|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Управление рисками ИС (ИТ)Риск – это вероятность потерь вследствие неопределенности (российская практика) Риск – это нечто, что является следствием неопределенности и может приводить к потерям и дополнительным возможностям (западная практика) Риск – это вероятность того, что какие-то цели при реализации проекта автоматизации деятельности предприятия не будут достигнуты. Однако любой рисковой ситуации сопутствуют три условия: ü Наличие неопределенности ü Необходимость выбора альтернативы ü Возможность оценить вероятность осуществления выбираемых альтернатив Раскрыть природу возникновения рисков можно через описание взаимосвязи следующих основных элементов, которые составляют его сущность: ü Возможность отклонения от предполагаемой цели, ради которой осуществляется выбранная альтернатива ü Вероятность достижения желаемого результата ü Отсутствие уверенности в достижении поставленной цели ü Возможность потерь, связанных с осуществлением выбранной в условиях неопределенности альтернативой Управление – это создание изменений для достижения цели. Цели управления: ü Уменьшение неопределенности ü Управление потерями ü Добиваться новых возможностей Управление потерями подразумевает: · Предотвратить (preventive procedures) · Корректировать (corrective procedures) · Компенсировать (compensative procedures) · Анализ (detective procedures) Определение управления: Потери | Неопределенность | Новые возможности
Процесс управления рисками проекта включает выполнение следующих процедур: · Планирование управления рисками · Идентификация рисков · Качественная оценка рисков · Планирование реагирования на риски · Мониторинг и контроль рисков Планирование управления рисками – это выбор подходов и планирование деятельности по управлению рисками проекта Идентификация рисков – это определение рисков, способных повлиять на проект, и документирование их характеристик. Планирование реагирования на риски – это определение процедур и методов по ослаблению отрицательных последствий рисковых событий и использованию возможных преимуществ Мониторинг и контроль рисков – это мониторинг рисков, определение остающихся рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков Качественная оценка рисков – это качественный анализ рисков и условий их возникновения с целью определения их влияния на успех проекта Количественная оценка рисков – это количественный анализ вероятности возникновения и влияния последствий рисков на проект Классификация рисков: 1. Организационные 2. Технические 3. Технологические 4. Финансовые Примеры: 1. Недоступность данных (2) 2. Ошибки в программе (2) 3. Некорректность данных (3) 4. Выход из строя оборудования (2) 5. Некорректная эксплуатация оборудования (3) 6. Несанкционированный доступ (2) 7. Форс мажор (1) 8. Ошибка взаимодействия (3) 9. Риск контрагентов (1,4) 10. Риск недофинансирования (4) 11. Риск не востребованности (1,3,4) 12. Технологический риск – не нужна технология (3) 13. Риск внедрения (1,2,3,4) 14. Зависимость от ключевого персонала (1) 15. Шпионаж (1,2,3,4) 16. Риск платформы – аппаратной, программной, СУБД (2) 17. Риск стратегических и тактических решений (1) 18. Риск квалификации (1) Группы рисков по Price WaterHouse Coopers: 1. Операционные 2. Технические 3. Финансовые 4. Стратегические Риски и их регулирование Организационные риски (зависимость от ключевого персонала). Причины: 1. Саботаж 2. Недоступность человека (невозможность эксплуатации программы) Регулирование: 1. Разделение обязанностей (принципиально) 2. Социальный фактор 3. Обучение 4. Резерв на выдвижение 5. Документирование 6. Четкая процедура увольнения Технический риск (несанкционированные действия): 1. Вирусы (нужно тело) 2. Черви (самостоятельные) 3. Трояны 4. Логические бомбы 5. Дыры (Black Doors) 6. Округление вниз (Rounding down - 123,44| 7) 7. Отрезание (Salami Technique - 123,| 447) 8. Изменение данных в момент или сразу после ввода 9. Перехват информации по телекоммуникациям 10. Воровство информации 11. Асинхронные атаки 12. Использование подставного лица (Piggy Backing) К источникам технических рисков относятся: · Разногласия в терминологии · Приостановка деятельности третьего лица · Невыполнение обязательств · Риск зависимости · Неформальные отношения с персоналом Регулирование: 1. Антивирусы: сканер, монитор, чекер 2. Отключение приводов 3. Разделение локальной и внешней сети Решение должно быть комплексным. Технологический риск (приостановка деятельности). Причины: 1. Чрезвычайные ситуации 2. Сбой оборудования 3. Сбой системного ПО Регулирование: 1. Планирование действий в ЧС 2. Не покупать ненадежное оборудование, а покупать бренды 3. Резервное оборудование для критичных единиц 4. Правильная эксплуатация 5. Сертификация квалификации персонала 6. Соглашение на обслуживание Финансовый риск (риск контрагентов): 1. Разногласия в терминологии 2. Приостановка деятельности третьего лица 3. Невыполнение обязательств 4. Риск зависимости 5. Неформальные отношения с персоналом Регулирование: 1. Тщательные переговоры (документированные) 2. Письменное согласование ключевых позиций 3. Диверсификация поставщиков 4. Договор – сопровождение 5. Стороннее хранение исходного кода 6. Использование крупных поставщиков 7. Тендер (лучшее через стороннюю организацию) Уменьшение неопределенности: 1. Анализ информации 2. Вовлечение людей из бизнес сферы 3. Сравнение 4. www.computereconomics.com Составляющие операционного риска в компьютерных и телекоммуникационных системах: 1. Риск безопасности (риск мошенничества) – связан с риском противоправного использования информации, с которой оперирует система, в целях, противоречащих интересам предприятия 2. Риск совершения ошибки – риск связан с ошибками, которые возникают при вводе данных в систему, модификации программного обеспечения и во время технического обслуживания 3. Работа программного и аппаратного компонентов компьютерной системы – риск уязвимости компьютерных систем, вследствие непредвиденных происшествий 4. Риск неэффективного планирования 5. Риск неадекватного исполнения управляющим звеном своих обязанностей – сводится к неготовности предприятия к чрезвычайной ситуации Подсистема внутреннего контроля за ИС может быть условно разделена на две составляющие: 1. Подсистему общего контроля, связанную с процедурами, сопутствующими работе компьютерных систем (контроль за разработкой систем, контроль безопасности, контроль за тестированием систем и т.д.) 2. Подсистему частного контроля, связанную с функционированием конкретной компьютерной системы (системы бухгалтерского учета, системы электронных платежей и т.д.) Общий контроль связан с условиями, в рамках которых компьютерные системы разрабатываются, устанавливаются, отлаживаются и функционируют. Задачей такого контроля является разработка и обеспечение выполнения соответствующих требований при создании и применении конкретных систем, а также обеспечение совместимости данных, программных продуктов и операционных процедур в пределах организации. Частный контроль связан с данными, операциями и сделками, учитываемыми в конкретной системе и, следовательно, является специфичным для каждой системы. Целью такого контроля является гарантирование полного и корректного ввода, обработки и выдачи информации. Общий контроль в свою очередь может быть подразделен на системный и административный. Системный контроль включает в себя следующие процедуры: 1. Проверка реальности внедрения новой системы или модернизации существующей 2. Наличие стандартных процедур утверждения с перечислением должностных лиц, в них участвующих 3. Участие конечных пользователей в процессе разработки и внедрения системы 4. Наличие стандартизированных документации и спецификаций аппаратных и программных средств, позволяющих уменьшить зависимость функционирования системы от обслуживающего его персонала 5. Предварительное тестирование систем с привлечением конечных пользователей 6. Наличие задокументированных процедур приемки системы 7. Контроль за конвертацией данных из старой системы в новую После принятия системы в эксплуатацию, дальнейший контроль за её функционированием осуществляется с использованием процедур административного контроля, который включает в себя: 1. Адекватное разделение ответственности персонала и формальное закрепление последовательности прохождения распоряжений по системе, построение иерархической системы работников 2. Наличие инструкций для операторов и руководства пользователей 3. Стандартизованные операционные процедуры: профессиональное соответствие персонала, ротация должностных обязанностей, наличие отработанного плана действий в случае возникновения чрезвычайных ситуаций, аудит всех действий пользователей в системе 4. Контроль за правильным и полным приемом и безопасной передачей данных 5. Регламентация операций, проверка адекватности системной документации, контроль за распределением итоговых данных, аудит проводимых в системе операций и анализ произошедших сбоев 6. Контроль за сохранностью информации, как на физическом, так и на логическом уровне 7. Разработка мер по обеспечению пожарной безопасности и энергозащите оборудования
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.009 сек.) |