Форум Сообщества Практиков Конкурентной разведки (СПКР)

Всем добрый день
Коллеги, меня дико интересует вопрос, как мы оцениваем риски, и вообще кто заморачивается этим?

Типа спроси у яндекса иди прогугли это не интересно... важно мнение живых людей и причем с полей...

В моем понимании, оценка рисков это работа которая позволяет:
1. Выявить все угрозы
2. Разработать мероприятия по противодействию реализации угрозы
3. Оценить риск реализации угрозы в рамках планируемых мероприятий
4. Провести анализ уязвимости объектов и процессов (то что мы не можем сделать прям щас)
5. Закрепить мероприятия документально (где они прописаны)
6. Разработать компенсирующие мероприятия (на случай внештатных ситуаций)
7. Вновь провести анализ рисков с учетом ранее проделанной работы

Начинается с простого... Все и вся делится на две части. в первой Объекты подлежащие защите (склады, офисы, территории и так далее, вплоть до персонала), Второе - бизнес процессы (закупки, продажи, хранение, логистика и так далее)

Далее производится категорирование, в смысле это подлежит защите или нет, если да то в какой степени...

Далее, что касается Объектов определенных к защите
Мы каждый объект пропускаем через матрицу угроз (каждый источник имеет свой набор угроз... источников всего 8, и каждый несет только свои собственные угрозы, например Персонал может: совершить кражу, мошенство... короче открываем УК РФ и все это он может... Далее КОАП, и он сука (персонал) тоже может это сотворить... Потом следующий, Контрагенит... ну и так далее...)
Причем когда мы рассматриваем конкретную угрозу то должны моделировать варианты ее реализации через портрет нарушителя...)
Ну например: Наш объект склад МТС , Берем Источник - Персонал и моделируем угрозу - Кража, Портретом может быть Кладовщик, Посетитель и Охранник...
Как может соверщить кражу Кладовщик? как ни крути только тремя способами: Вынести, Передать кому то (тупо продать со склада) и Переместить ха территорию склада...
Потом смотрим Следующий портрет
По каждой возможной модели реализации мы разрабатываем защитные мероприятия и указываем в каком документе это отражено...
Любое мероприятие это совокупность Организационных мероприятий, Инженерно- технических средств и Действий охраны... Ну и соответственно Компенсирующие мероприятия (Вдруг отказали ИТСО, Исчез Охранник или сдохла сторожевая собака... и так далее)

Потом, когда прошлись по всем угрозам от всех источников (их у меня 768) по складу
Мы ставим галки, чо есть, а чего нет, чо критично, а чо и подождет...
Тем самым проводим анализ уязвимости... и разрабатываем план реализации критических замечаний (бля повеяло ВЛКСМ и КПСС... ну не плохие времена были)...

Прикольно, что одно и то же мероприятие может блокировать сразу несколько объектов и даже процессов, а если сопоставить похожие мероприятия, и то можно их оптимизировать заточив под эти объекты или процессы... Становится понятным, сколько нужно технических средств и главное что они должны делать... ага не просто камеру повесить, но и какую картинку мы должны видеть и для чего это...
Если нам нужен датчик движения, то мы точно знаем что он контролирует, кого и зачем. Критична ли его сработка или просто под сукно положим.

Аналогичный подход и к процессам
Берем существующий и протаскиваем через матрицу угроз...
Затем этот же самый процесс раскладываем по полочкам... и видим его защищеннность, ну или не защищенность вовсе...
Корявим этот процесс выявленными мероприятиями, затачиваем процесс.. ну чтоб он работал как процесс и оцениваем его уязвимость...
Выдаем критические замечания на гора...

Вот... проблема в чем... не все риски можно посчитать на деньги...а оч хочется

А как у Вас?