ИТ-риски в целом еще та "неведома зверушка", порождение умноженной на проблемы управления многосотенным коллективом ИТ веры в COSO, но ее отдельные примеры еще веселее.
Клуб 4СIO выпустил вторую версию своего учебника, в котором из 22-ух глав и 702 страниц нашлось место и ИТ-рискам (1 глава, 17 страниц, т.е. совсем маленькое место).
ИТ риски были определены используя сразу COSO, ГОСТ 51897 (ISO Guide 73) и ITIL, изящно определяя ИТ-директора как "наиболее подходящую кандидатуру для управления всеми рисками некоторых, зависящих от ИТ предприятий", что в целомстрашно непонятно, как это будет выглядеть при внимании к проблеме порядка 2% рабочего времени (именно столько занимает глава о рисках в книге).
Правда, потом все ИТ-риски (т.е. величина по определению шире ИБ-рисков) были загнаны по CRAMM&OCTAVE, что интересно, т.к. этим фактически признали отсутствие смысла в управлении другими ИТ-рисками, кроме ИБ-рисков. Правда, о практических вопросах управления рисками особо ничего сказано не было - риск аппетит, предельная способность поглощать риск, матрица рисков, взаимозависимость активов, степень управляемости риска благополучноканули в Лету почему-то не были упомянуты даже вскользь.
Однако, состав авторов статьи - аудитор из IT Expert да журналист, т.е. ни профессионал в ИБ, ни начальник службы ИТ в принципе наводит на мысль, что глава была чисто для проформы, и ни один здравомыслящий начальник ИТ не возьмется на основе нее строить управление рисками ИТ. А уж специалистам по информационной безопасности, намного более зрелой дисциплины чем ИТ-риски, чтение по большей части только развеет скуку.
P.S. Другое дело, что подобного качества главу по хорошему не стоило бы печатать в учебнике..
Клуб 4СIO выпустил вторую версию своего учебника, в котором из 22-ух глав и 702 страниц нашлось место и ИТ-рискам (1 глава, 17 страниц, т.е. совсем маленькое место).
ИТ риски были определены используя сразу COSO, ГОСТ 51897 (ISO Guide 73) и ITIL, изящно определяя ИТ-директора как "наиболее подходящую кандидатуру для управления всеми рисками некоторых, зависящих от ИТ предприятий", что в целом
Правда, потом все ИТ-риски (т.е. величина по определению шире ИБ-рисков) были загнаны по CRAMM&OCTAVE, что интересно, т.к. этим фактически признали отсутствие смысла в управлении другими ИТ-рисками, кроме ИБ-рисков. Правда, о практических вопросах управления рисками особо ничего сказано не было - риск аппетит, предельная способность поглощать риск, матрица рисков, взаимозависимость активов, степень управляемости риска благополучно
Однако, состав авторов статьи - аудитор из IT Expert да журналист, т.е. ни профессионал в ИБ, ни начальник службы ИТ в принципе наводит на мысль, что глава была чисто для проформы, и ни один здравомыслящий начальник ИТ не возьмется на основе нее строить управление рисками ИТ. А уж специалистам по информационной безопасности, намного более зрелой дисциплины чем ИТ-риски, чтение по большей части только развеет скуку.
P.S. Другое дело, что подобного качества главу по хорошему не стоило бы печатать в учебнике..
Комментариев нет:
Отправить комментарий