Основные шаги и стадии

В качестве основных шагов можно принять следующие действия:

Организация процесса управления рисками (General Risk Management)

•Разработка процесса, политик и процедур по Управлению Рисками

•Классификация ресурсов, рисков, уязвимостей, угроз

•Классификация реакции на риски и методов оценки

•Формирование комитета Управления Рисками

•Формирование экспертной группы, в состав которой входят специалисты ИТ, а также специалисты бизнеса.

Идентификация и оценка ресурсов (Identification and Valuation of Assets)

•Экспертная группа идентифицирует и оценивает ценность ресурсов

•Экспертная группа идентифицирует возможные риски

Оценка угроз и уязвимостей (Threat and Vulnerability Assessment)

•Экспертная группа оценивает уязвимости систем

•Экспертная группа оценивает угрозы систем

Анализ Рисков (Risk Analysis)

•Экспертная группа проводит качественный и количественный анализ рисков. В качестве основных критериев определяются: «вероятность» и «влияние» и классифицируются по значениям: «высокое», «среднее» и «низкое».

•Проводится количественный анализ рисков (при необходимости)

•Экспертная группа группирует риски и формирует матрицу (реестр) рисков

Управление Рисками (Risk Management)

•Концентрируется внимание на рисках со значениями «высокое» и «среднее».

•Определяется реакция на риски (принятие, снижение, передача и т п)

•Определяются возможные контрмеры и стоимость их внедрения

•Формируется ряд сценариев проекта как минимум «негативный», «позитивный» и «реалистичный»

•Проведение корректировки

•Результаты документируются и принимается решение

•Все изменения в планах проекта должны обсуждаться и документироваться

Как минимум должны быть сформированы следующие документы:

•реестр рисков,

•запросы на изменение,

•протоколы обсуждений.

В процессе эксплуатацию ИТ сервиса проводится процесс управления рисками (поиск новых рисков, защитных мер и т п).

Процесс является непрерывным и циклическим.