Всемирный банк Принятие мер в отношении технологических рисков в целях обеспечения успешности инициатив электронного правительства 30 января 2007 года Вернер Липпунер, Ernst & Young LLP, Вашингтон

1 Обзор Электронное правительство Вызовы и ожидания Управление информационными рисками Полученные уроки

2 Электронное правительство Электронное правительство позволяет использовать информационно-коммуникационные технологии (ИКТ) для обмена информацией и услугами с гражданами, покупателями, предприятиями и другими государственными органами в целях повышения экономической эффективности обеспечения удобства обеспечения доступности. Модели реализации Государство гражданам/ Государство потребителям (G2C) Государство бизнесу (G2B) Государство государству (G2G) Технологии WWW, , система немедленной передачи текстовых сообщений, виртуальные сообщества, RSS, XBRL PDA, SMS / MMS, 3G, GPRS WiFi, WiMAX, Bluetooth RFID, биометрия, смарт-карты Многие другие

3 Государство гражданам, потребителям и бизнесу (G2C, G2B) Проведение транзакций / Реализация прав Покупка и оплата продуктов и услуг Оплата налогов Погашение кредитов Электронное голосование Представление информации Информирование о жалобах, мошенничестве, коррупции или несчастных случаях Подача заявления на занятие должности в госслужбе Подача заявок на получение грантов и займов Онлайновая подача налоговых деклараций Доступ к общей информации Доступ к информации, предоставляемой государством (законы, правила, НПА, формы, статистика и т.д.) Другие услуги E-обучение, программа для обучения в онлайне (Тайвань) mySchool предлагает электр. помощь, помогает с выполнением дом.задания, тестирует готовность (Люксембург) Услуги знакомств Услуги по переписке Доступ к персонализированной информации Регистрация учетной записи пользователя Доступ к заявлениям о пособиях Просмотр статуса процесса (н-р, получение визы, судебные дела и т.д. ) Обмен информацией Финансовая информация Информация о здравоохранении

4 Государство государству (G2G) Совместное использование информации Инициатива E-Vital устанавливает единые электронные процессы для федеральных органов и органов штатов по сбору, обработке, анализу, перепроверке и обмена информацией об официальных записях о смерти. GeoData.gov, обеспечивает возможность более легкого, быстрого и менее дорогостоящего поиска, обмена и доступа к геопространственным данным на всех уровнях государственного управления. Оптимизация взаимодействия Disaster Management предоставляет федеральным органам, органам штатов и местным органам по ЧС онлайновый доступ к информации, относящейся к борьбе со стихийными бедствиями, инструментам планирования и реагирования. SAFECOM служит в качестве зонтичной программы в федеральном правительстве для того, чтобы помочь местным, штатовским и федеральным органам общественной безопасности улучшить меры обеспечения общественной безопасности посредством более эффективной и продуктивной беспроводной связи с возможностью взаимодействия сетей. Совместное использование процессов и ресурсов Инициатива E-Training для федерального правительства позволяет перевести услуги онлайного обучения из более 40 органов в один. Инициатива Enterprise Human Resource Integration (EHRI – интеграция ведомственных кадровых ресурсов) предоставляет руководителям и специалистам кадровых служб информационное хранилище и возможности по планированию и анализу рабочей силы с тем, чтобы можно было точно и эффективно прогнозировать тенденции по уходу на пенсию, продвижению по службе и переназначений на должности. E-Payroll, благодаря усилиям групп из разных органов продолжает переводить органы от 26 текущих провайдеров к 2 партнерствам по з/п, прогнозируется, что это позволит сэкономит $1,1 млрд. Результатом инициативы Integrated Acquisition Environment (IAE ) стал общий единый файл по поставщикам; единое место регистрации поставщиков, что облегчает их работу с федеральным правительством. Совместное использование информации для Обеспечения удобного и постоянного доступа к своевременной информации Устранения избыточной информации и проблем с качеством данных Оптимизация взаимодействия для Обеспечения возможности взаимодействия сетей и систем Обеспечения своевременного и точного обмена информацией Совместное использование процессов и ресурсов Устранение ненужных функций Усиление последовательности процессов и процедур. Source: eGov.gov

5 Ожидания Вызовы и ожидания Заинтересованные стороны Граждане Посетители Регуляторы Госорганы Другие Движущие силы Миссия и цели Доверие и репутация Управление активами и капиталом Расходы и бюджет Регулирование Вызовы Информационное неравенство Социальные, культурные и образовательные вопросы Существующая инфраструктура Старые системы, децентрализация и взаимодействие Обеспечиваемая ценность Наличие Доступность Инфраструктура Надежность Эффективное управление Инновации Управление расходами Управление проектами Управление программами Управление рисками Конфиденциальность Безопасность Целостность данных Приложения Прайвеси Идентификация и управление доступом Аварийное реагирование Содействие изменению Реализация программ Управление изменениями Взаимодействие Контроль, мониторинг Обеспечение соответствия Соответствие нормативным требованиям Управление рисками поставщика Мониторинг аутсорсинговых операций Объем Управление затратами Нормативные требования Управление – Управление ИТ– Управление рисками ИТ

6 Эффективное управление ИТ Поддерживает эффективное и продуктивное управление информационными ресурсами (н-р, люди, средства и информация) Способствует достижению миссии и целей организации Оценивает и управляет работой информационных систем Обеспечивает соответствующий контроль за рисками и затратами на ИТ Управление рисками ИТ Оценивает риски Разрабатывает стратегии по снижению рисков Осуществляет мониторинг рисков

7 Компоненты риска Уязвимость Открытость для атаки, ущерба или потери Угроза Событие, которое может привести к потере Ресурсы Имеющиеся средства использует влияет Воздействие Вероятность Потеря центра данных Отказ аппаратных средств Риск Контроль Защита, контрмеры защищает снижает

8 Процесс управления рисками Принятие риска Избежание риска Ограничение риска Перенос риска Распределение риска Определение риска и степени его приоритетности Снижение риска Мониторинг Отчет Эффективное управление Принятие решений Подотчетность Постоянная выверка с : - ситуацией в организации - миссией и целями организации Информированность о риске Выявление проблем на раннем этапе Управление ресурсами / затратами Цели управления рисками Достижение целей организации Защита заинтересованных сторон Контроль расходов

9 Нормативно-правовая база Законодательство Федеральный закон о финансовой безупречности управляющих (FMFIA) Федеральный закон об управлении информационной безопасностью (FISMA) Закон об электронном правительстве Акт о праве перевода и сохранения медицинского страхования и ответственности (HIPAA) Акт Грэхема-Лича-Биллея (GLB) Другие Стандарты и руководства Административно- бюджетное управление (OMB) Национальный институт стандартов и технологий (NIST) Другие Рамки COSO COBIT ITIL ISO Другие Приводит к …. Обширному комплексу прописанных требований к информационной безопасности и мерам по ее обеспечению (и вариантов) Различным требованиям к отчетности Наличию различных владельцев и заинтересованных сторон Требует… Концентрирования на риске с точки зрения организации для привязки ресурсов к рискам Координации среди задействованных сторон Обмена информации о риске Управления изменениями

10 Требования к контролю Нормативные требования Бизнес-требования Ожидания заинтересованных сторон Присущий риск Процессе управления ИТ Планирование и организация ТО и приобретение Поставка и сопровождение Мониторинг Конфиденциальности Целостности Наличия ИТ инфраструктуре Центры данных Сети Операционные системы Базы данных Процессе деятельности Инициирование Санкционирование Учет Обработка Отчетность Определяют требования в отношении ….. Которые определяют цели контроля в …. Для определения или оценки мер необходимо увязать эти компоненты

11 Связывание ресурсов Функциональный владелец АБД Разработчики программ Пользователи Аудит Юридический Организация обработки Безопасность Люди ЛВС ГВС Транзакции Системы Платформы Приложение Процессы Технология Инфраструктура Процесс деятельности Критерии Конфиденциальность Наличие Целостность Закупки Под процесс КонфиденциальностьЦелостностьНаличие Люди Данны е Приложен ие База данных Операцио нная система Телеко ммуник ации Объект Заказ Менеджер программы Специалист по контрактам Товары Цена Ariba PeopleSoft OracleUnixT-1 Dedicated Объект 1 Функции Данные

12 Подход базовых мер Анализ угроз и уязвимости Перечень угроз Меры Предо сторож ности Уязвимость РесурсУгрозаУязвимостьРиск Аппаратные средстваОгоньОтсутствие системы пожаротушенияПотеря аппаратных средств ДанныеВирусОтсутствие антивирусного ПОПотеря данных Подход базовых мер База Меры Пробел в мерах Цель мерыМетодикаПробелРиск Аппаратные средства защищены от вредного воздействия окружающей среды Установлена система пожаротушения Установлена система обнаружения пожара Персонал обучен соответствующим образом Установлена только система пожаротушения. Имеются ручные огнетушители, а персонал не обучен. Потеря аппаратных средств Система защищена от программных средств, нарушающих нормальную работу системы Установлено антивирусное ПОАнтивирусное ПО не установлено.Потеря данных

13 Цели мер Меры На уровне организации На уровне инфраструктуры На уровне транзакций Приоритизация мер Акцент на меры, которые охватывают ключевые цели Рационализация мер Рассмотрение мер, которые охватывают несколько целей Автоматизация мер Оптимизация использования автоматизированных мер Цели мер Автоматизированные Неавтоматизированные Смешанные Профилактика Выявление

14 Жизненный цикл мер Разработка Улучшение Оценка Мониторинг Реализация Апробация Отчетность На разработку мер не обращается основное внимание при реализации новых систем Зачастую приходится подгонять меры в ретроспективном порядке в целях удовлетворения потребностей деятельности и по обеспечению соблюдения требований Отсутствие связи между приложением и неавтоматизированными мерами Меры не задокументированы должным образом Меры оцениваются по различным причинам Зачастую очевидна взаимозависимость мер Неполное использование автоматизации мер и технологий мониторинга Процесс отчетности не построен таким образом, чтобы удовлетворять потребности всех заинтересованных сторон

15 Рассмотрение рисков – Инициирование новых систем Указаны ли требования по управлению рисками и нормативные требования в Техническом задании? Имеет ли место соответствующий надзор за исполнением контракта для обеспечения выполнения условия контракта? Четко ли определены и распределены меры по снижению рисков и обеспечению соответствия требованиям? Включает ли документация систем и процессов документирование мер? Подлежат ли меры анализу на предмет эффективности их разработки? Полностью ли используются ли характеристики мер в системах? Увязаны ли неавтоматизированные меры в процессах деятельности с автоматизированными мерами, обеспечиваемые системой для предотвращения пробелов и дублирования? Имеются ли меры для поддержания положения во время замены системы? Регулярно ли тестируются меры с целью оценки эффективности их работы? Имеются ли возможности для обеспечения современности документации? Везде ли соблюдаются стандартные процессы и конфигурации? ……

16 Вызовы в сфере управления рисками Определение ресурсов в условиях децентрализации Связь между информационной инфраструктурой, приложениями и бизнес-процессами Связь между организационными, эксплуатационными и техническими мерами Рассмотрение процессов, отданных в аутсорсинг, включая разработку и эксплуатацию Рассмотрение оценки рисков как требования по обеспечению соблюдения норм, нежели как управленческой функции Сложность нормативных требований Динамика в развитии технологий и потребностей Координация деятельности по оценке Документирование и представление результатов оценки Эти вызовы могут привести к тому, что риски будут оцениваться: В вакууме и фрагментарно, без привязки к миссии организации На определенный момент времени, а не в течение времени

17 Определение рамок Соразвитие Подход и методология Внутренний аудит Риск- менеджер Основные этапы Состав группы Инструменты Цели и задачи Критерии информации Распределение по времени Заказчик проекта Отчетность Исполнительное руководство

18 Подходы к оценке рисков Подходы На определенный момент Постоянная База Самооценка КоличественнаяКачественная Оценка Распределение по времени Определение Группа НезависимаяСовместная Угроза Уязвимость

19 Культура управления рисками Процесс управления рисками Движущий фактор Специальный Ответный Восходящий Изолированный Фрагментарный Неформальный Неоднократный Измеримый Утвержденный Постоянный По всей организации Увязанный с целями организации Нисходящий Ошибки Отказы Цели организации Культура риска Аудит Требование законодательства Нормативные требования Отдельные инициативы

20 Программа управления рисками – Полученные уроки Организация и подотчетность Прояснение и распределение обязанностей между разными функциями (руководство организации, руководство программы, руководство по ИТ, внутреннее рассмотрение, Генеральный инспектор и т.д.) Связывание децентрализованной деятельности с общеведомственными рамками Планирование сверху-вниз Отчетность сверху-вниз Содействие координации между разными функциями по управлению рисками Эффективное управление ИТ Комплексные составы групп по рассмотрению стратегии, инвестиций, риска и т.д. Увязка усилий по управлению рисками с потребностями организации

21 Программа управления рисками – Полученные уроки Внедрение культуры управления рисками Задание тона наверху Информированность Обучение Политика и процедуры Документирование политики и процедур по управлению рисками Стандарты и практика Протоколы взаимодействия и требования ук отчетности

22 Программа управления рисками – Полученные уроки Кадровое обеспечение Набор навыков Способности Обучение Единый язык Стандартизированный подход Технология Документирование процессов, мер контроля и оценок Автоматизация мер / мониторинг мер

23 Программа управления рисками – Полученные уроки Показатели эффективности Определение показателей эффективности для оценки усилий по управлению рисками Мониторинг Постоянный мониторинг деятельности по управлению рисками и ее результатов Структура отчетности, подотчетность

24 Заключение Деятельность по управлению рисками, осознанно или неосознанно, проводится различными функциями в организациями. Связывание этих усилий посредством координации и взаимодействия чрезвычайно повышает эффективность всей программы по управлению рисками.

25 Контактная информация: Вернер Липпунер Ernst & Young LLP Washington, D.C © 2007 Ernst & Young LLP. All Rights Reserved. Ernst & Young is a registered trademark. ERNST & YOUNG LLP