Transcript Методи за оценка на риска - E-DNRS

Анализ на риска
Доц. д-р Димитър Димитров
Ръководител Катедра “Национална и
регионална сигурност” УНСС
www.e-dnrs.org
Активи - Определение
• Нещо ценно, което изисква защита.
Ценността може за бъде измервана с
парични или непарични измерители.
Активите включват:
• Хардуер – компютри, терминали, сървъри,
принтери, скенери, комуникации, дискове и
др.
• Софтуер
• Хора, в т.ч. Персонал
•
Клиенти
•
Доставчици
•
Посетители
• Сгради
• Съоръжения
Активите включват: продължение
• Инфраструктура
• Репутация, имидж
• Данни (информация) – на носител,
онлайн, резервни копия
• Документи
• Друга собственост на фирмата
• Околната среда
• Заплаха – Дейност, носител (агент) или
ситуация (умишлена, неумишлена или с
природен характер) с определен потенциал
да причини щети (загуби) на дейност, процес,
мисия, активи, персонал, околна среда.
• Уязвимост – Слабо място или пролука в
системата или елементи на системата, което
може да позволи причиняването на щети на
дейност, процес, мисия, активи, персонал,
околна среда (т.е. ахилесова пета)
Видове заплахи
• В зависимост от посоката, от която
идват – вътрешни и външни
• По произход – с бележката, че някои
от се припокриват, могат да са
взаимнозависими и взаимосвързани
• Мерките също могат да се препокриват,
имат комплексен характер
Заплахи: По произход
•
•
•
•
•
•
•
•
•
Природни
Лошо време
Силен вятър, дъжд, студ, жега
Земетресения
Урагани
Цунами
Градушки
Сняг
Поледица
•
•
•
•
•
•
•
•
•
Свлачища
Наводнения
Горски и полски пожари
Паразити
Заразни болести
Епидемии
Светкавици
Мъгла
Кучета, други диви животни
Техногенни
•
•
•
•
•
•
•
•
•
•
Обгазяване, задимяване
Химикали, отрови
Други замърсявания, разливи
Пожари
Срутвания
Свлачища
Опасна работна среда
Радиация
Опасни ремонтни работи
Спиране на ток, вода, електричество, телефони,
отопление
• Проблеми с охлаждане/загряване
• Транспортни инциденти
Социални заплахи
•
•
•
•
•
•
•
•
•
•
Бунтове, блокади
Стачки
Протести
Въстания
Насилие на работното място и около него
Висока престъпност
Корупция
Сексуално насилие
Дискриминация
Рекет
Военно- политически,
етнически и религиозни
•
•
•
•
Война
Въоръжени конфликти
Бежанци
Шпионаж
Медии
• Вестници, радио, телевизии,
фотографи, репортери, Интернет медии
Тероризъм
•
•
•
•
•
•
•
•
Бомби
Заплахи
Отвличания
Проникване
Убийства
Зарази
Замърсяване
Откупи
Престъпни икономически
заплахи
• Кражби на ценности
• Измами – на банки, на клиенти
• Подправяне на документи – фалшиви пари, фактури,
болнични
• Подкупи
• Неотчитане на оборота
• Продажба на информация
• Кражба на интелектуална собственост (планове,
чертежи, прототипи, софтуер, други авторски
произведения)
• Икономически шпионаж
• Черен PR
Заплахи, свързани с
използването на компютърни,
информационни и
комуникационни технологии
•
•
•
•
•
•
Вируси
Троянски коне
Хакери, кракери
Атаки
Спам
Сривове в системата – Интернет, бази данни,
комуникации
•
•
•
•
Липса на резервни копия
Социално инженерство
Кражба на компютърна идентичност
Неоторизиран достъп с всички
последици
• Заглушаване
• Подслушване
• Наблюдение
Човешки фактор
•
•
•
•
•
•
•
•
•
•
•
Недобросъвестни клиенти и служители
Лошо обучение, лош подбор
Грешки в изпълнението на работните операции
Лоша поддръжка
Безгрижност
Лоша хигиена
Самонадеяност
Любопитство
Апатия
Битови инциденти и заболявания
Неспазване на процедурите за сигурност ( пароли,
достъп, идентификация, охрана и други)
•
•
•
•
Кражба на идентичност или фалшива идентичност
Кражба на квалифициран персонал
Лош анализ и оценка на риска
Липса на система за докладване и идентификация на
заплахите
• Липса на политики и процедури
• Неадекватно поведение в резултат на употреба на
лекарства, наркотици, алкохол, психични проблеми,
нетрадиционно сексуално поведение,
пристрастяване към хазарт, семейни проблеми и
други, които дават възможност за изнудване
Риск
• Рискът е функция на Заплахата,
Вероятността за сбъдване,
Уязвимостта, Въздействието
Въздействие
• Икономическата оценка на
въздействието е равна на:
• Разходите по временното
заместване,плюс
• Разходите за постоянна замяна, плюс
• Разходи от пропуснати ползи, плюс
• Други разходи
• минус Застраховката
Бележки по риска
•
•
•
•
•
•
•
•
•
Има различни видове риск
В зависимост от заплахата
Количествен и качествен риск
Различни методи за оценка на риска
Различни методи за изчисляване на вероятности
Проблеми при измерването на въздействието
върху конкретния актив
върху корпорацията
върху заобикалящата я среда Пример с цистерна нафта без
контрол на достъпа
• Заплахата – как се изчислява силата на заплахата, какъв
потенциал и възможности има за осъществяване на тази
заплаха
• Информацията при анализа на риска понякога се променя
много бърза – нови вируси, пробиви, тероризъм и други
Определение за риск
• Разликата между настоящото
състояние и 100 %-вата сигурност
Как се извършва оценката
на риска
•
•
•
•
•
•
Въпросници
Интервюта
Писмени анализи
Историческа информация
Посещения на място
Съответствие с поставени стандарти и
нормативна уредба
Особености при оценката
•
•
•
•
Нужда от добра експертиза
Нужда от надеждна информация
Разходи по оценката
Комплексност и системност
Кой извършва анализа и
оценката на риска
• На практика всички
• Висшето ръководство (политика, процедури,
заповеди, разпореждания, контрол, реакция,
включване, разпределение на отговорностите)
• Вътрешни експерти
• Външни експерти
• Персонала
• Проучвания сред клиентите и партньорите
• При особени случаи (например класифицирана
информация) - специализирани държавни органи –
ДКСИ, ДАНС
Ключови регулации
(нормативна уредба)
• Свързана с охраната и безопасността на
труда
• Противопожарна безопасност
• Кодекс на труда
• Свързана с опазването на околната среда и
водите
• Транспортни регулации
• Сеизмични изисквания
• Държавни Изисквания за защита на
информацията (ЗЗКИ)
• Корпоративна политика и правила
Ключови регулации
(нормативна уредба)
• Изисквания към сградите
• Банкова сигурност – офиси, печатане на
пари, анализ на риска- специална уредба
• Свързана с охранителната дейност
• Стандарти ИСО 9001-2000 и ИСО 17799
• Закон за контрол над взривните вещества,
огнестрелните оръжия и боеприпасите
• Друга релевантна нормативна уредба
Методи за оценка на риска
•
•
•
•
Матрица на риска
Сценарийно планиране - ШЕЛ
Изследване на опасностите HAZOP
Анализ на дървото на грешките/отказите
(може и графично представяне)
• Експертни оценки
• Конкретната величина на оценката на риска
предопределя и начина за защита
Методически насоки за управление на риска на корпорацията
(анализ, оценка и мерки за намаляване на риска при
корпоративната сигурност) при физическата сигурност
1. Изброяват се всички видове активи в
таблична форма
2. Разглеждат се всички видове заплахи и
вероятностите за тяхното сбъдване
3. Прави се оценка за уязвимостта на активите
4. Прави се оценка на въздействието
5. Прави се оценка на риска по активи. Количествена (доста сложно) и качествена по
определена скала – висок, среден и нисък
риск
Методически насоки за управление на риска на корпорацията
(анализ, оценка и мерки за намаляване на риска при
корпоративната сигурност) при физическата сигурност
Така получените оценки на риска за отделните активи
са динамични, те могат да се променят в зависимост
от нова информация за заплахите.Затова при
постъпване на нова информация, правителствени
предупреждения или периодично при прегледи тези
оценки могат да се променят.
6. Идентификация на активите с висок риск и с
критичен характер за нашата корпорация (фирма)
7. Мерки за намаляване на риска – анализ Разходи ползи
• За да се избегнат грешки, в някои
области са изготвени предварително
зададени нива на риска и съответно
мерки за защита. Например в банковите
офиси, противопожарната охрана,
правителствени сгради, банките,
ядрената енергетика, други опасни
производства
Анализ “разходи ползи” –
основни стъпки
• Организация на анализа и подбор на експерти
• Определяне на целите на анализа, допусканията и
ограниченията. Определяне на критерии за избор.
Документиране на алтернативите
• Определяне на разходите по алтернативи
• Определяне на ползите по алтернативи
• Съпоставяне на разходи и ползи
• Анализ на чувствителността и неопределеността
• Оценка и ранжиране на алтернативите. Избор на
алтернатива.
• Документиране на анализа и проверка за валидност
на резултатите
Необходима е и известна доза творчество при
прилагането на анализа
Методически насоки за управление на риска на
корпорацията (анализ, оценка и мерки за
намаляване на риска при корпоративната
сигурност) при персоналната сигурност
1. Изброяват се всички длъжности + имената на
целият персонал + съвети, бордове, комисии,
временни заместници, стажанти+ техните функции и
роли + клиенти, доставчици, посетители, наематели,
обслужващ персонал (фирмен и външен) – техници,
монтьори, чистачки, общи работници, пощальони,
куриери, шофьори и др.
2. Разглеждат се всички видове релевантни заплахи ,
които могат да произтекат от персонала
По важни от тях са: извършване на икономически
престъпления, разкриване на информация, насилие,
тероризъм (Най-общо това са заплахи със
социален характер и дължащи се на човешкия
фактор)
продължение
3. Прави се оценка на уязвимостта ( образно
казано кои са най-близo до кацата с меда)
4. Прави се оценка на въздействието
5. Прави се оценка на риска (висок, среден,
нисък) Тези оценки са динамични и
подлежат на промени
6. Идентифицираме длъжностите и хората с
най- висок риск за корпорацията и с
критичен характер.
7. Мерки за намаляване на риска (анализ
“Разходи – ползи”)
Анализ “разходи ползи” –
основни стъпки
1. Организация на анализа и подбор на експерти
2. Определяне на целите на анализа, допусканията
и ограниченията. Определяне на критерии за
избор. Документиране на алтернативите
3. Определяне на разходите по алтернативи
4. Определяне на ползите по алтернативи
5. Съпоставяне на разходи и ползи
6. Анализ на чувствителността и неопределеността
7. Оценка и ранжиране на алтернативите. Избор на
алтернатива.
8. Документиране на анализа и проверка за
валидност на резултатите