Отметим два принципиальных отличия менеджмента рисков при выполнении IT проектов и рисков информационной безопасности в отношении функционирующей информационно-технологической инфраструктуры.
Во-первых, риски при выполнении IT проектов, строго говоря, не являются рисками ИБ. Это проектные риски, представляющие собой разновидность экономических рисков. Предприятию будет нанесен экономический ущерб, если IT проект не будет выполнен в срок, если затраты на выполнение проекта превысят запланированный бюджет и если не будут достигнуты запланированные показатели качества создаваемого IT продукта. В то же время, поскольку IT проект предусматривает в той или иной степени совершенствование информационно-технологической инфраструктуры, например релиз ПО с существенно меньшим уровнем уязвимости, то косвенным образом нарушение согласованных параметров проекта может привести к снижению уровня ИБ предприятия.
В связи с этим важно подчеркнуть, что управление проектными рисками осуществляется в соответствии с другим международным стандартом – ISO 10006:2003 «Системы менеджмента качества. Руководство по менеджменту качества при проектировании», который разработан на основе Руководства PMBOK – Руководства к своду знаний по управлению проектами Американского института управления проектами Терминология, включая содержание понятий, этих стандартов несколько отличается от терминологии стандарта ISO/IEC 27005.
Во-вторых, управление рисками IT проектов рассматривается в данном случае как составная часть функции управления проектными отклонениями, к которому наряду с управлением рисками отнесены управление проблемами и управление отклонениями. В связи с этим ниже рассматривается именно управление отклонениями и в его составе – управление рисками.
- Общие положения.
Управление отклонениями сводится к борьбе с неприятностями (негативными процессами) и в общем случае включает 3 стадии (функции нижнего уровня).
1) Управление рисками (неприятности еще не наступили, но существует возможность возникновения нежелательных и незапланированных событий, которые могут привести к тому, что цели проекта не будут достигнуты полностью или частично). Назначение этой стадии предотвратить неприятности или подготовиться к их встрече во всеоружии, т.е. потенциально разработать мероприятия, которые уменьшили бы негативные события. Риски можно рассматривать как потенциальные проблемы, т.е. как проблемы, которые еще не наступили.
2) Управление проблемами (неприятности наступили и необходимо выяснить их происхождение, степень влияния на проект, способы преодоления). Часть проблем – реализованные риски, а другая часть проблем не связана с рисками по разным причинам. Назначение стадии обеспечит возможность реализации проекта и всех его целей.
3) Управление изменениями (неприятности оказались достаточно серьезными, справиться с ними без ущерба для проекта не удалось). Назначение стадии – модификация ранее согласованных продуктов и услуг, сроков исполнения и стоимости работ управленческих и технологических процессов и т.п. Эти отклонения (эта модификация) подразумевает в определенный момент ухудшение ранее согласованных параметров.
Можно рассматривать различные сценарии управления отклонениями (рис. 2.11).
Конечное состояние плана проекта
|
Исходное состояние плана проекта
|
Рис. 2.11. Общая схема управления отклонениями.
Полному циклу управления отклонениями соответствует 1 сценарий. В ходе планирования проекта был идентифицирован риск, но работа с ним не привела к желаемому результате. Второе – возникшая в результате наступления рискового события проблема так же не была успешно решена. Третье – все это в результате привело к необходимости внесения изменений в процесс проектирования имеющих в том числе негативный аспект.
При втором сценарии изменения в проекте реализуют, не дожидаясь возникновения проблем, что позволяет эти проблемы избежать.
Интерес представляет 4 и 5 сценарии, которые соответствуют случаю возникновения проблем, не учтенных в качестве рисков. Причиной этого может быть, например, нетипичность ситуации или просто «потеря» риска.
В качестве следствия можно назвать потенциальные проблемы, для которых опускается стадия управления рисками, т.е. осуществляется управление проблемами по мере их возникновения.
Сценарий 3: управление рисками не воспрепятствовало появлению проблем. Однако мы их решили без внесения изменений в проект.