Перейти к содержанию

Реестр рисков

Реестр рисков фиксирует архитектурные риски на протяжении их полного жизненного цикла — от идентификации до смягчения, остаточной оценки, мониторинга и закрытия (или формального принятия). Он живёт как вкладка внутри EA Delivery → Риски, рядом с Инициативами, Принципами EA и Архитектурными решениями.

Соответствие TOGAF

Реестр реализует процесс управления архитектурными рисками из TOGAF ADM Фаза G — Governance внедрения (TOGAF 10 §27):

Шаг TOGAF Что вы фиксируете
Классификация риска Категория (security, compliance, operational, technology, financial, reputational, strategic)
Идентификация риска Заголовок, Описание, Источник (вручную или продвинутый из находки TurboLens)
Начальная оценка Начальная вероятность × Начальное влияние → Начальный уровень (выводится автоматически)
Смягчение План смягчения, Владелец, Целевая дата решения
Остаточная оценка Остаточная вероятность × Остаточное влияние → Остаточный уровень (редактируется после планирования смягчения)
Мониторинг / принятие Рабочий процесс Статуса: identified → analysed → mitigation_planned → in_progress → mitigated → monitoring → closed (с боковой ветвью accepted, требующей явного обоснования)

Создание риска

Три пути ведут к одному и тому же диалогу Создать риск — каждый вариант предзаполняет разные поля, вам остаётся отредактировать и отправить:

  1. Вручную — вкладка Риски → + Новый риск. Пустая форма.
  2. Из CVE-находки — TurboLens → Безопасность и соответствие → панель CVE → Создать риск. Предзаполняет заголовок (CVE ID на карточке), описание (текст из NVD + бизнес-влияние + CVSS), категорию security, вероятность / влияние из CVE, план смягчения из рекомендации по устранению и связывает затронутую карточку.
  3. Из комплаенс-находки — TurboLens → Безопасность и соответствие → вкладка Соответствие → Создать риск на несоответствующей находке. Предзаполняет категорию compliance, вероятность / влияние из серьёзности + статуса регламента, описание из требования + разрыва.

Все три варианта включают поля Владелец, Категория и Целевая дата решения, позволяя назначить ответственность уже при создании — не нужно переоткрывать риск.

Продвижение идемпотентно — после продвижения находки её кнопка меняется на Открыть риск R-000123 и ведёт прямо на страницу деталей риска.

Владелец → Todo + уведомление

Назначение владельца (при создании или позднее) автоматически:

  • Создаёт системный Todo на странице Todos владельца. Описание [Risk R-000123] <заголовок>, срок выполнения зеркалит целевую дату решения риска, а ссылка возвращает к деталям риска. Todo автоматически помечается как выполненный, когда риск достигает mitigated / monitoring / accepted / closed.
  • Вызывает уведомление в колокольчике (risk_assigned) — видимое в выпадающем меню колокольчика и на странице уведомлений, с необязательной отправкой по e-mail, если пользователь это включил. Самоназначение также вызывает колокольчик, чтобы след был согласован между командным и личным рабочими процессами.

Очистка или переназначение владельца поддерживает Todo в синхронизации — старый удаляется / переназначается.

Связывание рисков с карточками

Риски связаны с карточками по схеме многие-ко-многим. Один риск может затрагивать несколько Приложений или ИТ-компонентов, а одна карточка может иметь несколько связанных рисков:

  • Со страницы деталей риска: панель Затронутые карточки → найти и добавить. Щёлкните ×, чтобы снять связь.
  • С любой страницы деталей карточки: новая вкладка Риски перечисляет каждый связанный с этой карточкой риск, с возвратом в реестр одним щелчком.

Матрица рисков

И обзор безопасности TurboLens, и страница Реестра рисков рендерят тепловую карту 4×4 вероятность × влияние. Ячейки кликабельны — щелчок по ячейке фильтрует список ниже на этот сегмент, повторный щелчок (или × на чипе) очищает фильтр. В Реестре рисков можно переключать матрицу между видами Начальная и Остаточная, чтобы прогресс смягчения был виден визуально.

Рабочий процесс статусов

Страница деталей всегда показывает одну основную кнопку Следующий шаг плюс небольшой ряд боковых действий, так что последовательный путь очевиден, а governance-выходы остаются в одном клике:

Текущее состояние Следующий шаг (основная кнопка) Боковые действия
identified Начать анализ Принять риск
analysed Запланировать смягчение Принять риск
mitigation_planned Начать смягчение Принять риск
in_progress Пометить смягчённым Принять риск
mitigated Начать мониторинг Возобновить смягчение · Закрыть без мониторинга
monitoring Закрыть Возобновить смягчение · Принять риск
accepted Переоткрыть · Закрыть
closed Переоткрыть

Полный граф переходов (принудительно со стороны сервера):

identified → analysed → mitigation_planned → in_progress → mitigated → monitoring → closed
       │           │             │                │            ▲           ▲
       └───────────┴─────────────┴────────────────┴──── accepted (требуется обоснование)
                                                              │
                              reopen → in_progress ◄──────────┘
  • Принятие риска требует обоснования. Пользователь, метка времени и обоснование фиксируются в записи.
  • Переоткрытие риска accepted / closed возвращает его в in_progress. Из mitigated также доступен ручной «Возобновить смягчение», не требующий полного переоткрытия.

Разрешения

Разрешение Кому выдаётся по умолчанию
risks.view admin, bpm_admin, member, viewer
risks.manage admin, bpm_admin, member

Viewers могут видеть реестр и риски на карточках, но не могут создавать, редактировать или удалять.