Анализ на риска
Доц. д-р Димитър Димитров
Ръководител Катедра “Национална и регионална сигурност” УНСС
www.e-dnrs.org
Активи - Определение
• Нещо ценно, което изисква защита. Ценността може за бъде измервана с парични или непарични измерители.
Активите включват:
• Хардуер – компютри, терминали, сървъри, принтери, скенери, комуникации, дискове и др.
• Софтуер• Хора, в т.ч. Персонал• Клиенти• Доставчици• Посетители• Сгради• Съоръжения
Активите включват: продължение
• Инфраструктура• Репутация, имидж• Данни (информация) – на носител,
онлайн, резервни копия• Документи• Друга собственост на фирмата• Околната среда
• Заплаха – Дейност, носител (агент) или ситуация (умишлена, неумишлена или с природен характер) с определен потенциал да причини щети (загуби) на дейност, процес, мисия, активи, персонал, околна среда.
• Уязвимост – Слабо място или пролука в системата или елементи на системата, което може да позволи причиняването на щети на дейност, процес, мисия, активи, персонал, околна среда (т.е. ахилесова пета)
Видове заплахи
• В зависимост от посоката, от която идват – вътрешни и външни
• По произход – с бележката, че някои от се припокриват, могат да са взаимнозависими и взаимосвързани
• Мерките също могат да се препокриват, имат комплексен характер
Заплахи: По произход
• Природни • Лошо време• Силен вятър, дъжд, студ, жега• Земетресения• Урагани• Цунами• Градушки• Сняг• Поледица
• Свлачища• Наводнения• Горски и полски пожари• Паразити• Заразни болести• Епидемии• Светкавици• Мъгла• Кучета, други диви животни
Техногенни
• Обгазяване, задимяване• Химикали, отрови• Други замърсявания, разливи• Пожари• Срутвания• Свлачища• Опасна работна среда• Радиация• Опасни ремонтни работи• Спиране на ток, вода, електричество, телефони,
отопление• Проблеми с охлаждане/загряване• Транспортни инциденти
Социални заплахи
• Бунтове, блокади• Стачки• Протести• Въстания• Насилие на работното място и около него• Висока престъпност• Корупция• Сексуално насилие• Дискриминация• Рекет
Военно- политически, етнически и религиозни
• Война• Въоръжени конфликти• Бежанци• Шпионаж
Медии
• Вестници, радио, телевизии, фотографи, репортери, Интернет медии
Тероризъм
• Бомби• Заплахи• Отвличания• Проникване • Убийства• Зарази• Замърсяване• Откупи
Престъпни икономически заплахи
• Кражби на ценности• Измами – на банки, на клиенти• Подправяне на документи – фалшиви пари, фактури,
болнични• Подкупи• Неотчитане на оборота• Продажба на информация• Кражба на интелектуална собственост (планове,
чертежи, прототипи, софтуер, други авторски произведения)
• Икономически шпионаж• Черен PR
Заплахи, свързани с използването на компютърни,
информационни и комуникационни технологии
• Вируси• Троянски коне• Хакери, кракери• Атаки• Спам• Сривове в системата – Интернет, бази данни,
комуникации
• Липса на резервни копия• Социално инженерство• Кражба на компютърна идентичност• Неоторизиран достъп с всички
последици• Заглушаване• Подслушване• Наблюдение
Човешки фактор• Недобросъвестни клиенти и служители• Лошо обучение, лош подбор• Грешки в изпълнението на работните операции• Лоша поддръжка• Безгрижност• Лоша хигиена• Самонадеяност• Любопитство• Апатия• Битови инциденти и заболявания• Неспазване на процедурите за сигурност ( пароли,
достъп, идентификация, охрана и други)
• Кражба на идентичност или фалшива идентичност• Кражба на квалифициран персонал• Лош анализ и оценка на риска• Липса на система за докладване и идентификация на
заплахите• Липса на политики и процедури• Неадекватно поведение в резултат на употреба на
лекарства, наркотици, алкохол, психични проблеми, нетрадиционно сексуално поведение, пристрастяване към хазарт, семейни проблеми и други, които дават възможност за изнудване
Риск
• Рискът е функция на Заплахата, Вероятността за сбъдване, Уязвимостта, Въздействието
Въздействие
• Икономическата оценка на въздействието е равна на:
• Разходите по временното заместване,плюс
• Разходите за постоянна замяна, плюс• Разходи от пропуснати ползи, плюс• Други разходи• минус Застраховката
Бележки по риска
• Има различни видове риск• В зависимост от заплахата• Количествен и качествен риск• Различни методи за оценка на риска• Различни методи за изчисляване на вероятности• Проблеми при измерването на въздействието• върху конкретния актив• върху корпорацията• върху заобикалящата я среда Пример с цистерна нафта без
контрол на достъпа• Заплахата – как се изчислява силата на заплахата, какъв
потенциал и възможности има за осъществяване на тази заплаха
• Информацията при анализа на риска понякога се променя много бърза – нови вируси, пробиви, тероризъм и други
Определение за риск
• Разликата между настоящото състояние и 100 %-вата сигурност
Как се извършва оценката на риска
• Въпросници• Интервюта• Писмени анализи• Историческа информация• Посещения на място• Съответствие с поставени стандарти и
нормативна уредба
Особености при оценката
• Нужда от добра експертиза• Нужда от надеждна информация• Разходи по оценката• Комплексност и системност
Кой извършва анализа и оценката на риска
• На практика всички• Висшето ръководство (политика, процедури,
заповеди, разпореждания, контрол, реакция, включване, разпределение на отговорностите)
• Вътрешни експерти• Външни експерти• Персонала• Проучвания сред клиентите и партньорите• При особени случаи (например класифицирана
информация) - специализирани държавни органи – ДКСИ, ДАНС
Ключови регулации(нормативна уредба)
• Свързана с охраната и безопасността на труда
• Противопожарна безопасност• Кодекс на труда• Свързана с опазването на околната среда и
водите• Транспортни регулации• Сеизмични изисквания• Държавни Изисквания за защита на
информацията (ЗЗКИ)• Корпоративна политика и правила
Ключови регулации(нормативна уредба)
• Изисквания към сградите• Банкова сигурност – офиси, печатане на
пари, анализ на риска- специална уредба• Свързана с охранителната дейност• Стандарти ИСО 9001-2000 и ИСО 17799• Закон за контрол над взривните вещества,
огнестрелните оръжия и боеприпасите• Друга релевантна нормативна уредба
Методи за оценка на риска
• Матрица на риска• Сценарийно планиране - ШЕЛ• Изследване на опасностите HAZOP• Анализ на дървото на грешките/отказите
(може и графично представяне)• Експертни оценки• Конкретната величина на оценката на риска
предопределя и начина за защита
Методически насоки за управление на риска на корпорацията (анализ, оценка и мерки за намаляване на риска при
корпоративната сигурност) при физическата сигурност
1.Изброяват се всички видове активи в таблична форма
2.Разглеждат се всички видове заплахи и вероятностите за тяхното сбъдване
3.Прави се оценка за уязвимостта на активите4.Прави се оценка на въздействието5.Прави се оценка на риска по активи. -
Количествена (доста сложно) и качествена по определена скала – висок, среден и нисък риск
Методически насоки за управление на риска на корпорацията (анализ, оценка и мерки за намаляване на риска при
корпоративната сигурност) при физическата сигурност
Така получените оценки на риска за отделните активи са динамични, те могат да се променят в зависимост от нова информация за заплахите.Затова при постъпване на нова информация, правителствени предупреждения или периодично при прегледи тези оценки могат да се променят.
6. Идентификация на активите с висок риск и с критичен характер за нашата корпорация (фирма)
7. Мерки за намаляване на риска – анализ Разходи - ползи
• За да се избегнат грешки, в някои области са изготвени предварително зададени нива на риска и съответно мерки за защита. Например в банковите офиси, противопожарната охрана, правителствени сгради, банките, ядрената енергетика, други опасни производства
Анализ “разходи ползи” – основни стъпки
• Организация на анализа и подбор на експерти• Определяне на целите на анализа, допусканията и
ограниченията. Определяне на критерии за избор. Документиране на алтернативите
• Определяне на разходите по алтернативи• Определяне на ползите по алтернативи• Съпоставяне на разходи и ползи• Анализ на чувствителността и неопределеността• Оценка и ранжиране на алтернативите. Избор на
алтернатива.• Документиране на анализа и проверка за валидност
на резултатитеНеобходима е и известна доза творчество при
прилагането на анализа
Методически насоки за управление на риска на корпорацията (анализ, оценка и мерки за намаляване на риска при корпоративната сигурност) при персоналната сигурност
1. Изброяват се всички длъжности + имената на целият персонал + съвети, бордове, комисии, временни заместници, стажанти+ техните функции и роли + клиенти, доставчици, посетители, наематели, обслужващ персонал (фирмен и външен) – техници, монтьори, чистачки, общи работници, пощальони, куриери, шофьори и др.
2. Разглеждат се всички видове релевантни заплахи , които могат да произтекат от персонала По важни от тях са: извършване на икономически престъпления, разкриване на информация, насилие, тероризъм (Най-общо това са заплахи със социален характер и дължащи се на човешкия фактор)
продължение
3. Прави се оценка на уязвимостта ( образно казано кои са най-близo до кацата с меда)
4. Прави се оценка на въздействието5. Прави се оценка на риска (висок, среден,
нисък) Тези оценки са динамични и подлежат на промени
6. Идентифицираме длъжностите и хората с най- висок риск за корпорацията и с критичен характер.
7. Мерки за намаляване на риска (анализ “Разходи – ползи”)
Анализ “разходи ползи” – основни стъпки
1. Организация на анализа и подбор на експерти2. Определяне на целите на анализа, допусканията
и ограниченията. Определяне на критерии за избор. Документиране на алтернативите
3. Определяне на разходите по алтернативи4. Определяне на ползите по алтернативи5. Съпоставяне на разходи и ползи6. Анализ на чувствителността и неопределеността7. Оценка и ранжиране на алтернативите. Избор на
алтернатива.8. Документиране на анализа и проверка за
валидност на резултатите