в чем измеряется риск бжд
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Идентификация опасностей и оценка рисков в процессе производственной деятельности
Понятие и порядок идентификации опасностей
Идентификация опасностей в процессе производственной деятельности – это процесс обнаружения, выявления и распознавания опасных и вредных производственных факторов и установления их количественных, временных, пространственных и других характеристик, необходимых и достаточных для разработки профилактических мероприятий (предупреждающих и корректирующих действий), обеспечивающих безопасность труда.
В процессе идентификации составляется номенклатура опасности и вредности рабочей среды и трудового процесса, проводится ранжирование негативных факторов, выявляются вероятность, частота и условия их проявления, причины, локализация, возможный ущерб здоровью людей и окружающей среде и другие параметры, необходимые для выработки защитных мер.
Для идентификации опасных и вредных производственных факторов можно применять следующие методы: «Что будет, если. », проверочный лист, анализ опасности и работоспособности, анализ вида и последствий отказов, анализ «дерева отказов», анализ «дерева событий» и др. Краткие сведения об этих методах содержатся в ГОСТ Р 51901-2002.
Источниками информации для выявления опасностей и вредностей являются:
— Нормативные правовые акты и нормативные технические документы, справочная и научная техническая литература, локальные нормативные акты и др.;
— Протоколы, акты, справки и другие документы органов государственного контроля (надзора);
— Результаты производственного контроля за соблюдением требований промышленной, экологической безопасности и санитарно-эпидемиологических требований;
— Результаты специальной оценки условий труда;
— Результаты санитарно-эпидемиологической опенки выпускаемой продукции;
— Предписания специалистов по охране труда, представления уполномоченных лиц по охране труда, предложения комитета (комиссии) по охране труда;
— Результаты наблюдения за технологическим процессом, производственной средой, рабочими местами, работой подрядных организаций, внешними факторами (дорогами, организацией питания, климатическими условиями и др.);
— Результаты анализа анкет, бланков, опросных листов и пр.;
— Опыт практической деятельности;
— Результаты многоступенчатого контроля за условиями и охраной труда.
Ступенчатый контроль состоит в последовательном обследовании условий и безопасности труда на трех ступенях:
I. Первая ступень – в бригаде, в отделении, на участке, в смене – осуществляется бригадиром, мастером (старшим мастером), механиком, энергетиком совместно с уполномоченным (доверенным) лицом по охране труда профсоюза или иного уполномоченного работниками представительною органа (трудового коллектива).
II. Вторая ступень – в структурном подразделении (цехе, отделе, лаборатории и пр.) – осуществляется комиссией, назначенной распоряжением руководителя подразделения в составе: руководителя подразделения, работников технических служб подразделения и представителей профсоюза или иного уполномоченного работниками представительною органа подразделения.
III. Третья ступень – на предприятии в целом – осуществляется комиссией, назначенной приказом работодателя совместно с профсоюзным комитетом или иным уполномоченным коллективом представительным органом, в состав которой, как правило, входят: главный инженер (технический директор), главные специалисты (механик, энергетик, технолог и др.), руководитель службы охраны труда, председатель профсоюзного комитета или иного выборного общественного органа, председатель комитета (комиссии) по охране труда организации.
В зависимости от численности работающих, количества самостоятельных подразделений, структуры управления организации контроль может осуществляться и по большему числу ступеней.
Руководство организацией ступенчатого контроля осуществляют руководитель организации и председатель профсоюзного комитета или иного уполномоченного работниками представительного органа.
Результаты обследования записываются в журналы ступенчатого контроля за безопасностью труда первой и второй ступеней, результаты обследования третьей ступени оформляются актом.
Для облегчения процесса идентификации негативных факторов их делят на группы, связанные с источниками их возникновения.
Группы негативных производственных факторов, связанные с источниками их возникновения:
1. Опасности, связанные с профессиональной деятельностью работников.
2. Опасности, связанные с производственной деятельностью организации.
3. Опасности, не связанные с профессиональной деятельностью работников и производственной деятельностью организации.
4. Опасности, связанные с работниками, так называемый «человеческий фактор».
Результатом идентификации опасностей и вредностей производственной среды и трудового процесса являются:
1. Перечень (номенклатура) нежелательных событий.
2. Описание источников опасности и вредности, факторов риска, условий возникновения и развития нежелательных событий.
3. Предварительные оценки опасности и риска.
Идентификация негативных факторов завершается выбором дальнейшего направления деятельности, а именно:
1. Решение прекратить дальнейший анализ ввиду незначительности опасностей и вредностей или достаточности предварительных оценок (в этом случае под идентификацией опасности подразумевается анализ и оценка опасности).
2. Решение о проведении более детального анализа опасностей и оценки рисков.
3. Выработка предварительных рекомендаций по уменьшению, минимизации опасностей.
Задачи и порядок оценки рисков
После проведения идентификации негативных факторов осуществляется оценка рисков по каждой идентифицированной опасности.
Основными задачами оценки риска являются:
1. Определение частот возникновения инициирующих и всех нежелательных событий. При этом используют статистические данные об аварийных ситуациях, происшествиях, производственном травматизме и профзаболеваниях, логические методы анализа «деревьев событий», «деревьев отказов», имитационные модели возникновения инцидентов аварий в человеко-машинной системе, экспертные оценки путем учета мнения специалистов.
2. Оценка последствий неблагоприятных событий, которая включает анализ возможных негативных воздействий на людей, имущество и окружающую среду.
3. Обобщенная оценка риска, т.е. оценка степени или уровня риска, отражающая состояние условий и охраны труда с учетом показателей риска от всех нежелательных событий, которые могут произойти. Данная оценка основывается на результатах интегрирования показателей рисков, их взаимного влияния, анализа неопределенности и точности полученных результатов, анализа соответствия условий труда критериям допустимого риска.
4. Методика для расчета и оценки рисков приведена в ГОСТ Р 12.0.010-2009 «ССБТ. Системы управления охраной труда. Определение опасностей и оценка рисков».
GN1204: Безопасность жизнедеятельности
В тех случаях, когда потоки масс, энергий от источника негативного воздействия в среду обитания могут нарастать стремительно и достигать чрезмерно высоких значений (например, при авариях или других чрезвычайных ситуациях), в качестве критерия безопасности принимают допустимую вероятность (риск) возникновения подобного события.
Риск — вероятность реализации негативного воздействия в зоне пребывания человека.
Риск — это количественная величина возможности определенных событий приносить вред человеку, мера опасности, характеризующая вероятность или частоту проявления опасности и последствий ее реализации за определенный промежуток времени.
Риск как количественная характеристика вероятного действия опасностей соотносится с определенным количеством работников (жителей) за конкретный период времени. При этом подразумевается, что возможности опасности формируются конкретной деятельностью человека, т.е. число смертных случаев, число случаев заболевания, число случаев временной и стойкой нетрудоспособности (инвалидности), вызываются действием на человека конкретной опасности (электрический ток, вредное вещество, двигающийся предмет, криминальные элементы общества и др.).
Понятие риска применяют как к стохастическим, так и к детерминированным (нестохастическим) эффектам.
К стохастическим эффектам относят те, вероятность возникновения которых существует при любом количестве случаев влияния опасного или вредного фактора, и увеличивается при увеличении числа случаев, тогда как относительная тяжесть последствий от количества не зависит. Риск в этом случае определяется по формуле:
где r — риск (обобщенная оценка);
n — количество случаев вследствие события;
N — количество людей, на которых воздействовало событие.
К детерминированным эффектам относятся те, что всегда наступают при определенных событиях или превышении определенного уровня фактора, а тяжесть их последствий зависит от величины фактора.
Понятие риска широко используется при установлении гранично допустимых величин, необходимости внедрения и использования коллективных и индивидуальных средств защиты от влияния вредных или опасных факторов, требований безопасности к машинам, механизмам, оборудованию, ограничений, связанных с состоянием здоровья людей, состоянием окружающей среды.
В производственных условиях, где рабочая зона и источник опасности — элементы производственной среды, различают индивидуальный и коллективный (социальный) риски.
Индивидуальный риск — это сочетание вероятности и последствий наступления неблагоприятного события для конкретного индивидуума, характеризует реализацию опасности определенного вида деятельности для личности. Выражением индивидуального производственного риска являются показатели производственного травматизма и профессиональной заболеваемости.
Коллективный риск — это вероятность травмирования или гибели двух и более человек от воздействия опасных и вредных производственных факторов. Применяется при оценке возможного воздействия негативных факторов для коллектива людей, человеческого общества в целом
Использование риска в качестве единого индекса вреда при оценке действия различных негативных факторов на человека начинает в настоящее время применяться для обоснованного сравнения безопасности различных отраслей экономики и типов работ, аргументации социальных преимуществ и льгот для определенной категории лиц.
Современная концепция безопасности жизнедеятельности базируется на достижении приемлемого (допустимого) риска.
Приемлемый риск — это минимальная величина риска, которая достижима по техническим, экономическим и технологическим возможностям, т.е. такой низкий уровень смертности, травматизма или инвалидности людей, который не влияет на экономические показатели предприятия, отрасли экономики или государства.
Необходимость формирования концепции приемлемого (допустимого) риска обусловлена невозможностью создания абсолютно безопасной деятельности (технологического процесса). Приемлемый риск сочетает в себе технические, экономические, социальные и политические аспекты и представляет некоторый компромисс между уровнем безопасности и возможностями ее достижения.
Для того чтобы определить серьезность опасности, степень допустимости риска в той или иной ситуации, существуют различные критерии: категории серьезности опасности; уровни вероятности опасности; матрица оценки риска.
По степени допустимости риск развития опасных ситуаций подразделяется на:
На практике достичь нулевого уровня риска, т.е. абсолютной безопасности невозможно. Отвергнутый риск в настоящее время также невозможно обеспечить, учитывая отсутствие технических и экономических предпосылок для этого.
Существуют следующие методические подходы к определению риска:
Применять эти методики необходимо в комплексе, поскольку они отражают разные аспекты риска, а для первых двух методик не всегда есть достаточные данные.
Мотивированный риск — риск, превышающий приемлемый и обоснованный мотивами, связанными с предотвращением аварии или спасением людей и материальных ценностей.
Немотивированный риск — риск, превышающий приемлемый и не обоснованный действиями, связанными с предотвращением аварии или спасением людей и материальных ценностей
Антропогенным является риск, представляющий собой сочетание вероятности и последствий наступления неблагоприятного события, обусловленного жизнью и деятельностью человека.
Техногенный риск сочетает вероятность наступления неблагоприятного события (аварий) и его последствий, обусловленного работой технических объектов.
С техногенным риском напрямую связаны производственный и профессиональный риски.
Производственный риск связан с конкретным производством, производственной деятельностью предприятия.
Профессиональным является индивидуальный риск, связанный с профессиональной деятельностью конкретного человека.
Для определения уровня риска проводится оценка вероятностной меры возникновения техногенных или природных явлений, сопровождающихся формированием и действием вредных факторов, и нанесенного при этом социального, экономического, экологического и других видов ущерба.
Общая формула расчета риска может быть представлена в следующем виде:
где R — уровень риска, т. е. вероятность нанесения определенного ущерба человеку и окружающей среде;
%%R_1%% — вероятность возникновения события или явления, обусловливающего формирование и действие вредных факторов;
%%R_2%% — вероятность формирования определенных уровней физических полей, ударных нагрузок, полей концентрации вредных веществ в различных средах и их дозовых нагрузок, воздействующих на людей и другие объекты биосферы;
%%R_3%% — вероятность того, что указанные уровни полей и нагрузок приведут к определенному ущербу.
Количественная мера риска может выражаться не только вероятностной величиной. Иногда риск интерпретируют как ущерб, возникающий при авариях, катастрофах и опасных природных явлениях. Однако определение уровня риска как вероятностной категории является более приемлемым при практической оценке уровня безопасности.
Современные представления об уровнях приемлемого индивидуального риска
В соответствии с концепцией приемлемого риска различают:
В чем измеряется риск бжд
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Система стандартов безопасности труда
СИСТЕМЫ УПРАВЛЕНИЯ ОХРАНОЙ ТРУДА. ОПРЕДЕЛЕНИЕ ОПАСНОСТЕЙ И ОЦЕНКА РИСКОВ
Occupational safety standards system. Occupational safety and health management systems. Hazard and risks identification and estimation of risks
Дата введения 2011-01-01
Предисловие
1 РАЗРАБОТАН Рабочей группой, состоящей из представителей Федерации независимых профсоюзов России, Российского союза промышленников и предпринимателей, ООО «Экожилсервис»
2 ВНЕСЕН Техническим комитетом ТК 251 «Безопасность труда»
5 ПЕРЕИЗДАНИЕ. Май 2019 г.
Введение
Одной из целей системы менеджмента охраны здоровья и обеспечения безопасности труда является снижение ущерба здоровью и жизни работника на основе управления рисками. Начальным этапом управления рисками является проведение их оценки. В общем случае оценка (расчет) рисков включает: выявление опасностей, определение (расчет) для каждой из них размеров возможных ущербов здоровью, вероятностей их наступления, проведение расчета значения показателя рисков.
Настоящий стандарт определяет порядок оценки рисков.
Косвенные методы оценки рисков для здоровья и жизни работников используют показатели, характеризующие отклонение существующих (контролируемых) условий (параметров) от норм и имеющие причинно-следственную связь с рисками.
В настоящем стандарте представлены:
— показатели ущерба и рисков (наиболее применимые), порядок их использования для оценки рисков;
— порядок выявления опасностей, последствия проявления которых могут привести к возникновению ущерба здоровью и жизни работника;
— порядок расчета вероятностей возникновения ущерба.
1 Область применения
Настоящий стандарт применяют в целях:
— обеспечения конституционного права работника на труд в условиях, отвечающих требованиям безопасности и гигиены [1, статья 37, пункт 3];
— получения данных (об опасностях и рисках) для информирования работников о риске повреждения здоровья [2, статья 212];
— обоснования положенной социальной защиты работников, в том числе компенсаций за работу во вредных и (или) опасных условиях труда;
— оценивания эффективности мер по совершенствованию охраны труда;
— принятия превентивных мер по защите здоровья работника;
— выяснения причинно-следственной связи состояния здоровья работников с условиями труда;
— обоснования положений трудового договора об обязательствах работодателя по обеспечению работника необходимыми средствами индивидуальной защиты, установлению соответствующего режима труда и отдыха, а также по обеспечению других предусмотренных законодательством гарантий и компенсаций.
Настоящий стандарт может быть применен экспертными и страховыми организациями для обоснования размера страховых тарифов.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ 12.0.003 Система стандартов безопасности труда. Опасные и вредные производственные факторы. Классификация
ГОСТ Р ИСО 12100-1-2007 Безопасность машин. Основные понятия, общие принципы конструирования. Часть 1. Основные термины, методология
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 опасность: Фактор среды и трудового процесса, который может быть причиной травмы, острого заболевания или внезапного резкого ухудшения здоровья. В зависимости от количественной характеристики и продолжительности действия отдельных факторов рабочей среды они могут стать опасными.
3.2 определение опасности: Выявление (идентификация), описание и признание потенциального источника ущерба.
3.3 условия труда: Совокупность факторов производственной среды и трудового процесса, оказывающих влияние на работоспособность и здоровье работника.
3.4 риск: Сочетание (произведение) вероятности (или частоты) нанесения ущерба и тяжести этого ущерба.
[ГОСТ Р 51898-2002, пункт 3.2, дополнено тем, что в скобках]
3.5 оценка риска: Количественное или качественное определение значения показателя риска.
3.6 ущерб: Нанесение физического повреждения или другого вреда здоровью людей, или вреда имуществу или окружающей среде.
3.7 вредный производственный фактор: Производственный фактор, воздействие которого на работника может привести к его заболеванию.
3.8 опасный производственный фактор: Производственный фактор, воздействие которого на работника может привести к его травме.
3.9 охрана труда: Система сохранения жизни и здоровья работников в процессе трудовой деятельности, включающая в себя правовые, социально-экономические, организационно-технические, санитарно-гигиенические, лечебно-профилактические, реабилитационные и иные мероприятия.
3.10 организация: Компания, фирма, проект, предприятие, учреждение, завод, фабрика, объединение, орган власти, общественный институт или ассоциация и т.п. либо их части, входящие или не входящие в их состав, различных форм собственности, которые имеют собственные функции и управление.
3.13 гигиенический норматив: Установленное исследованиями допустимое максимальное или минимальное количественное и (или) качественное значение показателя, характеризующего тот или иной фактор среды обитания с позиций его безопасности и (или) безвредности для человека.
4 Риск
Риск в общем случае рассчитывают суммированием произведений возможных дискретных значений ущерба здоровью и жизни работника на вероятности их наступления :
, (1)
. (2)
Характеристики случайных чисел, в том числе значения вероятности и ущерба, как правило, определяют по репрезентативной ограниченной по объему и времени выборке. В этом случае формула (1) приобретает следующий вид:
, (3)
— частота наступления ущерба здоровью и жизни работника.