Модуль Alfabet «Управление ИТ, рисками и соответствиями»
Общее представление о модуле Alfabet «Управление ИТ, рисками и соответствиями»
Предприятие должно эффективно оценивать, планировать и управлять ИТ-стратегиями, архитектурой и процессами, выявляя возможные уязвимые места, угрозы и риски для их ИТ-портфеля. Оценка угроз и соблюдение различных требований не должно быть разовым проектом, данные мероприятия необходимы на каждом уровне планирования, в том числе, они должны быть нацелены на постоянно меняющиеся ИТ-риски, а стратегия управления рисками должна своевременно корректироваться.
Модуль «Управление ИТ, рисками и соответствиями» позволяет реализовать требования предприятия с точки зрения управления ИТ, понимания и снижения рисков, а также соблюдения требований соответствия. В частности, данный модуль используется для:
- оценки приложений, технических компонентов, проектов и других ИТ-объектов в соответствии с их степенью подверженности риску;
- разработки каталогов рисков, применимых к конкретным наборам приложений, технологий и проектов, а также к информационным блокам;
- автоматизации оценки угроз и рисков, а также для управления и планирования их снижения;
- усовершенствования политики хранения данных посредством детализации масштаба хранения;
- определения централизованной структуры и соответствующих данных, с целью повышения эффективности проверок на соответствия требованиям;
- проведения аудита на предмет соблюдения централизованной структуры и правильности оцениваемых объектов, и т.д.
Управление рисками приложений
Alfabet предоставляет возможность управления рисками, которая позволяет оценивать и анализировать приложения на предмет угроз и рисков для архитектуры приложений. Управление рисками включает в себя четыре основных действия, направленных на понимание и управление угрозами и рисками для ИТ-архитектуры предприятия:
- определение потенциальной вероятности возникновения риска и указание шаблона снижения рисков;
- оценка релевантности возникающего риска;
- оценка риска и вызываемого им ущербом ущерба;
- планирование и реализация мер по снижению риска.
В том числе, управление рисками приложений позволяет понять, какие приложения могут быть допущены в ИТ-ландшафт, но необходим контроль, а для каких необходимо разработать меры по снижению ущерба.
Ключевым элементом управления рисками приложений является каталог шаблонов снижения рисков. Формирование и своевременное обновление данного каталога позволяет сократить затрачиваемые усилия на оценку риска и поддерживать стратегию смягчения последствий от выявленных угроз. Шаблоны снижения рисков предназначены для предотвращения, уменьшения или сдерживания рисков, вытекающих из потенциальных угроз.
Рисунок «Иерархия групп угроз»
Также, ключевым элементом управления рисками приложений является оценка релевантности возникающего риска. Вопросы, определяющие релевантность риска, и порог релевантности формируются ответственным пользователем предприятия или с помощью привлечения внешних консультантов. Далее настраиваются шаблоны управления рисками, с учетом сформированных вопросов и порога релевантности. Данные шаблоны определяются для группы приложений, подлежащих оценке.
Рисунок «Приложения с показателями релевантности риска при установленном пороге в 5 единиц»
Чем выше оценка релевантности риска для приложения, тем выше базовая подверженность данного приложения риску. Все ИТ-объекты с оценкой релевантности риска, равной или превышающей введенное значение (порог), выделяются и имеют наивысший приоритет для оценки риска.
Управление информационными рисками
Бизнес-данные являются важной частью любого предприятия и должны быть защищены от угроз и рисков. Возможность управления информационными рисками помогает определить и зафиксировать риски, связанные с данными, передаваемыми через информационные потоки, а также определить критичность требуемой защиты и способы управления данными.
Ключевыми элементами управления информационными рисками является каталог шаблонов снижения рисков и оценка релевантности возникающего риска.
Управление рисками проекта
Управление рисками проекта позволяет выявить и оценить риски для проекта с целью минимизации воздействия на проект и обеспечения эффективной реализации проекта, а как следствие, непрерывности бизнеса.
Ключевыми элементами управления рисками проекта является каталог шаблонов снижения рисков и оценка релевантности возникающего риска.
Управление соответствием
Соблюдение требований является критически важным элементом для предприятия, работающего с ИТ-средой. Предприятие должно определить объекты и критерии соответствия, оценить и соблюдать соответствия для различных сегментов законодательства и принятых стандартов.
Под управлением соответствиями подразумевается разработка проекта с требованиями соответствия или набором контроля, на основе которого оцениваются ИТ-объекты.
Набор контроля соответствия состоит из:
- вопросов, сформированных об объектах в архитектуре ИТ;
- объектов, на которые нацелена оценка соответствия;
- пользователей, отвечающих на вопросы об оцениваемых объектах;
- типов индикаторов, используемых в качестве метрики для ответа на вопросы оценки соответствия. Например, типы индикаторов могут обладать следующими значениями: 0 - никаких действий не предпринято, 1 - план соответствия определен, 2 - план выполнен частично, 3 - план полностью выполнен, 4 - не актуально.
Ниже представлен типичный жизненный цикл оценки соответствия:
- набор контроля соответствия со статусом «Черновик» - набор контроля соответствия находится в черновом состоянии, то есть по мере необходимости может быть отредактирован или удален;
- набор контроля соответствия со статусом «Утверждено» - набор контроля соответствия находится в утвержденном состоянии, то есть недоступно редактирование или удаление. На основе утвержденного набора контроля создается проект соответствия;
- набор контроля соответствия со статусом «Удален» - набор контроля соответствия находится в деблокированном состоянии и все созданные проекты соответствия на основе данного набора будут безвозвратно удалены;
- проект соответствия со статусом «Черновик» - проект соответствия инициирован для выбранного домена и находится в черновом состоянии, то есть по мере необходимости может быть отредактирован или удален;
- проект соответствия со статусом «Активный» - проект соответствия находится в активном состоянии, но может подвергаться редактированию. Только один проект соответствия может быть активным для выбранного домена;
- проект соответствия со статусом «Удален» - проект соответствия завершен.
Рисунок «Жизненный цикл оценки соответствия»