Совершенствование методов оценивания остаточных рисков в современных стандартах 
Лившиц И.И.

1
Введение

2
Причины уязвимостей существующих систем менеджмента

3
Анализ нормативной базы в области менеджмента рисков
Стандарт СТО Газпром 18000.1-002-2020

4
Рис. 1. Форма реестра опасностей и рисков СТО Газпром 18000.1-002-2020
Стандарт ISO 31000:2018

5
Стандарт ISO/IEC 31010:2019

6
Рис. 2. Процесс управления рисками в стандарте ISO 31000:2018

7
Рис. 3. Метод ALARP по стандарту ISO/IEC 31010:2019

8
Рис. 4. Метод «галстук-бабочка» по стандарту ISO/IEC 31010:2019
Практическое применение методик менеджмента рисков (остаточных рисков)

9
Рис. 5. Остаточный риск по стандарту ISO/IEC 13335-1

10
Рис. 6. Пример воронки рисков для рационального подхода к оценке остаточных рисков

11
Рис. 7. Пример воронки рисков для апостериорного подхода

12
Рис. 8. Пример воронки рисков для консервативного подхода

13
Рис. 9. Общий алгоритм процесса идентификации риска по стандарту ISO/IEC 27005:2018

14
Рис. 10. Порядок обработки инцидентов НКЦКИ

15
Выводы
Сравнение стандартов
Таблица 1. Сравнение стандартов по критериям

16
Таблица 2. Сопоставление требований стандартов менеджмента рисков по фазам PDCA-цикла
Источники

Ключевые слова: стандарты, интегрированная система менеджмента, остаточный риск, цикл PDCA, эффективность, результативность, аудит

Аннотация

Автор проводит анализ новых международных и отраслевых стандартов, которые формируют современный уровень требований для создания культуры управления рисками, раскрывает методы менеджмента рисков для управления полным циклом PDCA, включая остаточные риски. Данные, полученные в результате анализа, могут применяться при совершенствовании систем менеджмента, в частности при изучении опыта гарантированного «замыкания» цикла PDCA и методов оценивания остаточных рисков.

Журнал: «Менеджмент качества» — №3, 2022 (© Издательский дом Гребенников)
Объем в страницах: 17

DOI

10.36627/2619-1385-2022-3-3-174-190 — https://doi.org/10.36627/2619-1385-2022-3-3-174-190

* Деятельность Meta (соцсети Facebook и Instagram) запрещена в России как экстремистская.

1. Беззатеев С.В., Елина Т.Н., Мыльников В.А., Лившиц И.И. Методика оценки рисков информационных систем на основе анализа поведения пользователей и инцидентов информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. — 2021. — Том21. — №4. — С. 553–561.

2. Безопасность WhatsApp: 5 видов мошенничества, угрозы и риски безопасности, о которых следует знать. — Подробнее .

3. Беляев Е.А., Емельянова О.А., Лившиц И.И. Анализ методик оценки рисков информационной безопасности кредитно-финансовых организаций // Научно-технический вестник информационных технологий, механики и оптики. — 2021. — Том21. — №3. — С. 437–441.

4. ГОСТ Р ИСО 31000-2019 «Менеджмент риска. Принципы и руководство». — Подробнее .

5. ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности». Часть 1 «Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий». — Подробнее .

6. Дудко Д. Инвентаризация рисков ИБ: нормативные, методические и практические аспекты. — Подробнее .

7. Естехин В. План действий служб ИБ и ИТ по приведению системы управления рисками ИБ и ИС в соответствие требованиям Положения Банка России от 08.04.2020 № 716П. — Подробнее .

8. Интегрированная система менеджмента. — Подробнее .

9. «Клуб любителей КИИ». Нештатные ситуации. Принципы формирования плана действий. — Подробнее .

10. Концепция BYOD: цифры, риски для SMB и безопасность. — Подробнее .

11. Ладуга. Автомобильный инжиниринг. — https://laduga.ru.

12. Лившиц И.И. Добавленная стоимость консалтинговых услуг при создании проектного управления в компаниях холдингового типа // Менеджмент качества. — 2019. — №4. — С. 290–295.

13. Лившиц И.И. Менеджмент рисков в области промышленной безопасности в топливно-энергетическом комплексе // Стандарты и качество. — 2021. — №1. — С. 42–48.

14. Лившиц И.И. Оценка методических подходов для формирования систем безопасности сложных промышленных объектов топливно-энергетического комплекса // Вопросы защиты информации. — 2016. — №1(112). — С. 56–61.

15. Лившиц И.И. Подходы к управлению киберрисками в нефтегазовых проектах // Менеджмент качества. — 2018. — №4. — С. 272–277.

16. СТО Газпром 18000.1-002-2020 «Единая система управления производственной безопасностью. Идентификация опасностей и управление рисками в области производственной безопасности». — Подробнее .

17. ISO 14001 «Системы экологического менеджмента. Требования и руководство по применению». — Подробнее .

18. ISO 31000:2018 «Управление рисками. Руководство». — Подробнее .

19. ISO 45001 «Системы менеджмента охраны здоровья и безопасности труда. Требования и руководство по применению». — Подробнее .

20. IEC 31010:2019. Risk Management — Risk Assessment Techniques. — Подробнее .

21. ISO 22301:2019. Security and Resilience — Business Continuity Management Systems — Requirements. — ttpПодробнее .

22. ISO/IEC 13335-1 (2004). Information Technology — Security Techniques — Management of Information and Communications Technology Security — Part 1: Concepts and Models for Information and Communications Technology Security Management. — Подробнее .

23. ISO/IEC 27001. Information Security Management. — Подробнее .

24. ISO/IEC 27005:2018. Information Technology — Security Techniques — Information Security Risk Management. — Подробнее .

25. NIST SP 800-30. Risk Management Guide for Information Technology Systems. — Подробнее .

Лившиц Илья Иосифович

Лившиц Илья Иосифович
д. т. н.
профессор

Профессор практики Университета ИТМО.

г. Санкт-Петербург

Другие статьи автора 18