Документація з управління ризиками

Документація з управління ризиками

Система з управління ризиками фундамент, на якому повинна будуватися вся система компанії. Це дуже важлива і складна система, яка зазвичай викликає найбільші труднощі в сучасних компаніях.

Існує безліч книг, методик і посібників з управління ризиками. Головні вимоги по управлінню ризиками визначаються міжнародним стандартам ISO 27001 і отримують свій розвиток положення міжнародного стандарту ISO 27005, а також британського стандарту BS 7799-33, який являє собою практичне керівництво управління ризиками. Методи оцінки ризиків також детально описані в методиках, які використовуються на практиці:

  • CRAMM,
  • OCTAVE,
  • RickWatch.

Ці методології реалізуються за допомогою відповідних програмних продуктів, які дозволяють привести процес оцінки і обробки ризиків до автоматизації.

Незважаючи на потужну теоретичну і практичну базу в багатьох компаніях до теперішнього часу немає формально організованих процесів управління ризиками інформаційної безпеки. Це пояснюється тим, що для того, щоб управляти ризиками мало придбання програмного продукту, пряме застосування методології стандартів також не приведе до успіху.

У разі, якщо компанія не збирається передати управління ризиками на аутсорсинг, в ній повинні бути розроблені і впроваджені процеси управління ризиками, при здійсненні яких необхідно створити відповідні організаційну структуру, розробити документацію, провести навчання і здійснити контроль. При розробці будь-якої документації управління ризиками повинна з’являтися можливість підвищити скоординованість дію всіх осіб, зацікавлених в роботі підприємства, впровадження даної документації повинно підвищити ефективність досягнення кінцевих цілей в управлінні ризиками. Також необхідно уникнення зайвої формалізації в тих випадках, коли без неї можна обійтися.

Розробка документації по управлінню ризиками

Для того щоб компанія змогла впровадити ефективні вимірні процеси управління ризиками, необхідно грамотно написана документація, яка буде адекватна справжньому стану справ і потреби компанії. Документацію, яка покликана управляти ризиками, підрозділяють на два рівня:

  • Нормативна документація, яка представлена ​​зазвичай у вигляді:
  • “Політики управління ризиками”
  • “Методологією оцінки ризику”.

Дані документи встановлюють вимоги і правила, їх необхідно переглядати регулярно в міру накопичення підприємством відповідного досвіду, а також в разі зміни ситуації з ризиком і еволюції бізнесу компанії.

Операційна документація, що знаходиться на більш низькому рівні, за допомогою якої відображається справжня ситуація, аналізуються ринки, приймаються рішення в сфері обробки ризиків, плануються заходи, оцінюються відповідності, вимірюється ефективність. Такими документами можуть бути реєстр інформаційних ризиків план з обробки ризиків, декларація застосовності (у вигляді таблиць звітів планів опитувальників протоколів).

Для того, що б розробити або впровадити систему управління ризиками в компанію, неправильно буде починати вибором програмного продукту. На цьому етапі ще неможлива адекватне формулювання вимог і визначення потреб компанії в даному інструментарії. Відповідно до міжнародних стандартів, а також передовим досвідом управління ризиками не передбачено застосування програмного забезпечення, тому доцільно відкласти цей крок.

Фахівці рекомендують для початку впровадження в компанію політики управління ризиками та методології оцінки ризиків. Наступним кроком є ​​первісна оцінка ризиків вручну, відповідно до існуючих методологіями. Далі можна підібрати відповідний інструментарій, який буде відповідати розробленим підходам.

Посилання на основну публікацію