Оценка рисков

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Экономическая безопасность предприятия »   Оценка рисков
RSS

Оценка рисков

Как мы оцениваем риски

<<Назад  Вперед>>Печать
 
Владимир Новиков
Модератор форума

Всего сообщений: 316
Рейтинг пользователя: 3


Ссылка


Дата регистрации на форуме:
8 июня 2009
Всем добрый день :hi:
Коллеги, меня дико интересует вопрос, как мы оцениваем риски, и вообще кто заморачивается этим?

Типа спроси у яндекса иди прогугли это не интересно... важно мнение живых людей и причем с полей...

В моем понимании, оценка рисков это работа которая позволяет:
1. Выявить все угрозы
2. Разработать мероприятия по противодействию реализации угрозы
3. Оценить риск реализации угрозы в рамках планируемых мероприятий
4. Провести анализ уязвимости объектов и процессов (то что мы не можем сделать прям щас)
5. Закрепить мероприятия документально (где они прописаны)
6. Разработать компенсирующие мероприятия (на случай внештатных ситуаций)
7. Вновь провести анализ рисков с учетом ранее проделанной работы

Начинается с простого... Все и вся делится на две части. в первой Объекты подлежащие защите (склады, офисы, территории и так далее, вплоть до персонала), Второе - бизнес процессы (закупки, продажи, хранение, логистика и так далее)

Далее производится категорирование, в смысле это подлежит защите или нет, если да то в какой степени...

Далее, что касается Объектов определенных к защите
Мы каждый объект пропускаем через матрицу угроз (каждый источник имеет свой набор угроз... источников всего 8, и каждый несет только свои собственные угрозы, например Персонал может: совершить кражу, мошенство... короче открываем УК РФ и все это он может... Далее КОАП, и он сука (персонал) тоже может это сотворить... Потом следующий, Контрагенит... ну и так далее...)
Причем когда мы рассматриваем конкретную угрозу то должны моделировать варианты ее реализации через портрет нарушителя...)
Ну например: Наш объект склад МТС , Берем Источник - Персонал и моделируем угрозу - Кража, Портретом может быть Кладовщик, Посетитель и Охранник...
Как может соверщить кражу Кладовщик? как ни крути только тремя способами: Вынести, Передать кому то (тупо продать со склада) и Переместить ха территорию склада...
Потом смотрим Следующий портрет
По каждой возможной модели реализации мы разрабатываем защитные мероприятия и указываем в каком документе это отражено...
Любое мероприятие это совокупность Организационных мероприятий, Инженерно- технических средств и Действий охраны... Ну и соответственно Компенсирующие мероприятия (Вдруг отказали ИТСО, Исчез Охранник или сдохла сторожевая собака... и так далее)

Потом, когда прошлись по всем угрозам от всех источников (их у меня 768) по складу
Мы ставим галки, чо есть, а чего нет, чо критично, а чо и подождет...
Тем самым проводим анализ уязвимости... и разрабатываем план реализации критических замечаний (бля повеяло ВЛКСМ и КПСС... ну не плохие времена были)...

Прикольно, что одно и то же мероприятие может блокировать сразу несколько объектов и даже процессов, а если сопоставить похожие мероприятия, и то можно их оптимизировать заточив под эти объекты или процессы... Становится понятным, сколько нужно технических средств и главное что они должны делать... ага не просто камеру повесить, но и какую картинку мы должны видеть и для чего это...
Если нам нужен датчик движения, то мы точно знаем что он контролирует, кого и зачем. Критична ли его сработка или просто под сукно положим.

Аналогичный подход и к процессам
Берем существующий и протаскиваем через матрицу угроз...
Затем этот же самый процесс раскладываем по полочкам... и видим его защищеннность, ну или не защищенность вовсе...
Корявим этот процесс выявленными мероприятиями, затачиваем процесс.. ну чтоб он работал как процесс и оцениваем его уязвимость...
Выдаем критические замечания на гора...

Вот... проблема в чем... не все риски можно посчитать на деньги...а оч хочется

А как у Вас?

<<Назад  Вперед>>Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Экономическая безопасность предприятия »   Оценка рисков
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook