Документные процессы и системы: оценка рисков. Требования нового ГОСТ Р 57551-2017.: Семинар

1. ГОСТ Р 57551-2017 как элемент общей системы управления рисками на предприятии и инструмент обеспечения информационной безопасности. Правила применения, структура и основные положения ГОСТ Р 57551-2017.

• Область применения. Границы ответственности организации, в т.ч. взаимоотношения с другими организациями и внешними и внутренними заинтересованными сторонами, партнерские отношения и договорные обязательства, касающиеся цепочек поставок, переданные на аутсорсинг функции. Термины и определения: риск, документная система, система управления документами, документные процессы, процессы управления документами
• Критерии оценки риска для организации. Оценка риска для документных процессов и систем как составная часть общего процесса управления рисками организации. Роль и обязанность специалистов по управлению документами. Взаимоотношения с другими областями оценки риска (информационная безопасность). Методология. Критерии риска: природа и типы принимаемых во внимание последствий и способы их измерения; способы отражения вероятности событий; подход к определению уровня риска; критерии, на основе которых будет приниматься решение о необходимости воздействия на риск; критерии для принятия решения о приемлемости и/или допустимости риска; возможные комбинации рисков. Определение приоритетов. Какие документы являются ключевыми. Обеспечение непрерывности деятельности организации.
• Идентификация риска. Что может произойти и какие ситуации могут повлиять на способность документов удовлетворять потребности организации. Выявление причин и источников риска, событий, ситуаций или обстоятельств, выяснение природы такого влияния. Реестр рисков организации. Внешние факторы ( общественно-политические изменения, изменения в макроэкономической и технологической среде (повышение активности регулирующих органов, использование социальных сетей и мобильных компьютерных устройств), физическая среда и инфраструктура (природные явления, военные действия, террористические действия, перебои с электроснабжением, подачей воды, перебои IT), несанкционированное внешнее вторжение / доступ в документные системы и внесение несанкционированных изменений, DDOS-атака, физический вандализм. Внутренние факторы (организационные (смена прав собственности, утрата персонала, изменения в кадровом составе и кадровой политике), технологические изменения (совместимость с существующими платформами и системами; перераспределение ответственности и контроля над документными процессами)). Области неопределенности: ресурсы - люди и компетенции, финансовые и материальные ресурсы.
Контрольные вопросы для выявления областей неопределенности.
• Документные системы (архитектура систем, техническое обслуживание и поддержка жизнестойкость и непрерывность функционирования, интероперабельность) и документные процессы (проектирование документов, создание, использование документов и документных систем, поддержание в пригодности, уничтожение документов либо их передача на архивное хранение).
• Анализ выявленных рисков, исходя из возможности нанесения ущерба свойствам документов (аутентичность, надежность, полнота, достоверность, целостность, пригодность к использованию). Анализ возможности и количественная оценка вероятности наступления выявленных рисков.
• Сравнительная оценка рисков. Оценка воздействия неблагоприятных событий. Принятие решения: требуется ли воздействие на риск; приоритеты для воздействия на риски; нужно ли выполнить какие-либо действия; какой из возможных вариантов решения следует выбрать.
• Рекомендации по документированию выявленных и оцененных рисков. Распространение информации о выявленных рисках. Реестр рисков – как инструмент доведения информации до руководства и лиц, ответственных за общую программу менеджмента риска.

2. Итоги реализации ГОСТ Р 57551-2017.

• Повышение уровня управления документами и информацией. Уменьшение потерь, связанных с ненадлежащим управлением информацией и документацией
• Повышение защищенности документов и информации, укреплению информационной безопасности
• Разумность затрат на меры защиты и минимизации рисков, повышение эффективности применения мер
• Улучшение управления организацией в целом.

Все организации определяют угрожающие их успешному функционированию риски и управляют ими. Специалисты по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.

С 1 июля 2019 года вступает в силу ГОСТ Р 57551-2017 «Информация и документация. Оценка рисков для документных процессов и систем».

Настоящий стандарт регламентируют деятельность специалистов по управлению документами в плане оценки рисков для документных процессов и систем, для обеспечения сохранности документов до тех пор, пока в этом существует необходимость и в плане доведения до руководства соответствующей информации, в рамках подготовки к смягчению или устранению рисков. Стандарт позволяет облегчить процесс разработки собственных нормативных и методических документов.

Критически важно, чтобы высшее руководство было надлежащим образом информировано о риске для документных систем и приняло на себя ответственность за предпринимаемые организацией меры реагирования.

Стандарт предназначен для использования любыми организациями, вне зависимости от формы собственности, размера, характера деятельности и сложности функций и структуры.