Управление рисками и моделями угроз информационной безопасности

Мадорская Ю.М.

Что такое риск? Если не вдаваться в детали разных подходов, то на общем уровне — это показатель неопределенности проекта.

Риск наступления события А…, возможность наступления события А…, вероятность наступления события А…

Проект — не проект, если в нем нет неопределенностей. По сути все проектирование — это поэтапное устранение неопределенностей и превращение их в проектные решения.

Например, есть риск (не нулевая вероятность), что пользователь случайно нажмет кнопку удаления на нужном файле. Проектируя систему мы превращаем этот риск во вполне определенное проектное решение — диалог подтверждения удаления.

Delete

Таким образом, при проектировании риски часто приводят к появлению разного рода требований. А для проекта это всегда означает дополнительные затраты.

risk11

Вдумайтесь, мы увеличиваем объем проекта, отражая в нем события, которые могут и не наступить.

И здесь важно,конечно, не уйти в крайности — либо отказавшись от дополнительных затрат вовсе, либо увеличив стоимость проекта в partразы, охватить все возможные события. Для рациональной обработки необходимо фиксировать выявленные риски, проводить оценку их потенциального влияния на проект и целенаправленно принимать решения по их предотвращению, смягчению или игнорированию.

Проект даже средних размеров — это всегда проект и неопределенностей в нем  хватает, их реально больше, чем может удержать в голове руководитель проекта — много чего в голове ему приходится держать в оперативной памяти. Чем важнее проект — тем больше рисков придется обрабатывать. Поэтому здорово, когда можно воспользоваться удобным инструментом для фиксации значимых неопределенностей, а также их ранжирования, классификации, определения действий.

По сути для этого необходима база данных, чтобы можно было осуществлять сортировку, поиск, поэтому ворд или excel и им подобные не очень удобны.

db21

Если же у вашей команды под рукой есть Cradle, то его легко можно настроить под вашу модель управления рисками и получить значительное дополнительное преимущество – возможность сразу проставлять связи рисков с конкретными проектными решениями, областями системы, требованиями.

cradle_risk

Зачем эти связи?

1. Так мы сможем увидеть, какова стоимость обработки всей совокупности рисков или любого выбранного подмножества.

2. Если риск изменится (мы увидим, например, что его больше нет), то мы сможем удешевить систему, убрав из нее устаревшие, ненужные артефакты.

3. Если риск наступит, мы легко увидим область его влияния на систему.

То есть грамотно управляя рисками мы можем значительно оптимизировать затратную часть проекта, а может быть даже вовремя увидеть и новые возможности для дохода, ведь неопределенность не всегда идет с минусом.

Таким образом, без дополнительных затрат на систему управления рисками, с Cradle можно получить удобный инструмент, сразу же интегрированный в проект. Ведь часто план управления рисками, так и остается жить своей жизнью, а в Cradle это уже будет слишком очевидно , а потому реальная работа с рисками будет идти гораздо живее, а самое главное — целенаправленнее. Проверено на практике.

Аналогично, с моделями угроз информационной безопасности (по сути, те же риски), разработка которых сейчас требуется во многих организациях.

ugr_inf

Добавить комментарий