Википедия дает такое определение: Информационные технологии (ИТ, также – информационно-коммуникационные технологии) – процессы, использующие совокупность средств и методов сбора, обработки, накопления и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса, явления, информационного продукта, а также распространения информации и способы осуществления таких процессов и методов (ФЗ №149-ФЗ). Этого нам хватит для понимания, что такое ИТ.

В отношении ИБ Википедия дает следующее определение: Информационная безопасность (англ. Information Security, а также – англ. InfoSec) – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Теперь мы готовы к погружению в область управления риском ИТ.

Глава 1.

Управление риском ИТ

Если есть вероятность того, что несколько вещей пойдут не так, то пойдет не так та, которая нанесет наибольший ущерб. Следствие: если есть худшее время для того, чтобы что-то пошло не так, это произойдет именно тогда.

Если что-то просто не может пойти не так, оно все равно произойдет.

1.1. РИСК – ЧТО МОЖЕТ ПОЙТИ НЕ ТАК?

Определение риска

У риска есть множество определений, на мой взгляд, наиболее точное определение риска – это «Risk is defined by COSO as the possibility that events will occur and affect the achievement of strategy and business objectives». Это определение дано Комитетом организаций-спонсоров Комиссии Тредвея3. Для себя я сформулировал такое: «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Ниже мы более детально разберем виды рисков/рисковых событий.

Риск можно рассматривать с качественной и/или количественной точек зрения, при этом определение риска может различаться в зависимости от используемого источника информации. Однако фундаментальная суть риска состоит в том, что риск определяет вероятность или возможность того, что некое событие произойдет и какие в этом будут последствия для организации.

Категории рисков

Существует множество категорий и типов рисков. Для наглядности следует отметить наиболее, на мой взгляд, важные и привести примеры того, что может пойти не так.

Финансовый – ошибки в бухгалтерском учете, финансовая отчетность организации содержит ошибки, неточности либо не содержит важной информации для заинтересованных сторон.

Кредитный – невозврат кредита заемщиком.

Рыночный – цена инвестиционного инструмента упала ниже, чем ожидалось.

Операционный – отклонения, неэффективность в операционной деятельности организации. При этом, например, в категорию операционных рисков можно отнести внутреннее и/или внешнее мошенничество, риск подрядчика/контрактный/санкционный – подрядчик выполнил проект ниже качеством либо не выполнил вовсе, отказался от поддержки ИТ системы, отозвал лицензию и другие подобные варианты. Также очень часто к категории операционных рисков относят риск ИТ/ИБ – ключевая ИТ-система работает с ошибками, произошла утечка персональных данных и т. д. Как правило, риск ИТ – это подгруппа рисков бизнеса.

?

Взаимосвязь ИТ и бизнес-функций организации

Основная цель ИТ – помощь бизнесу в достижении миссии и целей организации. Каждое направление бизнеса создает ИТ-систему, поддерживающую его бизнес-функцию. Тем самым чем выше автоматизация процессов организации, тем выше вероятность того, что что-то пойдет не так в средствах автоматизации, то есть информационных технологиях.

?

1.2. ЧТО ТАКОЕ РИСК ИТ?

EBA – Европейский Банковский регулятор4 дает, на мой взгляд, наиболее точное определение:

Риск ИТ – это риск потерь организации, вызванный:

• нарушением конфиденциальности;

• сбоем целостности систем и данных;

• некорректной работой либо недоступностью систем и данных;

• невозможностью изменить ИТ-систему за разумное время и стоимость, в то время как среда функционирования и/или требования бизнеса меняются (то есть быстрота изменений).

Риск ИТ включает еще и риск безопасности (ИБ), проистекающий от:

• неадекватных либо некорректных внутренних процессов, организации, либо внешних событий, включая кибератаки, либо неадекватную систему физической безопасности.

Взаимосвязь риска ИТ и других категорий рисков