КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Поддержка принятия решений
|
|
|
|
Оценка рисков.
Методика управления рисками, предлагаемая Microsoft.
Управление рисками рассматривается как одна из составляющих общей программы управления, предназначенной для руководства компаний и позволяющей контролировать ведение бизнеса и принимать обоснованные решения
Процесс управления рисками безопасности, предлагаемый Майкрософт, включает следующие четыре этапа (рис.7):
- Планирование сбора данных. Обсуждение основных условий успешной реализации и подготовка рекомендаций.
- Сбор данных о рисках. Описание процесса сбора и анализа данных.
- Приоритизация рисков. Подробное описание шагов по качественной и количественной оценке рисков.
- Определение функциональных требований. Определение функциональных требований для снижения рисков.
- Выбор возможных решений для контроля. Описание подхода к выбору решений по нейтрализации риска.
- Экспертиза решения. Проверка предложенных элементов контроля на соответствие функциональным требованиям.
- Оценка снижения риска. Оценка снижения подверженности воздействию или вероятности рисков.
- Оценка стоимости решения. Оценка прямых и косвенных затрат, связанных с решениями по нейтрализации риска.
- Выбор стратегии нейтрализации риска. Определение наиболее экономически эффективного решения по нейтрализации риска путем анализа выгод и затрат.
Реализация контроля. Развертывание и использование решений для контроля, снижающих риск для организации.
- Поиск целостного подхода. Включение персонала, процессов и технологий в решение по нейтрализации риска.
- Организация по принципу многоуровневой защиты. Упорядочение решений по нейтрализации риска в рамках предприятия.
|
|
|
Оценка эффективности программы. Анализ эффективности процесса управления рисками и проверка того, обеспечивают ли элементы контроля надлежащий уровень безопасности.
- Разработка системы показателей рисков. Оценка уровня и изменения риска.
- Оценка эффективности программы. Оценка программы управления рисками для выявления возможностей усовершенствования.
В руководстве [6] особо отмечается, что термины управление рисками и оценка рисков не являются взаимозаменяемыми. Под управлением рисками понимаются общие мероприятия по снижению риска в рамках организации до приемлемого уровня. Управление рисками представляет собой непрерывный процесс, но производимые оценки чаще всего делаются для годичного интервала. Под оценкой рисков понимается процесс выявления и приоритизации рисков для бизнеса, являющийся составной частью управления рисками.
Рис. 7. Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт
При описании риска делается указание на то, какое влияние он оказывает на бизнес и насколько вероятно данное событие. Компоненты, описывающие риск изображены на рис. 8.
Рис. 8 Компоненты «полной формулировки» риска
На начальном этапе проведения оценки рискам присваиваются значения в соответствии со шкалой: «высокий», «средний» и «низкий». После этого, для выявленных наиболее существенных рисков проводится количественная оценка.
Перед внедрением в организации процесса управления рисками безопасности, предлагаемого корпорацией Майкрософт, необходимо проверить уровень зрелости организации с точки зрения управления рисками безопасности. Организациям, в которых отсутствуют формальные политики или процессы, относящиеся к управлению рисками безопасности, будет очень трудно сразу внедрить все аспекты рассматриваемого процесса. Если окажется, что уровень зрелости является достаточно низким, рассматриваемый процесс можно внедрять последовательными этапами на протяжении нескольких месяцев (например, путем эксплуатации пилотного проекта в отдельном подразделении на протяжении нескольких полных циклов данного процесса). Продемонстрировав эффективность процесса управления рисками безопасности, предлагаемого корпорацией Майкрософт, на примере этого пилотного проекта, группа управления рисками безопасности может перейти к внедрению данного процесса в других подразделениях, постепенно охватывая всю организацию.
|
|
|
Уровень зрелости оценивается по шкале, приведенной в табл.1.
Таблица 1. Уровни зрелости управления рисками безопасности
| Уровень | Состояние | Определение |
| Отсутствует | Политика или процесс не документированы. Ранее организация не знала о деловых рисках, связанных с управлением рисками, и не рассматривала данный вопрос | |
| Узкоспециализированный | Некоторые члены организации признают значимость управления рисками, однако операции по управлению рисками являются узкоспециализированными. Политики и процессы в организации не документированы, процессы не являются полностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и некоординируемыми, а получаемые результаты не измеряются и не подвергаются аудиту | |
| Повторяемый | Организации известно об управлении рисками. Процесс управления рисками является повторяемым, но развит слабо. Процесс документирован не полностью, однако соответствующие операции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится формальное обучение и информирование по управлению рисками; ответственность за выполнение соответствующих мероприятий возложена на отдельных сотрудников | |
| Наличие определенного процесса | Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информации. В организации разработан базовый процесс с четко определенными целями и задокументированными процессами достижения и оценки результатов. Проводится обучение всего персонала основам управления рисками. Организация активно внедряет задокументированные процессы управления рисками | |
| Управляемый | На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распространена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффективности. Программе управления рисками выделен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений организации, а группа управления рисками безопасности может постоянно совершенствовать свои процессы и средства. В организации используются некоторые технологические средства, помогающие в управлении рисками, однако большая часть (если не подавляющее большинство) процедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную | |
| Оптимизированный | Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудники пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет и каким образом их нужно будет решать. Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная причина возникшей проблемы и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники организации могут проходить обучение, обеспечивающее различные уровни подготовки |
|
|
|
|
|
|
|
Дата добавления: 2014-01-20; Просмотров: 390; Нарушение авторских прав?; Мы поможем в написании вашей работы!