Документация по управлению рисками
Система по управлению рисками фундамент, на котором должна строится вся система компании. Это очень важная и сложная система, которое обычно вызывает наибольшие затруднения в современных компаниях.
Существует множество книг, методик и руководств по управлению рисками. Главные требования по управлению рисками определяются международным стандартам ISO 27001 и получают свое развитие положения международного стандарта ISO 27005, а также британского стандарта BS 7799-33, который представляет собой практическое руководство управления рисками. Методы оценки рисков также детально описаны в методологиях, которые используются на практике:
- CRAMM,
- OCTAVE,
- RickWatch.
Эти методологии реализуются с помощью соответствующих программных продуктов, которые позволяют привести процесс оценки и обработки рисков к автоматизации.
Несмотря на мощную теоретическую и практическую базу во многих компаниях до настоящего времени нет формально организованных процессов управления рисками информационной безопасности. Это объясняется тем, что для того, чтобы управлять рисками не достаточно приобретение программного продукта, прямое применение методологии стандартов также не приведет к успеху.
В случае, если компания не собирается передать управление рисками на аутсорсинг, в ней должны быть разработаны и внедрены процессы управления рисками, при осуществлении которых необходимо создать соответствующие организационную структуру, разработать документацию, провести обучение и осуществить контроль. При разработке любой документации управления рисками должна появляться возможность повысить скоординированность действие всех лиц, заинтересованных в работе предприятия, внедрение данной документации должно повысить эффективность достижения конечных целей в управлении рисками. Также необходимо избегание излишней формализации в тех случаях, когда без неё можно обойтись.
Разработка документации по управлению рисками
Для того чтобы компания смогла внедрить эффективные измеримые процессы управления рисками, необходимо грамотно написанная документация, которая будет адекватна настоящему положению дел и потребности компании. Документацию, которая призвана управлять рисками, подразделяют на два уровня:
Нормативная документация, которая представлена обычно в виде:
- "политики управления рисками"
- "методологией оценки риска".
Данные документы устанавливают требования и правила, их необходимо пересматривать регулярно по мере накопления предприятием соответствующего опыта, а также в случае изменения ситуации с риском и эволюции бизнеса компании.
Операционная документация, находящаяся на более низком уровне, с помощью которой отображается настоящая ситуация, анализируются рынки, принимаются решения в сфере обработки рисков, планируются меры, оцениваются соответствия, измеряется эффективность. Такими документами могут быть реестр информационных рисков план по обработке рисков, декларация применимости (в виде таблиц отчетов планов опросников протоколов).
Для того, что бы разработать или внедрить систему управления рисками в компанию, неправильно будет начинать выбором программного продукта. На этом этапе еще невозможна адекватная формулировка требований и определение потребностей компании в данном инструментарии. В соответствии с международными стандартами, а также передовым опытом управления рисками не предусмотрено применение программного обеспечения, поэтому целесообразно отложить данный шаг.
Специалисты рекомендуют для начала внедрение в компанию политики управления рисками и методологии оценки рисков. Следующим шагом является первоначальная оценка рисков вручную, в соответствии с существующими методологиями. Далее можно подобрать соответствующий инструментарий, который будет соответствовать разработанным подходам.