Что является объектом экономического риска технические системы

Что является объектом экономического риска технические системы

ГОСТ Р 51901.1-2002*
___________________
* Обозначение стандарта изменено
в соответствии с текстом поправки.
— Примечание изготовителя базы данных.

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Анализ риска технологических систем

Risk management.
Risk analysis of technological systems

Дата введения 2003-09-01

1 РАЗРАБОТАН Научно-исследовательским институтом контроля и диагностики технических систем (АО НИЦ КД)

ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Основополагающие общетехнические стандарты. Оценка эффективности и управление рисками»

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 7 июня 2002 г. N 236-ст

ВНЕСЕНА поправка, опубликованная в ИУС N 8, 2005 год

Поправка внесена изготовителем базы данных

Введение

Процесс управления риском охватывает различные аспекты работы с риском, от идентификации и анализа риска до оценки его допустимости и определения потенциальных возможностей снижения риска посредством выбора, реализации и контроля соответствующих управляющих действий.

Анализ риска представляет собой структурированный процесс, целью которого является определение как вероятности, так и размеров неблагоприятных последствий исследуемого действия, объекта или системы. В настоящем стандарте в качестве неблагоприятных последствий рассматривается вред, наносимый людям, имуществу или окружающей среде.

Посредством проведения анализа риска предпринимаются попытки ответить на три основных вопроса:

что может выйти из строя (идентификация опасности);

с какой вероятностью это может произойти (анализ частоты);

каковы последствия этого события (анализ последствий).

Настоящий стандарт отражает современный практический опыт, накопленный в области выбора и применения методов анализа риска.

Настоящий стандарт носит общий характер, он применим для многих отраслей и типов технических систем. Для конкретных отраслей могут существовать стандарты, которые устанавливают методологии оценки и анализа риска для определенных областей применения. Если требования этих стандартов не хуже требований настоящего стандарта, то их применение является предпочтительным.

Настоящий стандарт охватывает лишь часть вопросов по оценке и анализу риска. Действия по оценке риска и управлению рисками являются предметом других стандартов. Настоящий стандарт основан на концепциях, установленных в документах [1]-[3], приведенных в библиографии, и других стандартах. Существуют многочисленные примеры ситуаций, когда данные документы не являются в полной мере совместимыми, либо когда они применимы в отдельной отрасли. В таких случаях может использоваться либо один из имеющихся в настоящем стандарте подходов, либо подход более общего характера.

1 Область применения

Настоящий стандарт устанавливает руководящие указания по выбору и реализации методов анализа риска, главным образом для оценки риска технологических систем. Целью настоящего стандарта является обеспечение качества при планировании и выполнении анализа риска, а также установление рекомендаций по представлению полученных результатов и выводов.

Руководящие указания настоящего стандарта включают: концепции анализа риска, процесс анализа риска, методы анализа риска.

Настоящий стандарт применим в качестве:

— руководства по планированию, выполнению и документальному обоснованию анализа риска;

— основы для назначения требований к качеству анализа риска (особенно в тех случаях, когда анализ риска проводится сторонними консультантами);

— основы для оценки проведенного анализа риска.

Анализ риска, осуществляемый в соответствии с настоящим стандартом, является элементом управления риском.

2 Определения

В настоящем стандарте применяются следующие термины с соответствующими определениями:

2.1 вред (harm): Физический ущерб или урон здоровью, имуществу или окружающей среде.

2.2 опасность (hazard): Источник потенциального вреда или ситуация с потенциальной возможностью нанесения вреда.

2.3 опасное событие (hazardous event): Событие, которое может причинить вред.

2.4 идентификация опасности (hazard identification): Процесс осознания того, что опасность существует, и определения ее характерных черт.

2.5 риск (risk): Сочетание вероятности события и его последствий.

2.6 анализ риска (risk analysis): Систематическое использование информации для определения источников и количественной оценки риска.

2.7 оценка риска (risk assessment): Общий процесс анализа риска и оценивания риска. (см. рисунок 1)

2.8 управление риском (risk control): Действия, осуществляемые для выполнения решений в рамках менеджмента рисков.

2.9 оценка величины риска (risk estimation): Процесс присвоения значений вероятности и последствий риска.

2.10 оценивание риска (risk evaluation): Процесс сравнения оцененного риска с данными критериями риска с целью определения значимости риска.

2.11 менеджмент риска (risk management): Скоординированные действия по руководству и управлению организацией в отношении рисков.

2.12 система (system): Составной объект любого уровня сложности, который может включать персонал, процедуры, материалы, инструменты, оборудование, средства обслуживания, программное обеспечение.

3 Концепции анализа риска

3.1 Цель и основные концепции анализа риска

Риск присутствует в любой деятельности человека. Он может относиться к здоровью и безопасности (учитывая, например, как немедленные, так и долгосрочные последствия для здоровья от воздействия токсичных химических продуктов). Риск может быть экономическим, например, приводящим к уничтожению оборудования и продукции вследствие пожаров, взрывов или других аварий. Он может учитывать неблагоприятные воздействия на окружающую среду. Задачей управления рисками является контроль, предотвращение или сокращение гибели людей, снижение заболеваемости, снижение ущерба, урона имуществу и логически вытекающих потерь, а также предотвращение неблагоприятного воздействия на окружающую среду.

Для повышения эффективности управления рисками необходимо проводить предварительный анализ риска, включающий:

а) идентификацию риска и определение подходов к решению связанных с ним проблем;

б) использование объективной информации при принятии решений;

в) удовлетворение регламентированных требований к риску.

Результаты анализа риска могут использоваться специалистом, принимающим решение при оценке допустимости риска, а также при выборе между потенциальными мерами по снижению или устранению риска. С точки зрения специалиста, принимающего решение, к основным достоинствам анализа риска относятся:

а) систематическая идентификация потенциальных опасностей;

б) систематическая идентификация возможных видов отказов;

в) количественные оценки или ранжирование рисков;

г) оценка надежности возможных модификаций системы для снижения риска и достижения предпочтительных уровней ее надежности;

д) выявление факторов, обусловливающих риск, и слабых звеньев в системе;

е) более глубокое понимание устройства и функционирования системы;

ж) сопоставление риска исследуемой системы с рисками альтернативных систем или технологий;

и) идентификация и сопоставление рисков и неопределенностей;

к) помощь в установлении приоритетов при совершенствовании санитарных требований и норм;

л) формирование базы для рациональной организации профилактического обслуживания, ремонта и контроля;

м) обеспечение возможности поставарийного расследования и мер по предупреждению аварий;

н) возможность выбора мер и приемов по обеспечению снижения риска.

Все эти факторы играют важную роль в эффективном управлении рисками независимо от того, какие задачи рассматриваются (охрана здоровья, безопасность, предотвращение экономических потерь, обеспечение выполнения требований постановлений правительства и т.п.).

Анализ может охватывать такие области специальных знаний, как:

а) системный анализ;

б) вероятность и статистика;

г) физические, химические или биологические науки;

д) медицинские науки, в том числе токсикология и эпидемиология;

е) общественные науки, в том числе экономика, психология и социология;

ж) влияние человеческого фактора, эргономика и наука управления.

3.2 Управление рисками и распределение рисков по категориям

Анализ риска является частью оценки риска и процесса управления риском, показанного на рисунке 1, и состоит из определения области применения, идентификации опасности и оценки величины риска.

Опасности могут быть отнесены к следующим четырем основным категориям:

а) природные опасности (наводнения, землетрясения, ураганы, молния и т.д.);

б) технические опасности, источниками которых являются промышленное оборудование, сооружения, транспортные системы, потребительская продукция, пестициды, гербициды, фармацевтические препараты и т.п.;

в) социальные опасности, источниками которых являются вооруженное нападение, война, диверсия, инфекционное заболевание и т.д.;

Источник

Что является объектом экономического риска технические системы

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Управление технико-производственными рисками промышленного предприятия

Risk management. Management of technical and production risks of industrial enterprises

Дата введения 2021-08-01

Предисловие

1 РАЗРАБОТАН Ассоциацией риск-менеджмента «Русское общество управления рисками» (РусРиск)

2 ВНЕСЕН Научно-техническим управлением Федерального агентства по техническому регулированию и метрологии

Введение

Настоящий стандарт предназначен для систематизации применения методологических инструментов в процессе управления рисками промышленного предприятия, относящимися непосредственно к производственному процессу.

Существует большое количество национальных и международных стандартов, описывающих различные аспекты управления технико-производственными рисками в различных отраслях и видах производства. Как правило, большинство из них являются узкоспециализированными и не ставят своей целью задать единый рамочный процесс управления. Такие стандарты обычно фокусируются либо на конкретном виде оборудования или отрасли (например, ГОСТ Р 55846), либо отдельном типе рисков (например, риски надежности оборудования в ГОСТ Р 51901.3 или безопасности в ГОСТ 12.0.230.5).

С другой стороны, есть ряд стандартов (например, ГОСТ Р ИСО 31000), описывающих управление рисками в целом. При применении таких стандартов к условиям конкретного производственного предприятия возможна избыточная трата ресурсов на разработку и внедрение уже существующих методик и инструментов, а также риск их недостаточной эффективности по сравнению с уже существующими лучшими практиками.

Настоящий стандарт разработан с целью оказания содействия при применении требований различных стандартов, относящихся к области менеджмента риска.

Настоящий стандарт разработан на основе практического опыта применения стандартов, касающихся риск-ориентированного управления организацией (особенно ГОСТ Р ИСО 31000), и отражает специфику управления рисками на промышленных предприятиях различной направленности.

1 Область применения

Настоящий стандарт предназначен для систематизации применения методологических инструментов в процессе управления технико-производственными рисками промышленного предприятия.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 12.0.230.5 Система стандартов безопасности труда. Системы управления охраной труда. Методы оценки риска для обеспечения безопасности выполнения работ

ГОСТ Р 51901.3 (МЭК 60300-2:2004) Менеджмент риска. Руководство по менеджменту надежности

ГОСТ Р 51901.11 (МЭК 61882:2001) Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство

ГОСТ Р 51901.16 (МЭК 61164:2004) Менеджмент риска. Повышение надежности. Статистические критерии и методы оценки

ГОСТ Р 55234.3 Практические аспекты менеджмента риска. Процедуры проверки и технического обслуживания оборудования на основе риска

ГОСТ Р 55846 Воздушный транспорт. Система менеджмента безопасности авиационной деятельности. Приемлемый риск. Принципы и методы определения приемлемого риска для государства и поставщиков обслуживания

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р ИСО 17776 Нефтяная и газовая промышленность. Морские добычные установки. Способы и методы идентификации опасностей и оценки риска. Основные положения

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 технико-производственный риск: Риск, возникающий в рамках производственного процесса и влияющий на его результат (потенциально отклоняющий его выше допустимого уровня вариативности).

Источник

Что является объектом экономического риска технические системы

ГОСТ Р 27.011-2019
(IEC/TR 63039:2016)

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Надежность в технике

ВЕРОЯТНОСТНЫЙ АНАЛИЗ РИСКА ТЕХНИЧЕСКИХ СИСТЕМ

Оценка интенсивности конечного события для заданного исходного состояния

Dependability in technics. Probablistic risk analysis of technological systems. Estimation of final event rate at a given initial state

ОКС 03.120.01, 03.120.30

Дата введения 2020-07-01

Предисловие

1 ПОДГОТОВЛЕН Закрытым акционерным обществом «Научно-исследовательский центр контроля и диагностики технических систем» (ЗАО «НИЦ КД») на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 119 «Надежность в технике»

Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

Сведения о соответствии ссылочных национальных стандартов международным стандартам, использованным в качестве ссылочных в примененном международном документе, приведены в дополнительном приложении ДА

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт определяет основные свойства событий с точки зрения вероятностного анализа риска и использования связанных с надежностью методов анализа возникновения конечного события, переводящего объект в конечное состояние, в котором могут появиться конечные последствия риска (см. 3.1.1, 3.1.10 и 3.1.17).

Методы, применяемые для анализа риска, такие как контрольные перечни, анализ что/если, исследование опасности и работоспособность (HAZOP), анализ дерева событий (ЕТА), анализ дерева неисправностей (FTA) первоначально были разработаны для анализа безопасности систем и затем были глубоко проработаны для анализа надежности и безопасности систем [1], [2], ГОСТ Р 27.012, ГОСТ Р МЭК 61165, ГОСТ Р 27.302, ГОСТ Р МЭК 62502. Аналитические методы, описанные в ГОСТ Р 27.302, ГОСТ Р МЭК 61165, ГОСТ Р МЭК 62502 четко установлены и систематизированы применительно к анализу надежности. Однако необходимо учитывать, что существуют значительные различия между анализом надежности и вероятностным анализом риска.

Во-первых, такие состояния объекта как работоспособное и неработоспособное, рабочее и нерабочее, а также события отказа и восстановления, как правило, рассматривают с позиции анализа надежности [1], ГОСТ Р 27.010. Вероятностный анализ риска часто связан не только с аспектами состояний и событий, которые влияют на работоспособное и неработоспособное состояния, но также с состояниями наличия запроса и его отсутствия, с начальными, промежуточными и конечными состояниями, а также с такими дополнительными событиями как запрос, завершение, окончание и возобновление запроса (см. 3.1.3, 3.1.8, 3.1.10, 3.1.11, 3.1.17 и 3.1.20).

Во-вторых, при вероятностном анализе риска учитывают тип конечного события, поскольку существующие в системе зависимости часто определяют появление конечного события. А именно, в вероятностном анализе риска конечные события делят на повторяемые и неповторяемые (см. 3.1.18 и 3.1.19). Кроме того, часто необходимо учитывать последовательность появления событий, поскольку часто появление конечного события является следствием определенной последовательности событий (см. 7.2, 9.2, 9.3 и 9.4).

Количественными показателями, применяемыми при анализе надежности, обычно являются интенсивность отказов, частота отказов, интенсивность восстановлений и другие показатели безотказности, готовности и ремонтопригодности объекта. При анализе риска должны быть проанализированы не только эти показатели, но и дополнительные показатели, такие как интенсивность и частота таких событий как запрос, завершение и возобновление запроса, а также время воздействия или экспозиция риска (см. 3.1.30).

При проведении количественного анализа риска интенсивность и частоту событий обычно используют в качестве целевых показателей появления конечного события (см., например, приложение В). В настоящем стандарте в качестве целевых показателей появления конечного события рассмотрены частота конечного события (FEF), средняя FEF, интенсивность конечного события (FER) для заданного начального состояния и FEF для заданного начального состояния (см. 3.1.21, 3.1.22, 3.1.25 и 3.1.26).

Такие показатели как FEF для заданного начального состояния являются новыми для вероятностного анализа риска и значительно отличаются от показателей традиционного анализа надежности, упомянутых выше, поскольку такие переменные, как интенсивность запросов и завершения запросов и их частота, а также экспозиция риска, которую не рассматривают в традиционном анализе надежности, обычно не являются целевыми показателями надежности. Поэтому эти новые показатели должны быть определены, а соответствующие методы модифицированы применительно к вероятностному анализу риска.

Кроме того, при анализе риска сложных систем часто дополнительно применяют такие аналитические методы как HAZOP, FMEA, RBD, FTA и марковских методов. В настоящем стандарте показано, как сформировать эти модифицированные методы, чтобы извлечь максимальную пользу при их применении в вероятностном анализе риска.

Таким образом в настоящем стандарте определены целевые показатели появления конечного события в виде FER для заданного начального состояния, FER для заданного состояния и FER для заданной группы состояний при проведении вероятностного анализа риска и даны рекомендации по применению модифицированных методов в дополнение к анализу этих целевых показателей на примере анализа риска атомной электростанции, подушек безопасности автомобиля, систем автоматического торможения и рулевого управления в автомобиле, систем с распознаванием отказа только при запросе, а также рекомендации по применению настоящего стандарта в области функциональной безопасности.

Считается, что вероятностный анализ риска является более сложным, чем анализ надежности. Однако в настоящем стандарте приведен более простой и реалистичный подход проведения вероятностного анализа риска (по сравнению с традиционными подходами), что позволяет более просто проводить анализ риска сложных систем (см. таблицу 1; раздел 6; 9.1, 9.2, 9.5, А.5 и В.3).

В настоящем стандарте ссылки на международные стандарты заменены ссылками на национальные стандарты.

1 Область применения

Настоящий стандарт включает следующие аспекты анализа риска:

— определение основных терминов и понятий;

— установление типов событий;

— классификация возникновения событий;

— описание использования модифицированных обозначений и методов графического представления для ETA, FTA и марковских методов при применении модифицированных методов к сложным системам;

— предполагаемые способы обработки частоты/интенсивности событий для сложных систем;

— предполагаемые способы определения оценок частоты/интенсивности событий на основе мониторинга риска;

— иллюстративные и практические примеры.

Взаимосвязь событий, рассматриваемых в настоящем стандарте с соответствующими рисками, описана в таблице 1. Риск определяют как влияние неопределенности на достижение цели (см. 3.1.1). Здесь предполагается, что неопределенность состоит из двух составляющих: эпистемической и случайной. Эпистемическая составляющая может быть известной и неизвестной, а влияние случайной составляющей может быть контролируемым и неконтролируемым соответственно. Таким образом, риск, соответствующий известному событию, влияние которого является контролируемым, представляет собой контролируемый риск, а риск, соответствующий известному событию, влияние которого является не контролируемым, представляет собой неконтролируемый риск определенной последовательности событий. Контролируемый мета-риск соответствует неизвестному событию, влияние которого может быть случайным контролируемым (если это событие возникает), а неконтролируемый мета-риск соответствует неизвестному событию, влияние которого не является контролируемым.

Например, риски, возникающие в результате случайных отказов аппаратных средств электротехнических объектов, могут быть отнесены к контролируемым или неконтролируемым рискам, в то же время риски, связанные с программными ошибками, могут быть отнесены к контролируемым или неконтролируемым мета-рискам. В настоящем стандарте рассмотрены контролируемые и неконтролируемые риски, возникающие в результате событий, появление которых предполагается случайным и не зависящими от времени (см. раздел 6; 9.1, 9.2, 9.5 и В.3).

Источник

Методика оценки рисков информационной безопасности

Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.

На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?

Количественный метод

Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.

При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.

Как провести количественную оценку рисков?

1. Определить ценность информационных активов в денежном выражении.

2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.

Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».

3. Определить вероятность реализации каждой из угроз ИБ.

Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).

4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).

Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.

5. Провести анализ полученных данных по ущербу для каждой угрозы.

По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.

Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.

Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.

Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.

В результате количественной оценки рисков должны быть определены:

Количественный анализ рисков информационной безопасности (пример)

Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.

Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.

Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.

Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.

Качественный метод

К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.

При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.

Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.

Как провести качественную оценку рисков:

1. Определить ценность информационных активов.

Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.

2. Определить вероятность реализации угрозы по отношению к информационному активу.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).

3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.

Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.

4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.

Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.

5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.

Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.

6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.

Какой метод выбрать?

Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.

Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.

Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.

Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.

Разработайте политику безопасности, проверьте защищенность сети, определите угрозы

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник