ИТ-архитектура. Практическое руководство от А до Я. Первое издание. Вадим Алджанов
Читать онлайн книгу.на снижение вероятности возникновения неблагоприятного результата и минимизируют влияние возможных потерь на организацию убытков, вызванных случайными событиями.
Данный раздел содержит основные принципы управления рисками при проектировании архитектуры, которые должны быть приняты во внимание. В процессе разработки и внедрения различных сервисов ИТ архитектуры необходимо проводить непрерывный процесс управления рисками. Для управления ИТ рисками можно воспользоваться как общими методиками так м специфичными для ИТ. Данная глава учитывает рекомендации стандарта «Управления и анализа рисков ISO 73: 2009», а также методика CRAMM v5 (CCTA Risk Analysis & Management Method) на основе требований организации CCTA (Central Computer and Telecommunications Agency) которая соответствует стандарту BS7799/ ISO17799.
Классификация рисков
Общую классификацию рисков можно представить, как:
Внутренние риски:
•Проектные,
•Технические,
•Технологические,
•Организационные,
•Финансовые и т п
Внешние риски:
•Природные,
•Политические,
•Социальные,
•Экономические и т п
По типу:
•Предсказуемые
•Не предсказуемые
По характеру:
•Преднамеренные
•Не преднамеренные
По виду:
•Прямые
•Косвенные
По результату:
•Нарушение функционирования,
•Нарушение целостности,
•Нарушение достоверности
•Нарушение конфиденциальности
По механизму воздействия:
•Аварии
•Ошибка персонала
Критерии оценки
К основным критериям оценки ценности ресурсов можно отнести следующие:
•Ущерб для репутации организации
•Безопасность персонала
•Разглашение персональных данных
•Разглашение конфиденциальных данных
•Разглашение коммерческой информации и сведений
•Санкции со стороны надзорных и государственных органов
•Финансовые потери
•Нарушения нормального функционирования организации
Основные шаги и стадии
В качестве основных шагов можно принять следующие действия:
Организация процесса управления рисками (General Risk Management)
•Разработка процесса, политик и процедур по Управлению Рисками
•Классификация ресурсов, рисков, уязвимостей, угроз
•Классификация реакции на риски и методов оценки
•Формирование комитета Управления Рисками
•Формирование экспертной группы, в состав которой входят специалисты ИТ, а также специалисты бизнеса.
Идентификация и оценка ресурсов (Identification and Valuation of Assets)
•Экспертная группа идентифицирует и оценивает ценность ресурсов
•Экспертная