COBIT 5 for Risk. Обзор

Риски ИБ COBIT
COBIT 5 for Risk. Обзор
Я уже писал , что в сентябре 2013 вышел "COBIT 5 for Risk", а сейчас нашел время его посмотреть внимательнее. Документ не маленький, 244 страницы высокоинформативного текста, таблиц и схем.
Сразу скажу, что документ мне в итоге понравился. Вот несколько причин:
  • Рассматриваются ИТ-риски в связке с рисками бизнеса, процесс управления рисками взаимодействует с другими процессами в организации.
  • Управление рисками рассматривается и как процесс (совокупность процессов), и как функция (набор элементов факторов влияния (enablers)). При этом детально рассматриваются все 7 факторов влияния.
  • Приведены 111 типовых сценариев рисков.
  • Документ вобрал в себя лучшие идеи и модели других "лучших практик" по управлению рисками (ISO 27005, ISO 31000, COSO, Risk IT). На них периодически даются ссылки, приводятся подробные таблицы соответствия. Это довольно удобно, можно использовать COBIT 5 for Risk в качестве единой интегрированной методологии ( Принцип 3 из COBIT5 Framework ).
  • Очень много полезных примеров, моделей и таблиц приведены в описании фактора влияния "6.Информация". Даются рекомендации по составлению "Risk Profile", "Risk Communication Plan", "Risk Report", "Risk Awareness Programme", "Risk Map", "Risk Universe", "Appetite and Tolerance", "Key Risk Indicators", "Emerging Risk Issues and Factors", "Risk Taxonomy", "Business Impact Analysis", "Risk Event", "Risk and Control Activity Matrix", "Risk Assessment". 
  • Как всегда, много схем и таблиц. Удобный глоссарий.
Расскажу чуть подробнее.


COBIT 5 for Risk рассматривает подход к управлению рисками с двух точек зрения: risk functionи risk management. В первом случае говорится о том, что нужно иметь в организации, чтобы построить и поддерживать систему управления рисками. Во втором мы рассматриваем ключевые процессы руководства (governance) и управления для оптимизации рисков и регулярные процедуры для идентификации, анализа, реагирования и отчетности по рискам.

Если сказать проще, то в части risk function рассматриваются все 7 факторов влияния (enablers) применительно к управлению рисками. Напомню их: 1.Принципы, политики и подходы; 2.Процессы; 3.Организационная структура; 4.Культура, этика и поведение; 5.Информация; 6.Услуги, инфраструктура и приложения; 7.Персонал, навыки и компетенции.

Ниже несколько полезных схем по 1 и 2 фактору влияния. По остальным информация приведена в больших таблицах, не хочу перегружать ими пост..


Ну, а в части risk management рассматриваются 2 ключевых процесса (EDM03 Ensure Risk Optimisation, APO12 Manage Risk. Они детально описаны в Приложении С), модель сценариев рисков и типовые сценарии, даются рекомендации по обработке рисков, в частности, по уменьшению риска (в Приложении D "Using cobit 5 enablers to mitigate it risk scenarios" приведены довольно подробные таблицы по снижению рисков для каждой из 20 категорий сценариев).



В документе рассматриваются 111 типовых сценариев риска, сгруппированных по следующим категориям
  • 01-Portfolio establishment and maintenance
  • 02-Programme/project life cycle management
  • 03-IT investment decision making
  • 04-IT expertise and skills
  • 05-Staff operations
  • 06-Information
  • 07-Architecture
  • 08-Infrastructure
  • 09-Software
  • 10-Ineffective business ownership of IT
  • 11-Selection/performance of third-party suppliers
  • 12-Regulatory compliance
  • 13-Geopolitical
  • 14-Infrastructure theft
  • 15-Malware
  • 16-Logical attacks
  • 17-Industrial action
  • 18-Environmental
  • 19-Acts of nature
  • 20-Innovation

Для примера привожу сценарии группы "information", см. ниже. Эта группа выбрана из-за наличия сценариев, в результате которых происходит утечка информации (сценарии 0603, 0604, 0605, 0606, 0608, 0609, 0610). 



Обратите внимание, что для каждого сценария определен тип риска (P (primary) - высокая степень соответствия; S (secondary) - низкая степень соответствия):
  • IT benefit/value enablement risk  (Strategic)- риски, связанные с упущенными возможностями использования ИТ для повышения эффективности и результативности бизнес-процессов или в качестве возможности для новых бизнес-инициатив. 
  • IT programme and project delivery risk (Project Delivery) - риски, связанные с вкладом ИТ для разработки новых или развитием существующих бизнес решений.
  • IT operations and service delivery risk (Operational) - риски, связанные с операционной стабильностью, доступностью, защитой и возможностью восстановления ИТ-сервисов, проблемы с которыми могут привести к убыткам.

Вот еще одна полезная схема:

На этом я пожалуй закончу.

Итак, документ может быть полезен для поиска идей и моделей если мы:
  • строим/улучшаем процесс управления рисками в организации;
  • выбираем актуальные угрозы и сценарии их реализации;
  • выбираем состав, формат и содержание отчетных документов по управлению рисков;
  • выбираем меры по снижению рисков (в документе есть конкретные связки сценариев угроз и мер);
  • хотим понять взаимосвязь различных стандартов и "лучших практик" по управлению рисками, лучше разобраться с методологией, представленной в ISO 31000 и ISO 27005;
  • хотим лучше усвоить целостный подход COBIT5 (7 факторов влияния);
  • хотим связать риски ИТ/ИБ и риски бизнеса.


P.S.  Еще можно посмотреть:

Риски ИБ COBIT
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться
article-title

Andrey Prozorov

Информационная безопасность в России и мире