1 / 36

Анализ на риска

Анализ на риска. Проф. д-р Димитър Димитров Ръководител Катедра “Национална и регионална сигурност” УНСС www.e-dnrs.org. Активи - Определение. Нещо ценно, което изисква защита. Ценността може за бъде измервана с парични или непарични измерители. Активите включват:.

arwen
Download Presentation

Анализ на риска

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Анализ на риска Проф. д-р Димитър Димитров Ръководител Катедра “Национална и регионална сигурност” УНСС www.e-dnrs.org

  2. Активи - Определение • Нещо ценно, което изисква защита. Ценността може за бъде измервана с парични или непарични измерители.

  3. Активите включват: • Хардуер – компютри, терминали, сървъри, принтери, скенери, комуникации, дискове и др. • Софтуер • Хора, в т.ч. Персонал • Клиенти • Доставчици • Посетители • Сгради • Съоръжения

  4. Активите включват: продължение • Инфраструктура • Репутация, имидж • Данни (информация) – на носител, онлайн, резервни копия • Документи • Друга собственост на фирмата • Околната среда

  5. Заплаха – Дейност, носител (агент) или ситуация (умишлена, неумишлена или с природен характер) с определен потенциал да причини щети (загуби) на дейност, процес, мисия, активи, персонал, околна среда. • Уязвимост – Слабо място или пролука в системата или елементи на системата, което може да позволи причиняването на щети на дейност, процес, мисия, активи, персонал, околна среда (т.е. ахилесова пета)

  6. Видове заплахи • В зависимост от посоката, от която идват – вътрешни и външни • По произход – с бележката, че някои от се припокриват, могат да са взаимнозависими и взаимосвързани

  7. Мерките също могат да се препокриват, имат комплексен характер

  8. Заплахи: По произход • Природни • Лошо време • Силен вятър, дъжд, студ, жега • Земетресения • Урагани • Цунами • Градушки • Сняг • Поледица

  9. Свлачища • Наводнения • Горски и полски пожари • Паразити • Заразни болести • Епидемии • Светкавици • Мъгла • Кучета, други диви животни

  10. Техногенни • Обгазяване, задимяване • Химикали, отрови • Други замърсявания, разливи • Пожари • Срутвания • Свлачища • Опасна работна среда • Радиация • Опасни ремонтни работи • Спиране на ток, вода, електричество, телефони, отопление • Проблеми с охлаждане/загряване • Транспортни инциденти

  11. Социални заплахи • Бунтове, блокади • Стачки • Протести • Въстания • Насилие на работното място и около него • Висока престъпност • Корупция • Сексуално насилие • Дискриминация • Рекет

  12. Военно- политически, етнически и религиозни • Война • Въоръжени конфликти • Бежанци • Шпионаж

  13. Медии • Вестници, радио, телевизии, фотографи, репортери, Интернет медии

  14. Тероризъм • Бомби • Заплахи • Отвличания • Проникване • Убийства • Зарази • Замърсяване • Откупи

  15. Престъпни икономически заплахи • Кражби на ценности • Измами – на банки, на клиенти • Подправяне на документи – фалшиви пари, фактури, болнични • Подкупи • Неотчитане на оборота • Продажба на информация • Кражба на интелектуална собственост (планове, чертежи, прототипи, софтуер, други авторски произведения) • Икономически шпионаж • Черен PR

  16. Заплахи, свързани с използването на компютърни, информационни и комуникационни технологии • Вируси • Троянски коне • Хакери, кракери • Атаки • Спам • Сривове в системата – Интернет, бази данни, комуникации

  17. Липса на резервни копия • Социално инженерство • Кражба на компютърна идентичност • Неоторизиран достъп с всички последици • Заглушаване • Подслушване • Наблюдение

  18. Човешки фактор • Недобросъвестни клиенти и служители • Лошо обучение, лош подбор • Грешки в изпълнението на работните операции • Лоша поддръжка • Безгрижност • Лоша хигиена • Самонадеяност • Любопитство • Апатия • Битови инциденти и заболявания • Неспазване на процедурите за сигурност ( пароли, достъп, идентификация, охрана и други)

  19. Кражба на идентичност или фалшива идентичност • Кражба на квалифициран персонал • Лош анализ и оценка на риска • Липса на система за докладване и идентификация на заплахите • Липса на политики и процедури • Неадекватно поведение в резултат на употреба на лекарства, наркотици, алкохол, психични проблеми, нетрадиционно сексуално поведение, пристрастяване към хазарт, семейни проблеми и други, които дават възможност за изнудване

  20. Риск • Рискът е функция на Заплахата, Вероятността за сбъдване, Уязвимостта, Въздействието

  21. Въздействие • Икономическата оценка на въздействието е равна на: • Разходите по временното заместване,плюс • Разходите за постоянна замяна, плюс • Разходи от пропуснати ползи, плюс • Други разходи • минус Застраховката

  22. Бележки по риска • Има различни видове риск • В зависимост от заплахата • Количествен и качествен риск • Различни методи за оценка на риска • Различни методи за изчисляване на вероятности • Проблеми при измерването на въздействието • върху конкретния актив • върху корпорацията • върху заобикалящата я среда Пример с цистерна нафта без контрол на достъпа • Заплахата – как се изчислява силата на заплахата, какъв потенциал и възможности има за осъществяване на тази заплаха • Информацията при анализа на риска понякога се променя много бърза – нови вируси, пробиви, тероризъм и други

  23. Определение за риск • Разликата между настоящото състояние и 100 %-вата сигурност

  24. Как се извършва оценката на риска • Въпросници • Интервюта • Писмени анализи • Историческа информация • Посещения на място • Съответствие с поставени стандарти и нормативна уредба

  25. Особености при оценката • Нужда от добра експертиза • Нужда от надеждна информация • Разходи по оценката • Комплексност и системност

  26. Кой извършва анализа и оценката на риска • На практика всички • Висшето ръководство (политика, процедури, заповеди, разпореждания, контрол, реакция, включване, разпределение на отговорностите) • Вътрешни експерти • Външни експерти • Персонала • Проучвания сред клиентите и партньорите • При особени случаи (например класифицирана информация) - специализирани държавни органи – ДКСИ, ДАНС

  27. Ключови регулации(нормативна уредба) • Свързана с охраната и безопасността на труда • Противопожарна безопасност • Кодекс на труда • Свързана с опазването на околната среда и водите • Транспортни регулации • Сеизмични изисквания • Държавни Изисквания за защита на информацията (ЗЗКИ) • Корпоративна политика и правила

  28. Ключови регулации(нормативна уредба) • Изисквания към сградите • Банкова сигурност – офиси, печатане на пари, анализ на риска- специална уредба • Свързана с охранителната дейност • Стандарти ИСО 9001-2000 и ИСО 17799 • Закон за контрол над взривните вещества, огнестрелните оръжия и боеприпасите • Друга релевантна нормативна уредба

  29. Методи за оценка на риска • Матрица на риска • Сценарийно планиране - ШЕЛ • Изследване на опасностите HAZOP • Анализ на дървото на грешките/отказите (може и графично представяне) • Експертни оценки • Конкретната величина на оценката на риска предопределя и начина за защита

  30. Методически насоки за управление на риска на корпорацията (анализ, оценка и мерки за намаляване на риска при корпоративната сигурност) при физическата сигурност • Изброяват се всички видове активи в таблична форма • Разглеждат се всички видове заплахи и вероятностите за тяхното сбъдване • Прави се оценка за уязвимостта на активите • Прави се оценка на въздействието • Прави се оценка на риска по активи. - Количествена (доста сложно) и качествена по определена скала – висок, среден и нисък риск

  31. Методически насоки за управление на риска на корпорацията (анализ, оценка и мерки за намаляване на риска при корпоративната сигурност) при физическата сигурност Така получените оценки на риска за отделните активи са динамични, те могат да се променят в зависимост от нова информация за заплахите.Затова при постъпване на нова информация, правителствени предупреждения или периодично при прегледи тези оценки могат да се променят. 6. Идентификация на активите с висок риск и с критичен характер за нашата корпорация (фирма) 7. Мерки за намаляване на риска – анализ Разходи - ползи

  32. За да се избегнат грешки, в някои области са изготвени предварително зададени нива на риска и съответно мерки за защита. Например в банковите офиси, противопожарната охрана, правителствени сгради, банките, ядрената енергетика, други опасни производства

  33. Анализ “разходи ползи” – основни стъпки • Организация на анализа и подбор на експерти • Определяне на целите на анализа, допусканията и ограниченията. Определяне на критерии за избор. Документиране на алтернативите • Определяне на разходите по алтернативи • Определяне на ползите по алтернативи • Съпоставяне на разходи и ползи • Анализ на чувствителността и неопределеността • Оценка и ранжиране на алтернативите. Избор на алтернатива. • Документиране на анализа и проверка за валидност на резултатите Необходима е и известна доза творчество при прилагането на анализа

  34. Методически насоки за управление на риска на корпорацията (анализ, оценка и мерки за намаляване на риска при корпоративната сигурност) при персоналната сигурност • Изброяват се всички длъжности + имената на целият персонал + съвети, бордове, комисии, временни заместници, стажанти+ техните функции и роли + клиенти, доставчици, посетители, наематели, обслужващ персонал (фирмен и външен) – техници, монтьори, чистачки, общи работници, пощальони, куриери, шофьори и др. • Разглеждат се всички видове релевантни заплахи , които могат да произтекат от персонала По важни от тях са: извършване на икономически престъпления, разкриване на информация, насилие, тероризъм (Най-общо това са заплахи със социален характер и дължащи се на човешкия фактор)

  35. продължение • Прави се оценка на уязвимостта ( образно казано кои са най-близo до кацата с меда) • Прави се оценка на въздействието • Прави се оценка на риска (висок, среден, нисък) Тези оценки са динамични и подлежат на промени • Идентифицираме длъжностите и хората с най- висок риск за корпорацията и с критичен характер. • Мерки за намаляване на риска (анализ “Разходи – ползи”)

  36. Анализ “разходи ползи” – основни стъпки • Организация на анализа и подбор на експерти • Определяне на целите на анализа, допусканията и ограниченията. Определяне на критерии за избор. Документиране на алтернативите • Определяне на разходите по алтернативи • Определяне на ползите по алтернативи • Съпоставяне на разходи и ползи • Анализ на чувствителността и неопределеността • Оценка и ранжиране на алтернативите. Избор на алтернатива. • Документиране на анализа и проверка за валидност на резултатите

More Related