Visoka škola strukovnih studija
za menadžment u saobraćaju-Niš
SEMINARSKI RAD
P r e d m e t : Upravljanje rizicima
T e m a
:
M E T O D O L O G I J A Z A P R O C E N U R I Z I K A
P r o f e s o r :
S t u d e n t :
Dr Miroslav Milutinović Luka Ilić, 26-П
N i š,
Decembar 2015.
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
- 4 -
2 METODOLOGIJA ZA PROCENU RIZIKA
Bezbednosni rizik
se može definisati kao funkcija:
vrednosti
informacione imovine (
asset value
) –
A;
kombinovanih
pretnji
(
threats
)
-
T ili verovatnoće ostvarivanja pretnje – napada, koji
može naneti štetu imovini (A),
ranjivosti
(
vulnerabilities
)
-
V, objekata informacione imovine i uticaja – U ili
verovatnoće da će jedna ili kombinacija pretnji
iskoristiti
ranjivosti i naneti štetu i
postojećih ili planiranih kontrola zaštite
(
security controls
) –
Mz,
koje mogu ublažiti
ranjivosti, pretnje i uticaj.
2.1
Uspostavljanje konteksta za procenu rizika
Kontekst procene rizika varira u odnosu na potrebe organizacije, u zavisnosti od toga da li se
pruža ili zahteva usluga zaštite lica, imovine ili poslovanja (Kekovic, 2011)
Proces uspostavljanja konteksta za analizu rizika odvija se kroz 4 osnovne faze:
1. Definisanje osnovnih parametara za upravljanje rizikom;
2. Definisanje obima i granica analize i procene rizika;
3. Uspostavljanje i organizacija tima za upravljanje rizikom;
4. Uspostavljanje strukture i procesa za analizu i procenu rizika.
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
- 5 -
2.1.1 Definisanje parametara za upravljanje rizikom
U fazi određivanja potencijalno raspoloživih resursa potrebno je:
a)
Izabrati odgovarajući pristup/metodologiju za procenu rizika:
ISO/IEC TR 13335-3,
ISO/IEC 27005, NIST SP 800-30, CRAMM, OCTAVE, BAR-brza analiza rizika itd.,
pomoćne alat za proračun faktora rizika - interaktivne programsku aplikacije (RA2,
COBRA, HESTIA i dr.), templejti radnih tabela i standardne taksonomije pretnji i
ranjivosti.
b)
Definisati kriterijume za evaluaciju rizika
kao što su legalni zahtevi i ugovorne obaveze,
operativne i poslovne posledice gubitka poverljivosti, integriteta i raspoloživosti
informacija, negativan uticaj na reputaciju i dr.
c)
Uspostaviti kriterijume za procenu uticaja rizika
kao što su operativni, tehnički,
finansijski, legalni, normativni, socijalni i dr. uticaji, koji
zavise od interesa relevantnih učesnika, politike i poslovnih ciljeva organizacije, zatim,
kriterijumi za odlučivanje praga ne/prihvatljivosti rizika koji mogu biti višestruki (npr.,
uticaj normativnih i ugovornih obaveza, bez obzira na procenjeni nivo rizika).
d)
Uspostaviti kriterijuma za prihvatanje rizika,
pri čemu su mogući različiti nivoi praga
prihvatanja rizika u istoj organizaciji.
e)
Definisati potencijalno raspoložive resurse
za uspostavljanje tima za upravljanje rizikom u
organizaciji, izbor i implementaciju kontrola zaštite.
2.1.2 Definisanje obima i granica procesa upravljanja rizikom
Obim
(predmet) procesa upravljanja rizikom može da uključi strateške i kratkoročne poslovne
ciljeve organizacije, poslovne procese i strategije, politiku zaštite organizacije, legalne i
normativne zahteve, oblast primene i razloge za isključivanje nekog objekta iz procesa upravljanja
rizikom.
Granice
(oblast) procesa upravljanja rizikom tipično uključuju:
poslovne ciljeve i politiku,
informacionu imovinu, ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…),
fizičko okruženje (zgrade i druge objekte), socialno-kulturološko okruženje i poslovne procese i
aktivnosti
.
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
- 7 -
izbegavanje ili redukciju uticaja bezbednosnog incidenata, konsultacije za poboljšavanje
međusobnog razumevanja procesa upravljanja rizika kod relevantnih učesnika itd. U ranoj fazi
procesa procene rizika treba razviti plan komunikacije i sva pitanja koja se odnose na sam proces i
upravljanje procesom.
Procedura za upravljanje rizikom treba da obezbedi sigurnost upravljanja rizikom, skupljanje
informacija o riziku i otpornost sistema zaštite na proboje zbog eventualnog nerazumevanja
relevantnih učesnika i donosioca odluka. Glavni cilj izrade procedure za upravljanje rizikom je da
prenese generalan stav organizacije prema zaštiti i smanji uticaj proboj sistema zaštite na poslovne
procese.
Monitoring i revizija procesa upravljanja rizikom identifikuje promene faktora rizika u ranoj fazi,
obezbeđuje regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne
promene. Glavni cilj revizije procesa je da se odredi relevantnost tekuće procene rizika i po
potrebi preduzmu korektivne akcije, uključujući redefinisanje: konteksta, kriterijuma za evaluaciju
rizika, pristupa i metodologije za procenu rizika, opcija tretmana rizika, metoda komunikacije itd.
Predmet revizije u procesu upravljanja rizikom su: legalni okvir i kontekst okruženja,
konkurencija, kriterijumi za evaluaciju rizika, kategorizacija i vrednovanje informacione imovine,
prag za odlučivanje o tretmanu rizika i vrednovanje troškova implementacije kontrola zaštite.
3 Proces procene rizika
Proces za procenu rizika (risk assessment) obuhvata sledeće faze:
analizu rizika (
identifikaciju
i
estimaciju
) i
evaluaciju rizika.
4 Analiza rizika
Analiza rizika podrazumeva analizu svakog faktora rizika, u odnosu na to zašto i kako može
nastati. U tom smislu faktore rizika treba identifikovati, a zatim izvršiti estimaciju svakog
identifikovanog faktora rizika.
