The analysis and IT service risk management at all stages its life cycle. Kiseleva T.V., Maslova E.V.

In article stages of life cycle of IT service and risks which can arise thus are considered. As one of protective measures insurance is offered.

 

ИТ-сервис – это комплекс взаимодействующих ИТ-активов, цель которого состоит в производстве ценности для потребителя, определяемой полезностью, доступностью, мощностью, непрерывностью и безопасностью сервиса [1]. Согласно ITIL (библиотеке современных руководств по управлению ИТ-сервисами) жизненный цикл ИТ-сервиса, который требует непрерывного улучшения, включает следующие стадии.

1. Стратегия.

2. Проектирование.

3. Внедрение.

4. Эксплуатация.

Риск может возникнуть на любой из этих стадий, и часто даже не один. Риск может быть любым, в том числе и информационным. Он возникает там, где есть уязвимость, т.е. слабое место в системе. Чтобы защититься от рисков, их нужно выявлять, анализировать и управлять, по возможности привлекая к этому экспертов- специалистов по информационной и другой безопасности.

Управление информационными рисками – это комплекс мероприятий по идентификации, анализу и устранению выявленных в структуре информационной безопасности недостатков, связанных с разработкой, эксплуатацией и утилизацией информационных комплексов. Из этого определения становится понятно, что информационные риски – это опасность возникновения убытков или ущерба в результате применения в организации информационных технологий [2]. Отказаться от использования информационных технологий невозможно, так как информатизация позволяет существенно экономить силы и время человека, что при нынешнем темпе жизни очень актуально. Во всем мире осуществляется переход к информатизации общества, в котором компьютер становится главным помощником любого менеджера и руководителя. Появилась новая должность – риск-менеджер, в его обязанности входит обеспечение снижения риска на предприятии.

Процесс управления информационными рисками состоит из следующих этапов.

· Выбор анализируемых объектов и уровня детализации их рассмотрения.

· Выбор методологии оценки рисков.

· Идентификация активов.

· Анализ угроз и их последствий, выявление уязвимых мест в защите.

· Оценка рисков.

· Выбор защитных мер.

· Реализация и проверка выбранных мер.

· Оценка остаточного риска.

Наиболее подвержены риску стадии проектирования и внедрения, и особенно - стадия эксплуатации. В частности, к таким рискам могут относиться: небрежное проектирование, отказ инфраструктуры, отказ функционирования оборудования, человеческие ошибки и некомпетентность, а также различные форс-мажорные обстоятельства. При внедрении и эксплуатации часто может возникнуть риск непринятия нового со стороны персонала.

На всех стадиях есть механизм управления непрерывностью, напрямую связанный с процессом управлениями рисками. ИТ-провайдер должен обеспечивать функционирование его сервисов в случае масштабных разрушений; этого можно добиться путем применения методов отказоустойчивости и восстановления активов.

В таблице 1 приведены примеры наиболее часто встречающихся рисков на всех стадиях жизненного цикла ИТ-сервиса.

От некоторых из вышеперечисленных рисков, например, риска потери сервиса, можно защититься путем создания резервов.

 

 

Таблица 1. Риски стадии жизненного цикла ИТ-сервиса.

 

Стадия	Название риска	Комментарий (причины)
Стратегия	Риск, связанный с неправильной оценкой востребованности сервиса	Требования к сервису изменились
Неверно определены активы, цели, планы, бюджет
Проектирование	Риск, обусловленный неправильной оценкой активов	Нехватка активов
Риск, связанный с несвоевременным запуском ИТ-сервиса	Ненадежный поставщик оборудования
Риск нарушения сроков	Неверно определены сроки и сложность работы, следователь- но, срок внедрения затянут
Риск непринятия ИТ-сервиса по причине изменения требований к сервису со стороны заказчика	Неверно определены требования заказчиком или выдвинуты не полные требования
Внедрение	Технический риск	Программное/аппаратное обеспечение устарело
Риск полной или частичной потери ИТ-сервиса	Форс-мажорные обстоятельства
Эксплуатация	Отсутствие доступа к ИТ-сервису в течение длитель-ного времени	Время восстановления работо- способности после сбоя больше ожидаемого
Риски, связанные с нарушением целостности, конфиденциальности и доступности ИТ-сервиса	Несанкционированный доступ
Риск, связанный с невыполнением соглашений между заказчиком и ИТ-провайдером	Отсутствие поддержки со стороны провайдера
Риск полной или частичной потери ИТ-сервиса	Форс-мажорные обстоятельства

Риски нарушения целостности, конфиденциальности и доступности решаются разработкой четко продуманной политики безопасности организации соответствующими специалистами и постоянным контролем ее соблюдения со стороны руководства.

В любой момент может произойти непредвиденная катастрофа (природная или техногенная), например, землетрясение, наводнение и т.д. В этом случае хорошей защитой является страхование, так как организация получает гарантию наличия средств на восстановление разрушенного. Размер страхового взноса определяется стоимостью сервиса, вероятностью его разрушения и стоимостью восстановления потерь.

После заключения страхового договора страхователь выплачивает страховщику страховой взнос, который определяется согласно страховому тарифу.

Запишем целевую функцию страхователя по аналогии того, как это рассмотрено в [3] для страхования экологических систем:

где u – действие страхователя, например, объем производимой продукции, v – сумма, затрачиваемая на предупредительные меры, H(u) – доход страхователя, p(v,u) – вероятность наступления страхового случая, z(u) – затраты страхователя, ε – параметр, отражающий степень несклонности страхователя к риску, k(v,u) – страховой взнос, V(v,u) – страховое возмещение, W – размер ущерба страхователя.

Если деятельность страхователя не важна, то выбираются простейшие зависимости затрат и дохода от его действия: H(y)=cu, z(u) = z₀+α₀, где с может интерпретироваться как цена реализации продукции, z₀ – постоянные издержки, α₀ – удельные переменные издержки. Из условия H(u)-z(u)-v≥0 можно определить точку безубыточности, т.е. тот минимальный объем производства, при котором деятельность страхователя еще выгодна.

Механизм страхования от наступления рискового события лучше всего использовать в комплексе с другими методами снижения или устранения риска.

Риск может возникнуть на любой стадии жизненного цикла ИТ-сервиса; избавиться от него полностью невозможно, но если применять методы риск-менеджмента, то его можно существенно снизить, а ущерб от его наступления минимизировать. Конечно, для этого лицо, принимающее решение, должно быть достаточно компетентным, владеть современными методами системного анализа, экспертных оценок, способностью мыслить подчас нетрадиционно, так как этого зачастую требует нынешняя экономическая ситуация в мире.