Читаем о рисках

Государство это огромная корпорация, предприятие, the enterprise. Я не говорю здесь на тему устройства государства. Я имею в виду комплексность решаемых государством задач. В том числе экономических. В том числе финансовых. В том числе инвестиционных. Иначе не было бы такого понятия как, например, бюджет или суверенный дефолт. Иначе мы не говорили бы об управлении рисками. Тем интереснее смотреть на различные работы в области eGovernment и eServices for Citizens - информатизации и информационных сервисов для граждан. Без соответствующего глубокого анализа такие работы были бы невозможны. Я уже приводил примеры такого рода reference-моделей "сервисов для граждан". Надеюсь, что вы их если не глубоко читали, то как минимум обратили внимание. Масштабность задача требует анализа. Знаю, я это уже говорил. Но подчеркиваю это снова и снова потому что убежден - "с высоты птичьего полета" легче начать локализовывать вопрос или проблему. Решив комплексную задачу концептуально, легче подойти к менее масштабной и частной задаче на более глубоком уровне детализации. Можно возразить - а если концепция "большого" не верна? А если как в физике, когда вроде бы законы макромира не очень-то хорошо работают в микромире, именно на уровне микромира проявляется неопределенность? Да, вопрос спорный и мы все еще на подступах к единой теории поля :) Работая в ИТ мы все равно пытаемся положить реальный мир в прокрустово ложе моделей. Что именно гарантирует успешность или неуспешность моделей - вопрос на самом деле очень многогранный. Подтверждает ли ложность модели ее хреновая реализация на коленке? Конечно, нет. Повышает ли вероятность точности и применимости модели объем инвестиций вложенных в нее? А вот в этом я убежден - да, повышает. Поэтому и обращаю часто и свое и ваше внимание на те, вроде бы общие работы, фреймворки, подходы, которые, как мне кажется, могут дать не только пищу для размышлений, но и дают отдельные, часто очень неплохо отградуированные инструменты. Говорим ли мы о сервис-ориентированном подходе, анализе рисков или управлении инвестициями. Вот несколько таких источников:

• Advancing Return on Investment Analysis for Government IT. A Public Value Framework.
  
• Making Smart IT Choices: Understanding Value and Risk in Government IT Investments.

Если эти документы показались интересным - можно найти некоторые аналогичные здесь - на сайте Center for Technology in Government.

Далее, уже от NIST Computer Security Division:

• Risk Management Guide for Information Technology Systems
• Information Security Handbook: A Guide for Managers - здесь, кстати, дается целостный взгляд на проблемы управления рисками и, в том числе, о самой концепции Security Governance (по аналогии с IT Governance и, конечно, Corporate Governance - корпоративным управлением). Это, с моей точки зрения, один из ключевых современных материалов по концептуальному взгляду на информационную безопасность. И уже после этого только стоит приступать к таким стандартам ISO как 17799 и 27001. Кстати, невольно получается тот же подход от концепции к детализации отдельных аспектов.
  

Неплохой материал из подборки Business Link, ориентированной намалый и средний бизнес (SMB или как еще называют в Европе - SME, т.е. Small and Medium Enterprises):

• Identifying and managing IT risks to your business

И, наконец, обновленная версия COBIT 4.1, вышедшая в мае этого года, которую можно свободно скачать с сайта ISACA, всего лишь зарегистрировавшись на нем.