Сергей Авдошин - Информатизация бизнеса. Управление рисками

Подходы – это наиболее принципиальные компоненты методологии, которые определяют выбор и использование остальных ее компонентов. Например, подходы к выбору модели жизненного цикла программного обеспечения (спиральная модель, водопада и прочие). Или подходы к выбору методов и средств идентификации, оценки рисков.

Критерии (от греч. kriterion – средство для суждения) в методологии управления – это правила оценки, показатели, позволяющие определить, классифицировать, оптимизировать, оценить те или иные аспекты управленческой деятельности с учетом определенных условий и ограничений. Критерии характеризуют прежде всего то или иное качество управления. Критерии обычно тесно взаимосвязаны с подходами. Например, можно говорить об управлении по целям, результатам и т. п., причем достижение целей, результатов выступает критерием качества управления.

Методы и средства управления – это инструменты, предполагающие использование конкретных способов достижения какой-либо цели, решения задачи, совокупности приемов или операций теоретического или практического характера. Понятие «метод» происходит от греческого слова methodos и буквально означает «путь исследования». Методы управления устанавливают ответственность, санкции за невыполнение конкретных действий, неэффективное выполнение функций и обязанностей. Методы и средства управления выбираются и используются в зависимости от приоритетов, масштаба проекта, его целей, окружающей социально-экономической среды, качества персонала и реального наличия тех или иных средств (инструментов) управления.

Инструменты управления подразумевают набор средств, с помощью которых выполняется та или иная функция, действий, приводящих к требуемому результату. К инструментам управления рисками можно отнести построение иерархической структуры рисков, использование показателей эффективности (KPI), матрицу вероятности и последствий, мозговой штурм, метод Делфи, SWOT-анализ, реестр рисков и многие другие. Некоторые методологии предлагают использование специализированного программного обеспечения в качестве инструмента эффективного управления.

Методология подсказывает (в том числе на базе применяемых подходов, критериев и т. п.), какие именно подходы, инструменты, методы и средства, шаблоны целесообразно задействовать.

Организации используют различные стандарты и методологии управления ИТ в зависимости от целей, задач и масштабов ИТ-проекта, как правило, без использования правил, утверждающих, в каком конкретном случае следует применять ту или иную методологию управления ИТ-рисками.

В российских компаниях ситуация осложняется ограничениями отечественных программных продуктов, предназначенных для оценки и управления ИТ-рисками. Большинство из них базируются не на методологиях управления ИТ-рисками, а на стандартах информационной безопасности, например BS7799 или ISO17799, а потому позволяют определить не уровень ИТ-рисков, а степень соответствия тому или иному стандарту в области информационной безопасности.

Надо отметить, что методология управления ИТ-рисками, как правило, является частью общей методологии управления. При этом существует общий подход к управлению рисками ИТ-проектов, однако универсальной методики, получившей широкое признание, до сих пор не сформировано.

Среди всего многообразия стандартов принято выделять следующие основные типы стандартов.

Корпоративныестандарты разрабатываются крупными фирмами (корпорациями) с целью повышения качества своей продукции. Такие стандарты разрабатываются на основе собственного опыта и с учетом требований мировых стандартов. Корпоративные стандарты не сертифицируются, но являются обязательными для применения внутри корпорации. В условиях рыночной конкуренции могут иметь закрытый характер.

Международныестандарты разрабатываются, как правило, специальными международными организациями на основе мирового опыта и лучших корпоративных стандартов. Имеют сугубо рекомендательный характер. Право сертификации получают организации (государственные и частные), прошедшие лицензирование в международных организациях.

Основными разработчиками международных стандартов являются организации ISO (International Organization for Standardization) – Международная организация по стандартизации, IEC – Международная электротехническая комиссия и PMI (Project Management Institute) – Международный институт проектного менеджмента (управления проектами).

Отраслевыестандарты действуют в пределах организаций некоторой отрасли. Стандарты разрабатываются с учетом требований мирового опыта и специфики отрасли.

К наиболее известным отраслевым стандартам для ИТ-индустрии можно отнести стандарты IEEE – Института инженеров по электронике и SEI (Software Engineering Institute) – Института программной инженерии.

Государственныестандарты (ГОСТы) принимаются государственными органами, имеют силу закона. Разрабатываются с учетом мирового опыта или на основе отраслевых стандартов. Могут иметь как рекомендательный, так и обязательный характер (стандарты безопасности). Для сертификации создаются государственные или лицензированные органы сертификации.

Для построения обобщенной классификации выделим следующие группы методологий управления и внедрения ИТ:

1) стандарты оценки и управления информационной безопасностью: ISO/IEC 27000/17799, BS 7799;

2) методологии ИТ-аудита : COSO, CobiT, SAC, SAS 55/78;

3) универсальные методологии: ГОСТ 34, PMI PMBOK, IPMA ICB, P2M, PRINCE2;

4 ) методологии внедрения ПО и управления в сфере ИТ : CobiT, SWEEBOK, MSF, RUP, CMM/CMMI (SEI), ORACLE AIM, ITIL, CRAMM, CORAS, OCTAVE.

Рассмотрим наиболее распространенные стандарты и методологии внутри выделенных категорий.

1. Стандарты оценки и управления информационной безопасностью.Семейство международных стандартов по информационной безопасности в области информационных технологий ISO/IEC 27000/17799, основанное на Британском стандарте BS 7799, включает в себя требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. В стандарте описаны жесткие требования к разработке, внедрению и совершенствованию Системы управления информационной безопасностью (СУИБ) и рекомендации к внедрению мер контроля и управления рисками, основанные на «лучших практиках».

Требования стандарта, обязательные для внедрения, не накладывают каких-либо технических требований на ИТ-средства или средства защиты информации – стандарт не ставит каких-либо ограничений на выбор программно-аппаратных средств и оставляет организации полную свободу выбора технических решений по защите информации.