P 50.1.088—2013

Предисловие

1    РАЗРАБОТАНЫ Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД»)

2    ВНЕСЕНЫ Техническим комитетом по стандартизации ТК10 «Менеджмент риска»

3    УТВЕРЖДЕНЫ И ВВЕДЕНЫ В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2013 г. № 1668-ст

4    ВВЕДЕНЫ ВПЕРВЫЕ

Информация об изменениях к настоящим рекомендациям пубпикувтся в ежегодном указателе «Руководящие документы, рекомендации и правила», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ.2015

Настоящие рекомендации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

P 50.1.088—2013

Содержание

1    Область применения...................................................1

2    Нормативные ссылки..................................................1

3    Термины и определения................................................1

4    Общие положения....................................................1

5    Оценка риска на уровне организации........................................4

6    Анализ оценки риска на уровне организации...................................12

7    Оценка риска на уровне группы...........................................14

8    Оценка риска со стороны отдельных сотрудников................................23

Приложение А (справочное) Перечень опасностей со стороны посвященного лица...........24

Приложение Б (справочное) Диаграммы, рекомендуемые для использования при проведении

анализа риска..............................................26

III

Введение

Как правило, при оценке угроз безопасности организации со стороны персонала рассматривают доступ сотрудников к активам организации, последствия, которые это представляет для организации, и достаточность контрмер. Все это является основой процесса обеспечения безопасности организации. Крайне важны также для обеспечения безопасности риски, которым подвержена организация со стороны воздействия человеческого фактора.

Настоящие рекомендации могут быть полезны организации при:

-    оценке угроз со стороны действий персонала и причастных сторон;

-    ранжировании рисков для организации;

-    определении контрмер для снижения этих рисков;

-    распределении ресурсов на обеспечение безопасности.

IV

P 50.1.088—2013

РЕКОМЕНДАЦИИ ПО СТАНДАРТИЗАЦИИ

Менеджмент риска

РУКОВОДСТВО ПО ОЦЕНКЕ РИСКА ДЛЯ ОПАСНОСТЕЙ СО СТОРОНЫ ЧЕЛОВЕЧЕСКОГО ФАКТОРА

Risk management.Guidance (or risk assessment of dangers from the human factor

Дата введения — 2014—12—01

1    Область применения

В настоящих рекомендациях на простом примере показано применение метода оценки риска организации для опасностей со стороны действий персонала или партнеров, имеющих доступ к активам организации.

Показаны приемы качественной оценки вероятности последствий опасного события с применением условной шкалы и использования таких оценок для определения качественной оценки риска.

2    Нормативные ссылки

ГОСТ Р 51897-2011/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р ИСО/МЭК 31000—2010 Менеджмент риска. Принципы и руководство

Примечание — При пользовании настоящими рекомендациями целесообразно проверить действие ссылочных стандартов в информационной системе общею пользования — на официальном сайте Федеральною агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационною указателя «Национальные стандарт ы» за текущий юд. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этою стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое да на ссылка, тоэтоположе-ние рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3    Термины и определения

В настоящем стандарте применены термины и определения по ГОСТ Р 51897-2011.

4    Общие положения

4.1 Безопасность от действий человеческого фактора

Обеспечение безопасности от действий человеческого фактора — это система менеджмента, включающая политику и процедуры, направленная на снижение риска для организации от опасностей со стороны персонала или подрядчиков, имеющих законный доступ к активам или в помещения организации. Тех. кто имеет законный доступ, называют «посвященными лицами».

Издание официальное

В настоящих рекомендациях люди, имеющие законный доступ к активам организации, но не относящиеся к штату или подрядчикам (например, почтовые работники) неотнесены к посвященным лицам.

Существует много мер защиты организации от несанкционированных действий персонала и подрядчиков, которые обычно используют для обеспечения безопасности организации. Большая часть из них относится к указанным в таблице 1 категориям.

Таблица 1 — Основные мероприятия защиты от несанкционированных действий

Меры обеспечения безопасности Мероприятия Меры обеспечения безопасности до включения в штат организации лиц. принимаемых на работу 1) Проверки -    проверка данных при приеме на работу. -    оценка возможности включения в посвященные лица. -    проверка службой национальной безопасности' Меры обеспечения безопасности после включения в штат организации лиц, принятых на работу 2)    Проверки: -    проверка данных при приеме на работу. -    оценка поведения. -    проверка службой национальной безопасности: 3)    управление доступом; 4)    внедрение культуры безопасности: 5)    социальная инженерия; 6)    выявление наличия контроля и вторжения; 7)    расследования ’ Проверка службой национальной безопасности существенно отличается от мероприятий защиты в организации Такую проверку применяют только к особым должностям в организации.

4.2 Менеджмент риска в области защиты отоласностей со стороны человеческого фактора

Обеспечение безопасности организации позволяет предотвратить ряд преступных посягательств и преступлений посвященного лица (краж, хищений, поджогов, актов вандализма, общественных беспорядков. проведения террористических актов). Разработка мероприятий по безопасности может быть трудоемкой, дорогостоящей и может привести к затруднениям в деятельности организации, поэтому необходимо определение адекватных риску организации и значимым последствиям мер по обеспечению безопасности. Менеджмент риска является основой для обеспечения эффективной безопасности организации. Общая схема менеджмента риска приведена на рисунке 1.

Рисунок 1 — Схема менеджмента риска

Менеджмент риска включает в себя:

-    оценку риска (Должен быть определен риск организации, в том числе вероятность опасного события и возможные последствия);

-    выполнение (Для снижения вероятности и последствий нежелательного события до допустимого уровня должны быть определены и выполнены меры по обеспечению безопасности);

P 50.1.088—2013

- оценку эффективности контрмер (Должны быть определены корректирующие действия и эффективность предпринятых мер по обеспечению безопасности).

Процесс менеджмента риска включает проведение постоянной оценки риска и анализ эффективности контрмер. Большое значение для процесса менеджмента риска имеет систематическое исследование опасностей, последствий и контрмер с учетом обязательств перед причастными сторонами. Обсуждения данных о мерах, принятых для обеспечения безопасности, позволяют достичь взаимопонимания с партнерами и другими причастными сторонами.

Процесс оценки риска включает этапы идентификации опасностей и последствий (см. также ГОСТРИСО/МЭКЗЮОО).

Настоящие рекомендации посвящены оценке риска для опасностей со стороны воздействия человеческого фактора. Схема оценки риска приведена на рисунке 2.

Обычно под риском понимают сочетание вероятности реализации события и его последствий¹».

Реализация события включает три составляющие: намерение, возможности и благоприятные условия. Намерение характеризует решимость посвященного лица совершить преступную акцию. Возможности определяют наличие у посвященного лица навыков, знаний и ресурсов для успешного выполнения попытки преступной акции.

Благоприятные условия — это комбинация доступа, который посвященное лицо имеет к активам организации (на основе его положения и функциональных обязанностей) и уязвимости среды (например. среда постоянно контролируемая телекамерами менее уязвима для некоторых опасностей, чем среда, не оснащенная этими средствами).

Последствия необходимо рассматривать с точки зрения ценности активов и всех возможных последствий. Например, мошенничество посвященного лица может повлечь финансовые последствия и снижение репутации организации.

4.3 Относительные и абсолютные оценки риска

В некоторых случаях для определения оценки риска используют количественные меры, которые являются абсолютными или относительными. Абсолютная оценка риска показывает вероятность события и его последствие в количественных мерах, таких как финансовая стоимость или потери человеческих жизней. Относительная оценка риска лишь указывает место данного события при ранжировании вероятностей и последствий.

Часто невозможно получить абсолютные оценки риска, поэтому применяют смешанные подходы, в которых используют такие значения для вероятности и последствий, как «очень низкий», «очень высокий» и др. В этом случае необходимо, чтобы все участники однозначно понимали эти термины. Сами эксперты должны быть в состоянии присвоить событию соответствующее значение.

См. также Федеральный закон «О техническом регулировании» № 184 ФЗ от 27.12.2002 г.

4.4    Уровни оценки риска

Существует три уровня, для которых могут быть определены оценки опасностей со стороны воздействия человеческого фактора:

1)    Уровень организации.

2)    Уровень группы.

3)    Уровень сотрудника.

В первом случае исследуют и ранжируют типы опасностей со стороны посвященного лица, которые представляют опасность для организации в целом. Во втором случае исследуют группы с различными возможностями причинения вреда организации, а в третьем случае исследуют документированные соглашения с каждым сотрудником отдельно.

Большинство практиков считают полезным начать с самого простого и высшего уровня — оценки риска организации, который обеспечивает краткий обзор опасностей и возможность рассмотрения контрмер в целом. Оценка риска на уровне группы требует больше времени и усилий, но может привести к выявлению групп сотрудников, которые дают повод для сомнений в их лояльности. Оценка на уровне сотрудника является самой сложной, когда исследуют каждого сотрудника для определения общих возможностей конкретного посвященного лица.

Выбор уровня оценки риска зависит от особенностей организации и персонала. Следует помнить, что каждому подходу соответствует свой тип решений. Например, если оценка риска для организации показывает наличие незначительной угрозы внесения посвященным лицом бомбы 8 здание организации, это может исключить требование о сдаче сумок, пакетов и другой ручной клади в камеру хранения при входе в здание. Оценка риска на уровне группы может показать, что у определенной группы сотрудников имеется доступ к очень конфиденциальной или значимой для организации информации, поэтому за ними необходим более высокий уровень наблюдений. Если на уровне отдельного сотрудника, у какого-то работника имеется высокий уровень возможностей нанесения вреда организации, то для этого работника может потребоваться специальный менеджмент риска.

4.5    Проведение оценки риска безопасности персонала

Оценки риска наиболее эффективны, если они являются неотъемлемой частью системы менеджмента риска.

Наилучшие результаты могут быть получены, когда группа оценки риска включает в себя:

-    специалистов по безопасности в области человеческих ресурсов;

-    специалистов, хорошо знающих функции работников:

-    специалистов в области внешних контактов.

Процесс оценки риска должен быть интерактивным с использованием групповыхобсуждений. Ценность этих обсуждений может быть повышена при наличии квалифицированного руководителя и использовании наглядных пособий. Составление участниками обсуждения большого количества схем, таблиц (см. приложение Б), также помогает повысить эффективность этих обсуждений.

5 Оценка риска на уровне организации

5.1 Общие положения

Оценка риска на уровне организации идентифицирует диапазон опасностей со стороны посвященного лица. которые ранжируют в соответствии с их вероятностью и последствиями. Это формирует понимание внутренних рисков для организации. Также это составляет основу для разработки и внедрения мер по обеспечению безопасности от несанкционированных действий со стороны персонала и причастных сторон.

Результаты оценки риска на уровне организации должны быть зафиксированы в таблице, форма которой приведена в таблице 2.

Таблица 2 — Форма таблицы данных для оценки риска

Внутренняя опасность для организации Вероятность (1-5) Предположения относительно вероятности Последствия (1-5) Предполо жения относительно последствий Рант риска (1—1) Контрмеры Сущест вующие Существующие меры достаточны? Новые

4

P 50.1.088—2013

Таблицу оценки риска заполняют по мере получения данных. После заполнения таблица содержит полный перечень внутренних опасностей.

5.2 Этап 1. Идентификация внутренних опасностей Пример заполнения таблицы 2 на этапе 1 приведен в таблице 3.

Таблица 3 — Пример заполнении таблицы 2 на этапе 1

Этап 1 Этап 2 Этап 3 Внутренняя опасность Вероятность (1-5) Предположения относительно вероятности Последствия (1-5) Предположения относи тольмо последствий Например, работник организации вводит вирус в ИТ-систему': Например, работник организации проносит взрывное устройство в здание

На первом этапе необходимо идентифицировать внутренние опасности организации и сделать запись о них в первой колонке таблицы. Перечень внутренних опасностей приведен в приложении А. Каждая опасность должна быть определена в описательной форме: посвященное лицо осуществляет действия в несанкционированных целях, что требует его доступа в организацию.

Опасности должны быть тщательно и четко определены, если на основе оценки риска должны быть приняты важные решения.

5.2.1    Диапазон опасностей

При определении опасностей следует изучить полный перечень несанкционированной деятельности посвященного лица, включая (но не ограничиваясь) физическое нападение, злоупотребление интеллектуальной собственностью и несанкционированное раскрытие значимой (для деятельности организации) или конфиденциальной информации.

5.2.2    Определение опасностей посвященного лица

Следует учитывать, что посвященное лицо может иметь намерение использовать свой законный доступ к активам организации в несанкционированных целях.

5.2.3    Уровень детализации опасностей

Опасности должны быть определены на уровне детализации, позволяющем рассматривать контрмеры для каждой опасности. Очень широкого определения опасности, такого как «бомбы» или «утечки информации» недостаточно, потому что они не содержат достаточной информации для контрмер. С другой стороны, использование слишком узких определений может дать слишком большое количество опасностей, исходящих от посвященного лица.

5.3    Этап 2. Оценка вероятности

Пример заполнения таблицы 2 на этапе 2 приведен в таблице 4.

Таблица 4 — Пример заполнения таблицы 2 на этапе 2

Этап 1 Этап 2 Этап 3 Внутренняя опасность Вероятность (1-5) Предположения относительно вероятности Последствия (1-5) Предположения относительно последствий Например, работник вводит вирус в ИТ-сисгему 2 Наличие у работника системных прав администратора, необходимых для преодоления защиты ИТ-смстемы Например, работник приносит взрывное устройство в здание организации 1 Сотрудник принес взрывное устройство в сумке

ИТ — информационные технологии.

Для каждой опасности определяют вероятность ее реализации и указывают в колонке «Вероятность». При оценке вероятности не следует рассматривать последствия реализации опасности. Оценки вероятности и последствий реализации опасности следует делать независимо друг от друга. На данном этапе не следует пытаться определять вероятности с высокой точностью. Достаточно установить вероятности опасностей относительно друг друга в баллах от 1 (маловероятно) до 5 (очень вероятно).

Часто бывает полезно просмотреть весь перечень исследуемых опасностей и назначить опасностям оценки вероятности от 1 до 5 (5 — наиболее вероятной опасности, а оценку 1 — наименее вероятной). Шкала оценки вероятности опасного события приведена на рисунке 3.

В результате все опасные события должны быть расположены в порядке возрастания вероятности их реализации.

Все предположения, использованные при оценке вероятности, должны быть зарегистрированы в колонке «Предположения относительно вероятности». Эта информация может быть полезна при разработке контрмер. Необходимо также учитывать частоту реализации опасного события. Опасное событие может произойти в течение одного года или нескольких лет. Если сделаны предположения относительно времени, в течение которого реализуются опасные события, эти предположения следует учитывать на всех этапах анализа.

При оценке вероятности следует рассмотреть следующие вопросы:

-    насколько реально, что в отношении организации будет выполнено данное противоправное действие?

-    организация уже подвергалась данному типу противоправного действия ранее? Это подтверждает уместность и возможность реализации опасности, но не обязательно повышает вероятность данного опасного события. Следует помнить, чтоотсутствие рассматриваемых опасных событий в прошлом не означает, что они не будут происходить в будущем;

-    какова ситуация с безопасностью в организации и в соответствующей отрасли?

-    существуют ли 8 организации проверки персонала, направленные на выявление у сотрудников возможностей выполнения исследуемого противоправного действия?

-    насколько эффективны существующие в организации планы действий в непредвиденных обстоятельствах и существующие контрмеры?

5.4 Этап 3. Оценка последствий

Пример заполнения таблицы 2 на этапе 3 приведен в таблице 5.

Таблица 5 — Пример заполнения таблицы 2 на этапе 3

Этап 1 Этап 2 ЭтапЗ Внутренняя опасность Вероятность (1-5) Предположения относительно вероятности Последствия (1-5) Предположения относительно последствий Например, сотрудник ввел вирус в ИТ-систему 2 Наличие у работника системных прав администратора, необходимых для преодоления защиты ИТ-системы 2 Нарушение работы ИТ-системы в течение 24 часов Например, сотрудник принес взрывное устройство в здание организации 1 Сотрудник принес взрывное устройство в сумке 5 Погибло менее 50 человек

Последствия опасного события оценивают аналогично по шкале от 1 (самые слабые последствия) до 5 (самые значимые последствия). Шкала оценки последствий приведена на рисунке 4.

6