Сергей Авдошин - Информатизация бизнеса. Управление рисками

Процесс выбора поставщика программного решения по управлению рисками, как правило, происходит в соответствии с основными этапами: обзор рынка, формирование требований к системе и подготовка информационного запроса поставщикам (при необходимости), рассылка информационного запроса и анализ ответов поставщиков программного обеспечения, выбор системы (рис. 26).

На начальном этапе происходят определение требований к системе управления рисками, согласование требований внутри проектной команды. Далее происходят анализ рынка решений и предварительный просмотр систем, где определяются наличие требуемой функциональности, опыт внедрения, отзывы от предыдущих аналогичных проектов. На основе предварительного просмотра систем происходит выбор сокращенного списка поставщиков. Далее осуществляется более детальный анализ на соответствие функциональным, техническим и прочим требованиям на основе взвешенной модели оценки. Если поставщикам рассылался запрос на предоставление информации (Request for Information – RFI), проводится качественный анализ ответов. Вместе с анализом ответов составляются сценарии показа систем на соответствие требованиям. Демонстрации систем оцениваются с помощью балльной оценки, основанной на анализе сильных и слабых сторон продукта, впечатления от поставщика решения. По окончании анализа поставщиков на соответствие требованиям и демонстрации системы формируется решение по выбору поставщика системы управления рисками. После заключения контракта происходит внедрение выбранного решения.

Рис. 26. Этапы отбора поставщиков ПО

До принятия решения о внедрении той или иной системы управления ИТ-рисками программных проектов следует убедиться, что она достаточно полно учитывает бизнес-потребности компании, ее масштабы, а также соответствует лучшим мировым практикам и имеет достаточно подробное описание процессов и требуемых действий.

В настоящее время существует большое количество систем, так или иначе реализующих функции управления рисками. Некоторые из них представляют собой информационные системы управления проектами, в которых присутствует модуль управления рисками, другие являются приложениями к системам календарного планирования либо самостоятельными программными продуктами по управлению рисками. Третьи специализируются на рисках информационной безопасности, а потому позволяют определить не уровень рисков программных проектов, а степень соответствия тому или иному стандарту (например, ISO17799).

В качестве продукта поддержки процессов управления рисками при реализации программных проектов может использоваться как специализированная система, так и модули управления рисками многофункциональных систем управления проектами (Microsoft Project, Open Plan, Primavera) или же модули системы управления предприятием (Oracle, SAP, Microsoft Axapta и прочие). Как было описано выше, возможно создание собственной разработки в области управления рисками программных проектов.

В зависимости от типов рисков выделяют различные системы управления рисками. Ниже представлена классификация ПО в области управления рисками, содержащая наиболее распространенные в России программные продукты.

1. Управление операционными/банковскими рисками на уровне всего предприятия реализовано в программных продуктах Egar Technology, SAS, IBM, прочих.

2. Поддержка рисков информационной безопасности (с привязкой к существующим стандартам, например ISO 17799) отражена в решениях Cramm, RiskWatch, Кондор+, Cobra, прочих.

3. Для управления рисками проектов (как один из инструментов Project Management Software) используются системы Primavera Project Planning, Spider Project, Open Plan, прочие.

4. Управление рисками программных проектов (на основе методологий разработки ПО) реализовано практически всеми крупными разработчиками программного обеспечения, наиболее известны продукты IBM Rational Portfolio Manager, OCTAVE-S.

Рис. 27. Рейтинг систем управления рисками, Standish Group Report, 2009 (RiskTech100TM)

Помимо перечисленных систем, на российском рынке также присутствуют такие многофункциональные системы в области управления рисками, как: @Risk Professional for Project, Dekker TRAKKER, Enterprise project, ER Project 1000, Intelligent Planner, Mesa/Vista Risk Manager, Risk Track, Open Plan. ERA by Methodware, NetRisk/RiskOps 2.3, Pacemetrics. Обзор наиболее популярных западных систем представлен на рис. 27.

Проведем более детальный анализ основных программных продуктов по управлению рисками, отвечающих специфике ИТ-проектов.

1. IBM Rational Portfolio Manager (IBM). Система полностью поддерживает методологию COBИТ и предоставляет инфраструктуру для введения элементов управления, которые помогут обеспечить соответствие законодательным нормативам, таким как закон Сарбейнса-Оксли и соглашение Basel II, и устранить разрыв между потребностями управления, техническими проблемами, бизнес-рисками и требованиями показателей производительности и реализацией инструментов финансового контроля.

По данным компании IBM, Portfolio Manager осуществляет поддержку процессов идентификации и контроля рисков, позволяет выявить и уменьшить самые высокие воздействия рисков путем задания пользовательского триггера, который уведомит вас о возникновении риска. Можно предоставить показатели, которые уведомят о том, например, насколько хорошо выполняется снижение риска, с периодической фиксацией количества событий триггера, интенсивности событий триггера, того, сколько времени ушло на разрешение события и какой уровень эскалации потребовался.

2. OCTAVE-S – Operationally Critical Threat, Asset and Vulnerability Evaluation System (SEI). Система OCTAVE-S разработана институтом Software Engineering Institute (SEI) при университете Карнеги Меллон для моделирования поведения оценки рисков в организации. OCTAVE спроектирована на основе методологии информационной безопасности и предусматривает высокую степень гибкости, достигаемую путем выбора критериев, которые предприятие может использовать при адаптации под собственные нужды, и позволяет поддерживать следующие процессы управления рисками:

• идентификацию критичных информационных активов;

• идентификацию угроз для критичных информационных активов;

• определение уязвимостей, ассоциированных с критичными информационными активами;

• оценку рисков, связанных с критичными информационными активами.

Особенность данной методики заключается в том, что весь процесс анализа производится силами сотрудников организации, без привлечения внешних консультантов. Для этого создается смешанная группа, включающая как технических специалистов, так и руководителей разного уровня, что позволяет всесторонне оценить последствия возможных инцидентов и разработать контрмеры. В качестве инструмента моделирования и оценки OCTAVE предлагает при описании профиля использовать «деревья вариантов». В доступной базе данных рассматриваются компоненты следующих классов: серверы; сетевое оборудование; СЗИ; персональные компьютеры; домашние персональные компьютеры «надомных» пользователей, работающих удаленно, но имеющих доступ в сеть организации; мобильные компьютеры; системы хранения; беспроводные устройства и связанные с ними риски.