Тестирование конфигураций

Конфигурационное тестирование проверяет работоспособность системы и её приложений в различных конфигурациях программного и аппаратного обеспечения.

Цель: проверить и убедиться, что Приложение работает правильно на предписанных клиентских рабочих станциях.

Способы: использовать сценарии интеграции и тестирования системы: открывать/закрывать различные приложения Microsoft, такие как Excel и Word, как часть теста, так и перед началом теста. Выполнить выбранные транзакции для имитации действий пользователей в приложениях Microsoft. Повторить описанный выше процесс, минимизируя доступную обычную память на клиенте.

Критерий завершенности: для каждой комбинации приложения Microsoft транзакции успешно завершаются без сбоев.

Инсталляционное тестирование

ИТ проверяет возможность установки и модернизации программного обеспечения на системы с различными конфигурациями как в нормальных, так и в отклоняющихся от нормы условиях (недостаток места на диске, отсутствие административных прав и т.д.). Кроме того проведение большого количества тестов позволяет проанализировать функциональность и корректность работы установленного ПО.

Цель: проверить правильность установки клиентского программного обеспечения на каждом клиенте при соблюдении следующих условий:

- новая установка, новая машина,

- обновленная машина, ранее установленная, такая же версия,

- обновить ранее установленную машину, более старую версию.

Способы: ручная или автоматическая разработка сценариев для проверки состояния целевой машины (новая - никогда не установлена, одна и та же версия или старая версия уже установлена). Запуск/выполнение установки. Используя предопределенный набор тестовых сценариев интеграции или системы, запуск транзакции.

Критерий завершенности: транзакции выполняются без сбоев.



2.3 Безопасность информационной системы

Обеспечение информационной безопасности заключается в защите системы от вмешательства в нормальный процесс ее функционирования (случайного или преднамеренного), а также от попыток хищения, модификации или разрушения ее компонентов.

Безопасность информационной системы включает в себя:

- безопасность персонала;

- безопасность ценностей компании и помещений;

- безопасность информации.

Обеспечение защиты информации позволяют решить следующие задачи:

· предотвращение искажения информации, подделок и хищений;

· предотвращение несанкционированного доступа к базам данных и их модификации, недопущение блокирования и копирования информации;

· сохранение конфиденциальности информации;

· обеспечение прав разработчиков.

Таблица 6. Анализ возможных угроз

Угроза	Причина, вероятность	Объект нападения	Тип потери	Масштаб ущерба	Источник угроз
Авария источника мощности, пожар	Незащищенность электропроводки; короткое замыкание; вероятная	Информация, сетевые и аппаратные средства	БД	Высокий	Сотрудники, случайность
Неисправности аппаратных средств	Износ вследствие длительного использования; вероятная	Аппаратные средства	Финансовые потери	Средний	Отсутствие регулярной проверки работоспособности аппаратных средств
Преднамеренное поврежде-ние	Преднамеренные действия сотрудников; высоковероятная	ПО, оборудование	Затруднение деятельнос-ти, финансовые потери	Высокий	Сотрудники компании
Скачки напряжения	Отсутствие сетевых фильтров, источников бесперебойного питания; вероятная	Информация, программные и аппаратные средства	БД	Высокий	Сотрудники, случайность
Кража	Низкий уровень защиты информации; высоковероятная	БД	Конфиденциальность информа-ции, репутацион-ные потери	Высокий	Сотрудники компании
Неавторизо-ванное использова-ние данных	Незащищенность БД; вход под чужим логином и паролем; вероятная	БД	Конфиденциальность информа-ции, репутацион-ные потери	Высокий	Сотрудники компании
Износ среды хранения	Отсутствие обновления гибких и жестких дисков, бумаги; длительное использование, переполнение БД; вероятная	БД	Целостность	Высокий	Админист-раторы
Операцион-ные ошибки	Невнимательность; некомпетентность, вероятная	Информация	Целостность	Средний	Сотрудники компании
Ошибка техничес-кого обслужива-ния	Невнимательность; некомпетентность, вероятная	Аппаратные и сетевые средства	Затруднение в деятельнос-ти	Средний	Сотрудники компании
Сбой программно-го обеспечения	Ошибки ПО; случайное удаление данных; вероятная	ПО	Целостности информа-ции, затруднения в деятельнос-ти	Высокий	Сотрудники компании
Неправиль-ное использова-ние ресурсов	Невнимательность; некомпетентность, вероятная	ПО	Временные	Низкий	Сотрудники компании
Неавторизованный доступ	Использование программы для взлома сети; вероятная	БД, сервер	Конфиденциальность информа-ции, репутацион-ные потери, затруднения в деятельнос-ти, финансовые потери	Высокий	Хакер
Использо-вание нелицензи-онных программ	Вредоносные подпрограммы встроенные в программы; вирусы; вероятная	ОС, ПО, БД	Конфиден-циальность информа-ции, затруднения в деятельнос-ти, финансовые потери	Высокий	Нелицензи-онное ПО
Вредонос-ное ПО	Нарушение работы ОС; высоковероятная	ОС, ПО, БД	Конфиденциальность информа-ции, затруднения в деятельнос-ти, финансовые потери	Высокий	Вредонос-ное ПО
Перегрузка трафика	Сети, сетевые устройства; одновременная посылка (запрос) сообщений с разных станций; вероятная	Сеть	Доступ-ность, затруднение в деятельнос-ти	Средний	Пользова-тель АРМ
Перехват информации	Незащищенность канала связи при передаче; вероятная	Информация	Конфиден-циальность информации	Высокий	Посторон-нее лицо
Ошибочная маршрути-зация сообщений	Неисправность работы маршрутизатора; вероятная	Информация	Затруднения в деятельнос-ти, конфиденциальность информации	Средний	Маршрути-затор

2.4 Оценка рисков ИБ

Проведение систематической оценки рисков позволяет определить перечень основных требований к информационной безопасности, а также принять решения о финансировании расходов на мероприятия по её управлению, исходя из возможного ущерба, который может быть нанесен бизнесу. Оценка рисков может быть произведена как для всей системы в целом, так и для отдельных её частей или компонентов, исходя из практической необходимости и целесообразности.

Оценка рисков информационной безопасности включает в себя:

* анализ возможного ущерба бизнесу в результате нарушения конфиденциальности информации, несанкционированного доступа к ней с учетом возможных последствий от репутационных потерь;

* анализ вероятности наступления нарушения информационной безопасности с учетом существующих мероприятий по предотвращению угроз и устранению уязвимостей.

На основании такой оценки можно разработать комплекс мер по управлению информационной безопасностью с целью минимизации выявленных рисков. Систематическое проведение такой оценки позволяет определить приоритетные направления в области управления рисками, выявить отдельные информационные системы или подразделения наиболее подверженные угрозам, а также учесть следующие факторы:

* изменения приоритетов бизнеса-стратегии компании;

* снижение эффективности существующих мероприятий по управлению информационной безопасностью;

* возникновение новых угроз и уязвимостей.

Объём проверки и уровень детализации анализа рисков определяется на основании всех этих факторов, а также результатов предыдущей оценки. Наиболее детально следует рассматривать области максимального риска, а также специфические риски компании.

Исходя из оценки возможных угроз, предлагаются следующие меры по обеспечению защиты информации:

Таблица 7. Требования по обеспечению защиты информации

Зона уязвимости:	Виды защитных мер
Пожар	Комплекс противопожарных мероприятий: установка пожарной сигнализации, обеспечение помещений огнетушителями и средствами пожаротушения, проведение инструктажа по пожарной безопасности сотрудников компании, проведение регулярных проверок исправности проводки.
Преднамеренное повреждение	Установка камер видеонаблюдения и сигнализации, ограничение доступа к проводам и системам связи.
Неисправности аппаратных средств	Комплекс мероприятий по техническому обслуживанию оборудования, своевременная замена и ремонт оборудования, контроль исправности оборудования.
Износ среды хранения	Регулярное обновление и резервное копирование БД.
Авария ПО	Контроль использования нелицензионного ПО, создание резервных копий и обновление ПО.
Неавторизован-ный доступ	Установка авторизованного доступа в систему, периодическая смена паролей и их надежность.
Вредоносное ПО	Установка лицензионных антивирусных программ, регулярное обновление антивирусных баз, резервное копирование основных программ на защищенных дисках.
Несанкциони-рованный импорт/экспорт ПО	Регулярный контроль трафика, запрет копирования ПО с сервера и других ПК.
Ошибка операционных сотрудников	Ограничение уровня допуска в соответствии с необходимостью; повышение квалификации сотрудников, прием на работу квалифицированного персонала; проведение обучающих семинаров по работе с новым ПО.
Неисправность сети	Своевременный ремонт и замена оборудования, а также его техническое обслуживание.
Ошибки при передаче данных	Проверка контрольных сумм.
Перехват информации	Кодирование информации при передаче, блокирование прямого доступа к сети, анализ трафика.
Ошибочная или повторная маршрутизация сообщений	Ведение таблицы маршрутизации и ее постоянное обновление по запросам.
Неправильное использование ресурсов	Использование многоканального доступа, установка приоритета на запросы; ограничения доступа.

2.5 Основные риски компании

Таблица 8. Оценка риска

№ риска	Название риска	Средний коэффициент риска_Менеджмент	Средний коэффициент риска_УКР
2	Риски управления	6,00	9,00
3	Риски внутренних систем контроля	4,00	4,00
4	Риски качества менеджмента и сотрудников	2,00	6,00
5	Риски информационных технологий	2,00	9,00
6	Риски данных	2,00	6,00
10	Риски учета	2,00	6,00
11	Оценочные риски	1,00	1,00
12	Риски расходов	1,00	2,00
13	Риски внешних событий	2,00	4,00
14	Риск мошеннических действий	4,00	6,00
15	"Compliance" риск	4,00	4,00
16	Риски ИБ	4,00	6,00
17	Риски непрерывности бизнеса	4,00	9,00
18	Прочие риски	1,00	1,00

Рисунок 11. Сравнительная диаграмма средних коэффициентов риска

Как следует из проведенного аудита рисков компании ИТ-риски имеют один из самых высоких коэффициентов, что вызывает необходимость разработки модели их управления.



2.6 Модель управления рисками

Процесс управления мощностями

Процесс управления мощностями компании подразумевает тесное взаимодействие с ИТ-департаментом. Для организации эффективной системы управления необходима информация о имеющихся ИТ-конфигурациях действующих систем, доступных ресурсах, планируемой нагрузке и существующих проблемах, угрозах и инцидентах.

Рисунок 12. Структура процесса управления мощностями

Основными задачами управления мощностями являются

- учет потребностей заказчика, исходя из планов развития бизнеса;

- выявление проблемных мест;

- планирование развития мощностей.



Рисунок 13. Схема управления мощностями

Таблица 9. Риски процесса управления мощностями

Риски	Меры по предотвращению
Завышенные ожидания руководства, связанные с непониманием технической стороны существующих процессов.	Согласование требований заказчиков с уровнем технических возможностей компании
Несоответствие финансовых затрат росту производительности	Обоснование затрат
Недостоверность или недостаточность информации о нагрузке информационной системы.	Систематическая диагностика и анализ работоспособности системы.
Смена поставщиков	Анализ предоставленной от новых поставщиков информации и технических характеристик.
Несогласованный уровень детализации мониторинга системы	Согласование уровня детализации проводимого мониторинга для выполнения качественного анализа.

Процесс управления уровнем услуг

Большинство услуг компании связано с работой ИТ-департамента, поэтому для управление уровнем этих услуг необходима информация о доступных ресурсах, данные мониторинга производительности услуг, анализ уровня сервисов, обратная связь с другими процессами, а также знание стратегии и планов развития бизнеса.



Рисунок 14. Структура управления уровнем услуг

Основными задачами управления мощностями являются

- формирование соглашения об уровне услуг, оказывающее влияние на все ИТ-процессы;

- формирование портфеля услуг;

- определение процедур предоставления ИТ-сервисов и их внедрения;

- определение финансовых затрат;

- мониторинг удовлетворенности заказчика.

Рисунок 15. Схема этапов управления уровнем услуг



Таблица 10. Риски процесса управления уровнем услуг

Риски	Меры по предотвращению
Недостаточность входных данных со стороны бизнеса, заказчика или ИТ-департамента	Согласование требований
Отсутствие заинтересованности со стороны заказчика	Проведение переговоров с заказчиком и его убеждение в важности процесса
Недостаточность ресурсов для обеспечения качества услуг	Привлечение необходимых ресурсов, переговоры с руководством компании
Недостаточность ресурсов для оценки уровня услуг	Переговоры с руководством компании для привлечения необходимых ресурсов
Избыточность отчетности вместо повышения уровня услуг	Пересмотр приоритетов процесса
Нарушение оценочных процедур, определенных процессом	Корректировка отступлений
Не соответствие уровня ожиданий и удовлетворенности заказчиков	Пересмотр соглашения, обоснование уровня предоставления услуг.
Предъявление завышенных требований к уровню услуг.	Переговоры с заказчиком для согласования требований
Пропуск некоторых этапов анализа, что затрудняет или делает невозможной реальную оценку.	Следовать согласованному плану анализа качества сервисов.

Процесс управления доступностью и непрерывностью услуг

После согласования уровня услуг необходимо обеспечить их доступность и непрерывность. Для этого необходима информация о пользователях услугами, их уровнях доступа, данные об инцидентах и уровнях загрузки системы, а также о пиках и спадах нагрузки.

Основными задачами управления непрерывностью и доступностью услуг являются

- оценка рисков;

- проектирование систем;

- разработка плана действий на случай возникновения ЧС;

- разработка мер безопасности;

- разработка стратегии обеспечения непрерывности бизнеса.



Рисунок 16. Структура процесса управления доступностью и непрерывностью услуг

Рисунок 17. Схема процесса управления доступностью и непрерывностью услуг

Таблица 11. Риски процесса управления доступностью и непрерывностью услуг

Риски	Меры по предотвращению
Отсутствие согласованности и координации в действиях подразделений	Согласование зон ответственности и координация действий со стороны руководителей подразделений
Недостаточность финансирования для обеспечения непрерывности и доступности, а также проведения мониторинга.	Обоснование затрат
Недооценка или переоценка необходимых ресурсов	Проведение аудита
Недостаточный уровень зрелости смежных процессов	Согласование подходов, составление плана комплексного улучшения взаимодействия процессов
Ошибки на этапе проектирования процесса	Учет особенностей всех взаимодействующих процессов при проектировании инфраструктуры
Невозможность тестирования систем.	Организация доступа к средствам восстановления
Отсутствие средств для восстановления функциональности	Обоснование затрат и рисков
Отказ поставщика в обслуживании ИТ-услуг в случае возникновения нештатных ситуаций.	Смена поставщика услуг, организация обслуживания своими силами. Повышение квалификации технических специалистов.

Процесс обеспечения ИБ

Управление информационной безопасностью регламентируется федеральным законом, уставом компании и соответствующими ГОСТами и обеспечивается системами криптозащиты, контроля доступа, видеонаблюдения и мониторинга.

Рисунок 18. Структура процесса управления ИБ



Основными задачами управления ИБ являются

- проверка прав доступа к системам;

- обеспечение режима работы системы в соответствии с правами доступа;

- организация системы мониторинга и криптозащиты.

Таблица 12. Риски процесса управления ИБ

Риски	Меры по предотвращению
Риск нарушения конфиденциальности информации, репутационные риски	Политика о неразглашении информации, установка видеонаблюдения, блокировка копирования информации на сторонние носители
Риск потери данных	Блокировка установки стороннего ПО, резервное копирование данных, сетевое администрирование
Риск искажения информации	Контроль инцидентов, надежная аутентификация пользователей
Риск повреждения носителей информации.	Резервное копирование информации на защищенные внешние носители
Риск потери информации в связи ЧС.	Использование облачных хранилищ информации, резервное копирование БД

Процесс управления инцидентами

Процесс управления инцидентами имеет многоуровневую структуру и зависит от политики компании, квалификации персонала, информации от аналитиков и тестировщиков, а также входных данных: сбой, ошибка, баг, неисправность и т.д.

В зависимости от класса инцидента в процессе управления используются несколько видов обработки входных данных: Help Desk, Call Center или Servise Desk.



Рисунок 19. Структура процесса управления инцидентами

Основными задачами управления инцидентами являются

- оперативное восстановление нормального уровня предоставления услуг;

- классификация инцидентов с целью совершенствования базы возможных рисков и обеспечения информационной безопасности.

Рисунок 20. Схема процесса управления инцидентами

Успешное разрешение инцидента должно обеспечиваться тремя уровнями технической поддержки.

Рисунок 21. Схема взаимодействия трех уровней технической поддержки

Таблица 13. Риски процесса управления инцидентами

Риски	Меры по предотвращению
Нанесение урона бизнесу вследствие инцидента	Повышение эффективности процесса обработки инцидентов и сокращение времени на его устранение
Отсутствие базы известных инцидентов	Ведение актуальной базы данных по инцидентам и способам их решения
Отсутствие квалифицированного персонала	Назначение ответственного лица за процесс устранении сбоев и ведение базы инцидентов
Несоответствие условиям соглашения по предоставлению ИТ-услуг	Неукоснительное выполнение всех пунктов SLA

Процесс управления релизами

Процесс управления релизами заключается в соблюдении требований к информационной системе компании, а также её своевременное изменение и обновление.

Рисунок 22. Структура процесса управления релизами

Основными задачами управления релизами являются

- разработка политики компании в отношении релизов;

- проектирование, разработка, компоновка и конфигурирование релизов;

- подготовка и обучение персонала;

- распространение и инсталляция релизов.

Входными данными для управления релизами являются требования заказчика и запросы RFC (вследствие внедрения нового функционала или исправления существующих дефектов системы).

Одним из ключевых этапов управления является тестирование релизов (системное, интеграционное, регрессионное, нагрузочное, конфигурационное и т.д.), которое должно осуществляться строго в соответствии с методологией компании. Только в случае положительных результатов проведенного тестирования релиз может перейти на этап внедрения, который может быть двух типов:

- единовременное полное развертывание;

- поэтапная установка с функциональным наращиванием.

Внедрение новых релизов влечет за собой разработку сопроводительной технической документации и обновление базы инцидентов.

Таблица 14. Риски процесса управления релизами

Риски	Меры по предотвращению
Риск сбоя в работе релиза после внедрения	Качественное проведение всех этапов тестирования
Задержка внедрения релиза из-за длительного этапа тестирования	Переговоры с заказчиком на предмет обоснования необходимости этапа тестирования
Внедрение релиза, не прошедшего (или частично прошедшего) этап тестирования	Увеличение штата тестирования, назначение ответственного за проведение тестирования
Несоответствие релиза заявленным требованиям	Доработка релиза и повторное его тестирование

Процесс управления конфигурациями

Для эффективного управления конфигурациями необходима информация о соглашениях об уровне услуг и имеющихся конфигурационных единицах.

Рисунок 23. Структура процесса управления конфигурациями

Основными задачами управления конфигурациями являются

- разработка стратегии на основе анализа имеющейся информации;

- поддержка базы конфигураций в актуальном состоянии;

- внесение изменений в существующие конфигурации;

- мониторинг и контроль существующих конфигураций.

Таблица 15. Риски процесса управления конфигурациями

Риски	Меры по предотвращению
Низкий уровень детализации базы конфигураций	Определить и согласовать необходимый объем атрибутов базы конфигураций
Недостаток ресурсов для проведения мониторинга базы конфигураций	Привлечение дополнительных ресурсов
Потеря актуальности данных	Своевременная актуализация базы конфигураций



Заключение

Риски, как показало проведенное исследование, это не сиюминутное явление. Развитие ИТ-индустрии, постоянная динамичность изменений и возрастающие требования к обеспечению безопасности данных, информационных систем и программных продуктов - те факторы, которые делают управление рисками одним из основных условий стабильности и успешности компании на бизнес-арене.

В работе выполнены поставленные задачи:

- рассмотрены и проанализированы современные требования к организации защиты информации, обеспечения её конфиденциальности;

- выполнена классификация рисков,

- проведен анализ существующих стандартов, методологий и мировых практик управления рисками в ИТ;

- проведено исследование программных моделей вычислительных и информационных процессов, связанных с функционированием ИТ-систем компании;

- выполнены стресс-тесты ИТ-систем и составлены карты рисков компании.

На основе анализа, систематизации и обобщения научно-технической информации, анализа теоретического материала и проведенного аудита ИТ-систем компании

- предложена методика выявления и снижения рисков в ИТ на основе интегрированной схемы взаимодействия информационных и бизнес-подразделений;

- разработана и апробирована модель управления рисками, адаптированная для российского рынка.

В рамках работы выполнена поставленная цель - разработка рекомендаций и модели управления рисками в ИТ.

Предложенная комплексная система по работе с ИТ-рисками, интегрированная в основную деятельность не только данной, но и любой другой организации, позволит не только минимизировать последствия от возникающих инцидентов, но и повысить качество оказываемых ИТ-услуг, снизить риски ИТ-процессов, повысить эффективность управления и обеспечения непрерывности бизнеса.

Следует отметить, что анализ и управление рисками - это систематическая комплексная работа всех подразделений компании, а не специального отдела или группы сотрудников большого предприятия. Политика управления рисками в ИТ должна существовать во всех компаниях и четко регламентироваться разработанной методологией, учитывающей специфику её работы и особенности нормативно-правового регулирования государства, что обеспечит конкурентоспособность организации на всех уровнях ее развития.



Список использованных источников

1. Авдошин С. М. Информатизация бизнеса. Управление рисками. - М.: ДМК пресс, 2011.

2. Симонов С.В. Анализ рисков, управление рисками // Jet Info. - № 1. - 1999.

3. Медведовский И.Д., Петренко С.А., Нестеров С.А. CD «Руководство по управлению информационными рисками корпоративных информационных систем Internet/Intranet». - Domina Security, 2002.

4. Копытчук Н.Б., Тишин П.М., Цюрупа М.В. Применение методологии CORAS при создании баз знаний анализа рисков вычислительных систем. //МНПК «Современные информационные и электронные технологии». - Одесса, 27 - 31 мая 2013.

5. Коптелов А.К. Стандарт ITIL и MOF. //Управление бизнес-процессами в телекоммуникациях. - №1 (29). - 2007.

6. Симонов С. Современные технологии анализа рисков в информационных системах // PCWEEK. - № 37. - 2001.

7. Симонов С. Технологии и инструментарий для управления рисками. // Jet Info. - № 2 (117). - 2003.

8. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. - М. : Академия АйТи : ДМК Пресс, 2008. - 384 с.

9. Information technology - Code of practice for Information security management. International Standard ISO/IEC 17799:2000(E).

10. CobiT: Executive Summary. - ISACA, 3rd Edition, 2000.

11. Гузик С. Стандарт CobiT. Управление и аудит информационных технологий. Особенности проведения внешнего аудита ИТ. // Jet Info. - № 1 (116). - 2003.

12. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30.

13. Головин Л. Стандарты информационной безопасности в банках. // RS-CLUB, № 4, 2007.

14. Пономарева Н. Обзор практики управления рисками в российских банках. Основные направления для улучшений. // Международная финансовая корпорация (IFC), Санкт-Петербург, 2009.

15. Standards for Information Systems Control Professionals. - ISACA Standards, 2000.

16. Хьюз Грег, Управление ИТ-рисками: стратегия развития инфраструктуры дает конкурентное преимущество. // Рациональное Управление Предприятием, №4, 2008 г.

17. ISO/IEC 15408-2: Information technology. Security techniques - Evaluation criteria for IT security, Part 2: Security functional requirements, 1999.

18. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. -М.: Горячая линия - Телеком, 2000.



Аннотация

В работе проведено исследование основных этапов жизненного цикла программного и аппаратного обеспечения компьютерных систем и сетей компании, а также основных ИТ-рисков. Основная проблематика, выносимая в рамках работы, заключается в отсутствии единых стандартов управления рисками, адаптированных под условия российского рынка, в следствие чего возникает несогласованность подходов к управлению существующими ИТ-процессами на предприятиях, отсутствие взаимодействия между его структурными подразделениями.

На основе анализа передовых практик, существующих методологий (CORAS, OCTAVE, CRAMM, MOF risk management, ГРИФ) и стандартов (ISO 17799, COBIT 5 for Risk, BSI и BSI-Standards 100-3, NIST 800-30 и др.)

- проведена классификация и идентификация ИТ-рисков;

- предложена методика выявления и снижения рисков в ИТ на основе интегрированной схемы взаимодействия информационных и бизнес-подразделений;

- разработана и апробирована модель управления рисками, адаптированная для российского рынка.

Разработанная модель управления рисками в ИТ предназначена для мониторинга и повышения качества оказываемых ИТ-услуг, снижения рисков ИТ-процессов, повышения эффективности управления и обеспечения непрерывности бизнеса.

The paper focuses on the main stages of life cycle of the software and hardware of computer systems and networks of the company, as well as the key IT risks. The main problem in the work is the lack of common risk management standards adapted to the conditions of the Russian market, resulting in inconsistencies in approaches to the management of existing IT processes in enterprises, the lack of interaction between its structural divisions.

Based on the analysis of best practices, existing methodologies (CORAS, OCTAVE, CRAMM, MOF risk management, neck) and standards (ISO 17799, COBIT 5 for Risk, BSI and BSI-Standards 100-3, NIST 800-30 and others.)

- It was carried out the classification and identification of IT risks;

- A methodology was proposed to identify and reduce risks in IT based on an integrated scheme of interaction between information and business units;

- The risk management model adapted for the Russian market was developed and tested.

The developed model of IT risk management is designed to monitor and to improve the quality of IT services provided, to reduce the risks of IT processes, to improve management efficiency and to ensure business continuity.

Размещено на Allbest.ru

...