Управление риском ИТ. Основы. Максим Торнов
Чтение книги онлайн.

Читать онлайн книгу Управление риском ИТ. Основы - Максим Торнов страница 3

Название: Управление риском ИТ. Основы

Автор: Максим Торнов

Издательство: Издательские решения

Жанр:

Серия:

isbn: 9785006449299

isbn:

СКАЧАТЬ к риску (RISK TOLERANCE), это отклонение от риск-аппетита, подобные отклонения не желательны, но известно, что они достаточно ниже допустимой величины риска.

      Для наглядности приведу примеры:

      • допустимая величина риска (RISK CAPACITY): вследствие сбоя ИТ-системы часть сервисов организации недоступна для клиентов. Организация сможет выдержать убытки, понесенные в результате данного сбоя ИТ-системы и недоступности ИТ-системы на протяжении семи дней при сумме финансовых потерь до 10 млн рублей в совокупности за одну неделю.

      • риск-аппетит (RISK APPETITE):

      допустимое количество времени простоя ИТ-системы в год – общее количество времени недоступности ИТ-системы не превышает 100 минут в год. ИТ-система доступна 99,99% времени в год, допустимая сумма денежных потерь от простоя/сбоя ИТ-системы в год – не более 0,00001% от генерируемого данной системой потока выручки, допустимое количество установленного типа сбоев/ошибок ИТ-системы в год – не более двух сбоев/ошибок в неделю при работе ИТ-системы/отчетов.

      Риск ИТ можно измерить

      Риск можно измерить как в количественном эквиваленте, так и в качественном. Для этого используют различные метрики. Приведу для примера несколько метрик, рекомендуемых организацией ISC5.

      Exposure Factor (SF) – фактор воздействия – процент потерь, которые организация может понести, в случае если актив будет подвержен реализации риска.

      Single Loss Expectancy (SLE) – единовременный ожидаемый убыток, стоимость, присущая единовременной реализации риска в отношении актива.

      Asset Value (AV) – стоимость актива.

      Annualized Rate of Occurrence (ARO) – частота реализации риска в год.

      Annualized Loss Expectancy (ALE) – ожидаемые годовые убытки от реализации риска.

      Количественная оценка

      Используя метрики, приведенные выше, можно сделать количественную оценку потенциальных потерь в случае реализации риска, присущего ИТ. Например:

      AV = $ 200 000

      EF = 45%

      ARO = 2 раза

      SLE = AV × EF

      ALE = SLE × ARO

      Таким образом:

      SLE = $ 200 000 × 45% = $ 90 000. В случае реализации риска в отношении актива ожидается потеря организацией $ 90 000.

      ALE = $ 90 000 × 2 = $ 180 000. В случае реализации риска «2 раза» организация потеряет в два раза больше.

      Ну и что это дает?

      Зная о потенциальных потерях, даже приблизительно, менеджмент организации сможет более точно распределить расходы, сфокусировать необходимые ресурсы, экспертизу и усилия и принять более осознанные управленческие решения.

      Качественная оценка

      Качественная оценка – это более простой способ оценки вероятности возникновения, реализации риска. Однако требующий больше экспертизы с привлечением экспертов из различных областей, включая представителей бизнеса, ИТ, ИБ, внешних консультантов.

      Качественная СКАЧАТЬ

<p>5</p>

ISC – Cybersecurity Certifications and Continuing Education.