ, а также анализ ОУ (идентификация).

- CT – выбор цели управления. На данном этапе формируются цели управления и критерии оптимизации управляющего воздействия, в соответствии с текущим состоянием объекта управления. Отметим, что цель управления может изменяться в соответствии с функциональным состоянием объекта управления.

- СС - формирования управлений. В соответствии с целями управления формируются множества допустимых альтернативных управлений. На данном этапе проверяется управляемость ОУ при заданных значениях параметров и целях. Если процесс неуправляем, то постановщику задачи следует пересмотреть процедуры DO и СТ.

- СО - формирования оптимальных управлений. Как правило, процесс управления протекает при условиях ограничивающих значения управляемых переменных и различных критериев оптимизации управления. Оптимальное управленческое решение принимается в условиях многокритериальности и при условии управляемости ОУ.

- A - выдача управляющих воздействий на объект управления.

Принцип действия системы управления рисками (Рисунок 1):

Рисунок 1 – Принцип действия системы управления рисками

Для повышения эффективности процесса формирования управлений следует автоматизировать процедуры DO, CT, посредством реализации автоматизированной системы управления рисками АСУР.

Для первого вида риска в разработанной системе предполагается возможность проведения анкетирования сотрудников для выявления угрозы рисков.

В рамках управления вторым видом рисков обеспечивается загрузка файла статистических данных об инцидентах в информационной структуре предприятия, загрузка файла потенциальных уязвимостей и проверка конфигурационных единиц инфраструктуры на их наличие.

Управление последним видом обеспечивается за счет сопоставления установленного программного обеспечения и имеющихся лицензий на него. Информация по всем рискам поступает в интегрирующую подсистему управления рисками, которая обеспечивает оценку рисков и планирование мероприятий по их снижению и устранению.

Таким образом, управление ИТ-рисками возможно только при наличии системы определенных действий. Разработанная нами автоматизированная система управления ИТ-рисками позволит менеджерам на операционном уровне осуществлять процесс управления ИТ-рисками, отслеживать статистику по рисковым событиям, что является практически значимым и теоретическим ценным выходом работы [6, 7].