Комментарии 11
Есть какая онтология или таксономия по риску ИТ?
Риск ИБ, операционный, операционной надёжности и т.п.
Событие- зарегистрированное событие, инцидент - инцидент ИБ или ИТ - как отличить? Все свойства и переходы событие / инцидент и далее.
Добрый день. Если я Вас правильно понял, то Ваш вопрос – Существует ли некий стандарт, определяющий сущности, градацию и связь между всеми категориями сущностей управления риском ИТ?
Если кратко, то ответ нет, я с таким не сталкивался. Каждая организация сама определяет таксономию и языковой базис.
Если более развернуто, то в различных стандартах и фреймворках как-правило приводится общая, основная терминология. На практике, организации часто реализуют свой языковой базис в процессе управления рисками, в соответствии со своими целями и знаниями, разделяя сущности, в зависимости от потребностей и пожелания владельцев процессов и других стейкхолдеров. По опыту - финансовые институты используют более гранулированный подход к работе с рисками, если сравнивать с организациями из других сфер экономики.
Для кого-то достаточно группировки всех рисков присущих операционной деятельности организации в группу «Операционных рисков», включающую и «риски ИТ», и «риски ИБ». Какие-то организации, для удобства управления и большей гранулярности, риски ИТ и ИБ выделяют в отдельные группы равнозначные группе «Операционных рисков».
Также, таксономия, вкладываемый смысл в сущности, может зависеть от направления деятельности организации, если основной продукт организации – это разработка ПО, то терминология, например, из ITIL, Agile, COBIT, переходит и в терминологию, используемую в процессе управления рисками.
Каждая организация сама определяет таксономию и языковой базис.
Это же очень плохо, т.к. в итоге одно и тоже называют по-разному, а разные вещи одним термином.
Но это пол беды. Есть ли хоть какая то таксономия, оформленная примерно как приложение а к ИСО 9000 (связь терминов)?
И да и нет. Зависит от того с какой стороны смотреть. Базис дан. Дан в различных источниках. Т.е. отправная точка для последующего развития.
Можно согласиться, с тем, что без стандартизации, растет заивисимость организации от компетенций сотрудников, что порождает различные отклонения и потенциальное снижение эффективности.
Однако, наравне с этим, управление рисками эволюционирует, во много благодаря изобретениям экспертов в этой области, кто так или иначе отклонился от предлагаемого, в сторону улучшения, упрощения, оптимизации и подстройки инструментов под свои нужды, под нужды бизнеса.
Я ориентируюсь на разные материалы, например FRM, CRISC.
Я ориентируюсь на разные материалы
Что из западного наиболее близко и подробно описывает (напоминает) серию ГОСТ: Р 57580.1/2/3/4:
в первую очередь "операционную надежность" = operational resilience.
Если о банковской сфере, то в какой-то мере свод различных рекомендаций Базельского Комитета.
Но как я и говорил ранее, если есть возможность, организации и непосредственно риск-специалисты используют разные истоничники (как отчественные рекомендации и требования от ФСТЭК и ГОСТ, так и зарубежные практики), выбирая наиболее подходящие методы и инструменты для их конкретной среды и целей бизнеса.
Чтобы не ходить далеко, давайте прочитаем пункт 1.4 из 716П:
1.4. Кредитная организация (головная кредитная организация банковской группы) для целей унификации управления операционным риском выделяет следующие виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском:
- риск реализации угроз безопасности информации, … (далее - риск информационной безопасности);
- риск отказов и (или) нарушения функционирования применяемых кредитной организацией информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям кредитной организации (далее - риск информационных систем);
- правовой риск и еще 7 рисков
и (барабанная дробь) – одиннадцатый вид риска:
- риск нарушения способности кредитной организации (головной кредитной организации банковской группы) поддерживать операционную устойчивость кредитной организации (головной кредитной организации банковской группы), включающую обеспечение непрерывности осуществления критически важных процессов и критически важных операций, определенных кредитной организацией в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения (далее - операционная устойчивость),
в результате воздействия источников операционного риска, указанных в пункте 3.3 настоящего Положения, а также изменений процессов кредитной организации (головной кредитной организации банковской группы) или действий третьих лиц, включая нарушения операционной надежности, требования к которой установлены Банком России в соответствии со статьей 57.5 Федерального закона № 86-ФЗ (Собрание законодательства Российской Федерации, 2002, № 28, ст.2790; 2021, № 1, ст.53) (далее соответственно - операционная надежность, риск нарушения непрерывности деятельности).
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года № 6103-У).
В абзаце три «далее»:
1) «далее - операционная устойчивость» = т.е. то, что выше – это операционная устойчивость КО,
включающая обеспечение непрерывности осуществления критически важных процессов и критически важных операций, определенных КО в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения.
Кстати, в названии ГОСТ Р 57580.3/4-2022 содержится «operational resilience», что больше подходит к «операционная устойчивость».
2) «далее соответственно - операционная надежность, риск нарушения непрерывности деятельности».
«операционная надежность» =
риск нарушения способности КО поддерживать операционную устойчивость, …
в результате воздействия источников операционного риска, указанных в пункте 3.3 настоящего Положения, а также изменений процессов кредитной организации (головной кредитной организации банковской группы) или действий третьих лиц,
включая нарушения операционной надежности, …
3) второе из «соответственно» - риск нарушения непрерывности деятельности» = ?, т.е. где текст этого определения (откуда начало и где конец). Слово «соответственно» - обычно говорит, что есть последовательность терминов.
Какие будут варианты разгадки пункта, определяющего одиннадцатый вид операционного риска, включая три вводимых термина (через «далее» + «соответственно»)? Как вычленить из текста именно этого положения (обязательного 716-П) вводимые в нем ключевые определения?
Или вводится всего два термина, а «операционная надежность» = «риск нарушения непрерывности деятельности» (т.е. слово «соответственно» - лишнее)?
Поэтому я и спрашиваю (желательно ответ в виде конкретных ссылок):
Что из западного наиболее близко и подробно …
Может происходить заимствование и адаптация существующей терминологии из различных стандартов, фреймворков и практик. Цель - обеспечить достижение целей организации, через один из подвидов процессов управления.
ITIL и COBIT?
Вышла книга — Управление риском ИТ. Основы