В. Андрианов - Обеспечение информационной безопасности бизнеса
— Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс менеджмента риска предоставляет «разумную» гарантию (если более точно, то определенное основание для уверенности) того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и эти цели соответствуют задачам организации и ее готовность идти на риск.
— Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски (потери) или возможности (благоприятное стечение обстоятельств, «улыбнулась удача» и т. п.). Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.
— Оценка рисков. Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего (характерного) и остаточного риска.
— Реагирование на риск. Руководство выбирает метод реагирования на риск — уход от риска, принятие, снижение или перенос (перераспределение) риска, — разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и готовностью организации рисковать.
— Средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.
— Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали.
— Мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется и совершенствуется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.
Система внутреннего контроля организации позиционируется как составная часть процесса менеджмента риска организации. Менеджмент риска на уровне организации рассматривается как процесс более широкий, чем внутренний контроль. Он включает и развивает систему внутреннего контроля, преобразуя ее в более эффективную форму, акцентированную на риск. В свою очередь менеджмент риска рассматривается как часть общекорпоративного менеджмента.
Современные международные стандарты внутреннего аудита предполагают возможность аудита и оценки как систем внутреннего контроля организации, так и их систем менеджмента риска. Например, стандарт Института внутренних аудиторов (The Institute of Internal Auditors, IIA) в срезе деятельности IIA 2110 определяет целью проводимых подразделениями внутреннего аудита мероприятий осуществление мониторинга и оценки эффективности действующей в организации системы менеджмента риска. В частности, подразделениям внутреннего аудита вменяется в обязанности оценки степени риска, связанного с действиями руководства организации, ее операционной деятельностью и функционированием ее информационных систем с точки зрения:
— эффективности и результативности операций;
— надежности и достоверности финансовой и оперативной информации;
— сохранности активов;
— соблюдения законов, регламентов и контрактов.
Применительно к информационной сфере организации модель Комитета COSO развивается рядом опять же «стандартов де-факто», таких как COBIT и ITIL. Базовые решения методологии ITIL закреплены отдельными международными стандартами менеджмента услуг информационных технологий в организации из соответствующего семейства стандартов менеджмента ISO/IEC 20000 [21].
Каждая из спецификаций стандартов COBIT и ITIL включает серию объемных документов, подробно останавливаться на которых в формате данного издания не представляется необходимым. Стандарт COBIT претерпел уже 4-ю редакцию (в 2007 г. опубликована редакция 4.1), а спецификация ITIL — 3-ю.
В целом оба из отмеченных стандартизированных подходов (COBIT и ITIL) преследуют следующие общие цели использования информационных технологий в организациях:
— соответствие требованиям, предъявляемым высшим руководством организации;
— обеспечение прозрачности влияния на бизнес и рисков, связанных с ИТ;
— создание механизмов, гарантирующих достижение поставленных целей;
— повышение эффективности реакций на требования бизнеса и изменения в стратегии организации;
— обеспечение эффективной трансляции бизнес-требований в соответствующие возможности решений в сфере информационных технологий;
— интеграция приложений и информационных технологий в бизнес-процессы организации;
— обеспечение эффективных взаимоотношений с другими организациями;
— обеспечение прозрачности ИТ-расходов, потенциала, стратегии, политики и качества услуг;
— обеспечение учета и эффективного использования всех ИТ-активов;
— увеличение эффективности инвестиций в ИТ и вклада информационных технологий в общую эффективность бизнеса;
— оптимизация ИТ-инфраструктуры и ресурсов;
— обеспечение достоверности выполняемых автоматизированных транзакций;
— обеспечение адекватного противодействия ИТ неблагоприятным внешним и внутренним факторам;
— обеспечение требуемой доступности ИТ-услуг;
— поддержка целостности информации и инфраструктуры;
— обеспечение соответствия ИТ-деятельности законам и регулирующим нормам;
— обеспечение стабильного качества услуг, поддержка процесса непрерывного совершенствования.
Все перечисленные позиции органично развивают положения модели Комитета COSO, предлагая риск-ориентированный прагматичный подход к использованию организациями информационных технологий в контексте пользы и выгоды организации от их применения.
Оба стандарта базируются на модели непрерывного совершенствования (в спецификации ITIL явно указано на соответствие модели ИСО 9000; стандарт COBIT подобных формулировок не содержит, но фактически им соответствует).
Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.
