В статье рассматривается разработанная информационная система «Оценка рисков проекта», которая позволит автоматизировать процесс аналитика по информационной безопасности.

Ключевые слова: оценка рисков, управление рисками, прототипирование, автоматизация, информационная система.

В настоящее время термин «информационный риск» нашел широкое применение. Появление данного понятия в середине 90-х годов минувшего века объясняется необходимостью применения нового подхода к решению вопросов по информационной безопасности. Рост цифровой революции привел к тому, что организации все больше зависят от различных событии или инцидентов, которые каким-то образом ставят под угрозу ИТ, и могут оказывать неблагоприятное воздействие на бизнес-процессы или миссию организации, начиная от несущественных до катастрофических масштабов.

Необходимо создание инструментального средства анализа рисков, которое позволяет автоматизировать работу экспертов в сфере защиты информации, осуществляющих оценку информационных рисков предприятия.

Методика управления рисками осуществляется в нескольких этапах [1]:

1) Идентификация риска

2) Анализ рисков

3) Мониторинг и контроль рисков

4) Планирование с последующим анализом

5) Регулярное обновление базы известных рисков

На рисунке 1 представлена декомпозиция информационной системы рисков проекта. Весь процесс функционирования системы разбивается на 4 этапа:

1) «Редактирование БД проектов»

2) «Редактирование БД рисков»

3) «Анализ»

4) «Формирование плана по предотвращению риска»

На рисунке 2 изображена диаграмма вариантов использования, описывающая все сценарии работы системы. Сценарии системы взаимодействуют с тремя актерами: администратор, руководитель и менеджер.

Рис. 1. Декомпозиция информационной системы «оценка рисков проекта»

Рис. 2. Диаграмма вариантов использования

В рамках работы были разработаны прототипы экранных интерфейсов. На рисунке 3 изображена экранная форма «оценка риска». Для каждого риска производится количественный анализ риска. Менеджер оценивает вероятность по шкале от 1 до 4, а затем оценивает последствия риска — также от 1 до 4. Перемножив оценки, получаем рейтинг уровня риска.

На рисунке 4 представлена форма «Анализ рисков», в зависимости от количества высокий и очень высоких рисков возможно принятие решения об выработки стратегии их предотвращения или минимизации их последствий.

Рис. 3. Прототип формы «Оценка риска»

Рис. 4. Прототип формы «Анализ рисков»

В результате, получаем подробный план управления рисками. План включает в себя все риски, выявленные в течение всего срока службы проекта, в том числе те, которые прошли и больше не представляют угрозы для проекта, те, которые были предотвращены или смягчены, и те, которые стали проблемными.

Информационная система позволит существенно автоматизировать работу специалистов в области защиты информации:

1. Осуществлять оценку информационных рисков предприятия

2. Ускорить формирование отчетов по анализам рисков.

Литература:

1. Руководство к Своду знаний по управлению проектами (Руководство PMBOK) Третье издание 2004 Project Management Institute, Four Campus Boulevard, Newtown Square, PA 19073–3299 USA / США