Логотип

Компании Название Компании

ИТ подразделение Компании

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ

В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

для служебного пользования

 Логотип
Компании Название Компании
ИТ подразделение Компании

Владелец документа

Ф.И.О.

Подразделение

Должность

Ф.И.О. непосредственного руководителя

Должность непосредственного руководителя

Контроль версий
Номер Статус Дата Автор Описание изменений

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 2 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

СОДЕРЖАНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ................................................................................................................................4
1.1 Введение.................................................................................................................................................4
1.2 Термины и сокращения..........................................................................................................................4
1.3 Область применения..............................................................................................................................4
1.4 Ответственность.....................................................................................................................................4
1.5 Источники разработки...........................................................................................................................4
1.6 Методология...........................................................................................................................................5
2. УПРАВЛЕНИЕ РИСКАМИ В ОБЛАСТИ ИТ.............................................................................................6
2.1 Идентификация рисков..........................................................................................................................6
2.2 Оценка рисков........................................................................................................................................6
2.3 Управление рисками..............................................................................................................................7
2.4 Контрольные действия...........................................................................................................................7
2.5 Информация и коммуникация...............................................................................................................7
3. РОЛИ И ОТВЕТСТВЕННОСТЬ...................................................................................................................8
4. ПОРЯДОК УТВЕРЖДЕНИЯ И ВНЕСЕНИЯ ИЗМЕНЕНИЙ.....................................................................9
5. ДОКУМЕНТАЦИЯ И ОТЧЕТНОСТЬ.......................................................................................................10
ПРИЛОЖЕНИЕ № 1. Регистр рисков ИТ подразделения.................................................................................11

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 3 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Введение
Настоящий документ «Методика управления рисками в области информационных технологий и
информационной безопасности» (далее – Методика) является частью системы управления
информационными технологиями Компании» (далее – Компания).
Настоящая Методика определяет правила идентификации, оценки и минимизации рисков Компании
в области ИТ и ИБ.
Целью настоящей Методики является определение порядка управления рисками в области ИТ и ИБ с
учетом существующих контролей в Компании.

1.2 Термины и сокращения

Применяемые в настоящей Методике термины и сокращения используются в соответствии с единым
справочником терминов и сокращений в области информационных технологий Компании.

1.3 Область применения

Действие настоящей Методики распространяется на корпоративный центр Компании, и носит
рекомендательный характер для формирования собственных методик управления рисками в области ИТ и
ИБ в ДЗО.

1.4 Ответственность
Ответственность за выполнение настоящей Методики несет Руководитель ИТ подразделения
Компании.

1.5 Источники разработки

При подготовке настоящей Методики за основу были взяты следующие материалы Компании:
 «Стратегия развития информационных технологий Компании»;
 Документы регламентирующие порядок управления и оценки рисков;
 интервью с сотрудниками и руководством Компании.

1.6 Методология
Настоящая Методика разработана при содействии специалистов Компании на основе следующих
подходов:

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 4 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

 методология CobIT (Control Objectives for Information and Related Technologies).

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 5 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

2. УПРАВЛЕНИЕ РИСКАМИ В ОБЛАСТИ ИТ И ИБ

В общем процесс управления рисками в области ИТ и ИБ осуществляется в соответствии с

утвержденной в Компании «Политикой управления рисками» (далее – Политика). Политика определяет
следующие этапы управления рисками в Компании:
 идентификация рисков;
 оценка рисков;
 управление рисками;
 контрольные действия;
 информация и коммуникация.

1.7 Идентификация рисков

Риски в области ИТ и ИБ идентифицируются согласно с утвержденными в Компании Документами
регламентирующими порядок управления и оценки рисков.
Идентификация рисков в области ИТ и ИБ проводится на регулярной основе, не реже одного раза в
год.
В процессе идентификации рисков в области ИТ и ИБ могут использоваться:
 матрица рисков CobIT;
 отчеты об инцидентах и проблемах ИТ и ИБ.

Основными шагами на данном этапе являются определение:

 рисков или угроз для достижения поставленных перед ИТ подразделением Компании целей и
задач;
 причин возникновения рисков в областях ИТ и ИБ;
 возможных последствий от реализации рисков в области ИТ и ИБ.

Результаты идентификации рисков в области ИТ и ИБ вносятся в соответствующие столбцы регистра

рисков Приложение № 1. Регистр рисков ИТ подразделения.
Идентифицированные риски группируются по категориям согласно Документами
регламентирующими порядок управления и оценки рисков.

1.8 Оценка рисков

Оценка идентифицированных рисков выполняется в четком соответствии со следующими
документами утвержденными в Компании:
 Документами регламентирующими порядок управление рисками.

Основными шагами на данном этапе являются:

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 6 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

 определение вероятности реализации риска;

 определение времени влияния (реализации) риска;
 оценка влияния (размера риска);
 определение веса риска;
 расчет рейтинга риска на основе определенных показателей.

Оценка рисков должна осуществляться на нетто-основе (т.е. оцениваются остаточные риски),

поскольку риски, которые эффективно управляются Компанией, не должны рассматриваться как
критические и проблемные.
Полученные результаты на данном этапе вносятся в соответствующие столбцы в Приложении № 1.
Регистр рисков ИТ подразделения.

1.9 Управление рисками

Управление рисками выполняется согласно утвержденных в Компании Документами
регламентирующих порядок управления и оценки рисков.
Основными шагами на данном этапе являются:
 выбор для всех рисков соответствующих методов реагирования и разработка планов мероприятий
по управлению ими;
 определение лица/подразделения, ответственного за мероприятие.

Для организации управления рисками в области ИТ используются перечень контролей методологии

CobIT. Для организации управления рисками в области ИБ используются перечень контролей стандарта
СТ РК ИСО/МЭК 17799-2006.
Результаты формируются в соответствующих столбцах Приложения № 1. Регистр рисков ИТ
подразделения.

1.10 Контрольные действия

Руководитель ИТ подразделения обеспечивает анализ ИТ процессов и определяет необходимость и
целесообразность внесения контрольных действий для обеспечения эффективного исполнения ранее
определенных мероприятий.
Подразделение управления рисками разрабатывает контрольные мероприятия и показатели по мерам
управления рисками.

1.11 Информация и коммуникация

ИТ подразделение осуществляет мониторинг рисков в области ИТ и ИБ, а также информирует
Подразделение управления рисками в случае негативного воздействия рисков на деятельность Компании в
области ИТ.

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 7 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

3. РОЛИ И ОТВЕТСТВЕННОСТЬ

Участники
Этапы Подразделение управления
Руководитель ИТ подразделения
рисками
Идентификация рисков О О, И, К
Оценка рисков О О, С
Управление рисками О О, С
Контрольные действия С О, И
Информация и коммуникация О И

О - ответственный, К - контролирующий, С - согласующий, И - информируемый

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 8 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

4. ПОРЯДОК УТВЕРЖДЕНИЯ И ВНЕСЕНИЯ ИЗМЕНЕНИЙ

Настоящая Методика согласовывается (порядок утверждения документов в соответствии с

внутренними политиками и распоряжениями Компании).
Пересмотр и обновление настоящей Методики производится на ежегодной основе, а также в случае
внесения изменений в следующие документы:
 «Стратегия развития информационных технологий Компании»;
 Документы регламентирующие порядок управления и оценки рисков;
 Организационная структура Компании.

Работа по пересмотру настоящей Методики вносится в ежегодный план работы ИТ подразделения

Компании. Об изменениях настоящей Методики должны быть уведомлены все заинтересованные лица
структурных подразделений Компании.

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 9 из 12
 Логотип
Компании Название Компании
ИТ подразделение Компании

5. ДОКУМЕНТАЦИЯ И ОТЧЕТНОСТЬ

Для оценки эффективности выполнения настоящей Методики могут использоваться следующие

КПЭ:
 число вновь выявленных рисков в области ИТ (в сравнений с предыдущим периодом);
 число существенных инцидентов, случившихся вследствие не выявленных рисков в области ИТ.

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 10 из 12
 ПРИЛОЖЕНИЕ № 1. Регистр рисков ИТ подразделения

План мероприятий по реагированию на

Оценка риска (Остаточный риск)
Описание риски
Риск или
возможных Оценка Оценка
Номе угроза для Причины
последствий эффективности Вероятност Время влияни Владелец
р достижения возникновени Лицо/подразделение
от Предупредительные действий в случае ь влияния я Вес, Рейтинг риска
риска поставленны я риска , ответственное за
реализации мероприятия реализации риска реализации (реализации (размер 1-n риска
х задач/целей мероприятие
риска риска, 1-5 ) риска, 1-3 риска),
1-5
0 ИТ
подразделени
я
0 ИТ
подразделени
я

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 11 из 12
Лист согласования

Ф.И.О. Дата Подпись

МЕТОДИКА УПРАВЛЕНИЯ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

для служебного пользования
Стр. 12 из 12