среда, 6 ноября 2013 г.

Новая редакция учебника для начальников ИТ\ИТ-директора и ИТ-риски

     ИТ-риски в целом еще та "неведома зверушка", порождение умноженной на проблемы управления многосотенным коллективом ИТ веры в COSO, но ее отдельные примеры еще веселее.

     Клуб 4СIO выпустил вторую версию своего учебника, в котором из 22-ух глав и 702 страниц нашлось место и ИТ-рискам (1 глава, 17 страниц, т.е. совсем маленькое место).
ИТ риски были определены используя сразу COSO, ГОСТ 51897 (ISO Guide 73) и ITIL, изящно определяя ИТ-директора как "наиболее подходящую кандидатуру для управления всеми рисками некоторых, зависящих от ИТ предприятий", что в целом страшно непонятно, как это будет выглядеть при внимании к проблеме порядка 2% рабочего времени (именно столько занимает глава о рисках в книге).
   Правда, потом все ИТ-риски (т.е. величина по определению шире ИБ-рисков) были загнаны по CRAMM&OCTAVE, что интересно, т.к. этим фактически признали отсутствие смысла в управлении другими ИТ-рисками, кроме ИБ-рисков. Правда, о практических вопросах управления рисками особо ничего сказано не было - риск аппетит, предельная способность поглощать риск, матрица рисков, взаимозависимость активов, степень управляемости риска благополучно канули в Лету почему-то не были упомянуты даже вскользь.
   Однако, состав авторов статьи - аудитор из IT Expert да журналист, т.е. ни профессионал в ИБ, ни начальник службы ИТ в принципе наводит на мысль, что глава была чисто для проформы, и ни один здравомыслящий начальник ИТ не возьмется на основе нее строить управление рисками ИТ. А уж специалистам по информационной безопасности, намного более зрелой дисциплины чем ИТ-риски, чтение по большей части только развеет скуку.

P.S. Другое дело, что подобного качества главу по хорошему не стоило бы печатать в учебнике..

Комментариев нет:

Отправить комментарий