Форум Сообщества Практиков Конкурентной разведки (СПКР) » Экономическая безопасность предприятия » Оценка рисков |
<<Назад Вперед>> | Печать |
Владимир Новиков
Модератор форума
Всего сообщений: 313 Рейтинг пользователя: 3 Ссылка Дата регистрации на форуме: 8 июня 2009 |
Всем добрый день Коллеги, меня дико интересует вопрос, как мы оцениваем риски, и вообще кто заморачивается этим? Типа спроси у яндекса иди прогугли это не интересно... важно мнение живых людей и причем с полей... В моем понимании, оценка рисков это работа которая позволяет: 1. Выявить все угрозы 2. Разработать мероприятия по противодействию реализации угрозы 3. Оценить риск реализации угрозы в рамках планируемых мероприятий 4. Провести анализ уязвимости объектов и процессов (то что мы не можем сделать прям щас) 5. Закрепить мероприятия документально (где они прописаны) 6. Разработать компенсирующие мероприятия (на случай внештатных ситуаций) 7. Вновь провести анализ рисков с учетом ранее проделанной работы Начинается с простого... Все и вся делится на две части. в первой Объекты подлежащие защите (склады, офисы, территории и так далее, вплоть до персонала), Второе - бизнес процессы (закупки, продажи, хранение, логистика и так далее) Далее производится категорирование, в смысле это подлежит защите или нет, если да то в какой степени... Далее, что касается Объектов определенных к защите Мы каждый объект пропускаем через матрицу угроз (каждый источник имеет свой набор угроз... источников всего 8, и каждый несет только свои собственные угрозы, например Персонал может: совершить кражу, мошенство... короче открываем УК РФ и все это он может... Далее КОАП, и он сука (персонал) тоже может это сотворить... Потом следующий, Контрагенит... ну и так далее...) Причем когда мы рассматриваем конкретную угрозу то должны моделировать варианты ее реализации через портрет нарушителя...) Ну например: Наш объект склад МТС , Берем Источник - Персонал и моделируем угрозу - Кража, Портретом может быть Кладовщик, Посетитель и Охранник... Как может соверщить кражу Кладовщик? как ни крути только тремя способами: Вынести, Передать кому то (тупо продать со склада) и Переместить ха территорию склада... Потом смотрим Следующий портрет По каждой возможной модели реализации мы разрабатываем защитные мероприятия и указываем в каком документе это отражено... Любое мероприятие это совокупность Организационных мероприятий, Инженерно- технических средств и Действий охраны... Ну и соответственно Компенсирующие мероприятия (Вдруг отказали ИТСО, Исчез Охранник или сдохла сторожевая собака... и так далее) Потом, когда прошлись по всем угрозам от всех источников (их у меня 768) по складу Мы ставим галки, чо есть, а чего нет, чо критично, а чо и подождет... Тем самым проводим анализ уязвимости... и разрабатываем план реализации критических замечаний (бля повеяло ВЛКСМ и КПСС... ну не плохие времена были)... Прикольно, что одно и то же мероприятие может блокировать сразу несколько объектов и даже процессов, а если сопоставить похожие мероприятия, и то можно их оптимизировать заточив под эти объекты или процессы... Становится понятным, сколько нужно технических средств и главное что они должны делать... ага не просто камеру повесить, но и какую картинку мы должны видеть и для чего это... Если нам нужен датчик движения, то мы точно знаем что он контролирует, кого и зачем. Критична ли его сработка или просто под сукно положим. Аналогичный подход и к процессам Берем существующий и протаскиваем через матрицу угроз... Затем этот же самый процесс раскладываем по полочкам... и видим его защищеннность, ну или не защищенность вовсе... Корявим этот процесс выявленными мероприятиями, затачиваем процесс.. ну чтоб он работал как процесс и оцениваем его уязвимость... Выдаем критические замечания на гора... Вот... проблема в чем... не все риски можно посчитать на деньги...а оч хочется А как у Вас? |
<<Назад Вперед>> | Печать |
Форум Сообщества Практиков Конкурентной разведки (СПКР) » Экономическая безопасность предприятия » Оценка рисков |
Самые активные 20 тем | |