какое действие не входит в алгоритм проведения динамической оценки рисков дор
Как провести оценку профессиональных рисков: рекомендации практикам
эксперт по технологиям оценки профессиональных рисков, систем мотивации и обучения персонала, аудитор систем менеджмента качества
Интервью с экспертом по технологиям оценки профессиональных рисков
В Школу охраны труда поступают вопросы о значимых для сферы охраны труда изменениях. Больше всего волнует тема оценки профессиональных рисков. Руководитель направления Охрана труда в Контур.Школе Наталья Герасименко поговорила с Андреем Любимовым, экспертом по технологиям оценки профессиональных рисков, о том, как работодателям выбрать методы и провести оценку.
Что ждать работодателям и специалистам по охране труда в ближайшее время?
Важное изменение — ввели два основных принципа охраны труда. Первый принцип базируется на предупреждении в виде управления рисками. Второй — принцип минимизации тех последствий, которые мы не смогли предотвратить. Управление такими последствиями позволит уменьшить травмы, которые могут получить работники на рабочих местах.
У работодателя появятся новые обязанности, которые связаны со ст. 209 Трудового кодекса, где прописано, что работодатель должен создавать безопасные условия труда. Действующая редакция Трудового кодекса РФ не отвечает на вопрос, как создавать такие условия.
В редакции проекта 10-го раздела Трудового кодекса будет ответ: работодатель должен создавать безопасные условия труда исходя из технологического состояния рабочих мест, тех технологических процессов, которые на рабочих местах осуществляются. И это первая предпосылка для работодателя — надо выстраивать систему управления профессиональными рисками.
Оценка профессиональных рисков — обязательная или рекомендательная процедура?
У нас есть подзаконные акты, которые позволяют работодателю уже сейчас проводить процедуру оценки профессиональных рисков. Эти документы дают понимание, что процедура будет обязательной, и те изменения, которые планируются в 10-м разделе Трудового кодекса РФ, подтвердят это.
Работодателям следует проводить оценку профессиональных рисков, чтобы не попасть на штраф до 80 000 руб. в соответствии с ч. 1 ст. 5.27.1 КоАП РФ.
Как выбрать методы оценки профессиональных рисков пока нет утвержденной методики?
Методику проведения оценки профессиональных рисков еще не утвердили. Но работодателю не стоит ждать, когда примут этот документ. Проводить оценку рисков можно и нужно уже сейчас. Есть, например:
К выбору методики проведения оценки профессиональных рисков стоит подойти с учетом тех задач, которые вы перед собой ставите. Есть простые, среднесложные, очень сложные методы анализа.
Можно использовать, к примеру, метод Международной организации труда, дополнив его методами Элмери и Файна и Кинни. Дальше, уже начав работать с рисками, будете выбирать более сложные методы.
Какие локальные документы нужно утвердить в организации по результатам оценки профрисков?
Несмотря на то что нет нормативного документа, который определял бы, что у работодателя должна быть, к примеру, карта оценки рисков на рабочем месте или необходимость сформировать в организации реестр опасностей, у нас действует Приказ Роструда от 21.03.2019 № 77 «Об утверждении Методических рекомендаций по проверке создания и обеспечения функционирования системы управления охраной труда».
При внеплановых проверках госинспектор будет пользоваться методологией, определенной этим Приказом, — из нее мы можем почерпнуть те документы, которые по логике должны появиться в организации.
Образцы этих документов вы найдете в нашей шпаргалке.
В конце статьи есть шпаргалка
Следуя методическим рекомендациям по проверке создания и обеспечения функционирования системы управления охраной труда, мы понимаем, что это основные документы, которые должны быть в организации.
Остальные документы никак не регламентированы на законодательном уровне, но, возможно, в процессе работы с теми рисками, которые есть на ваших рабочих местах, у вас появятся и другие локальные документы.
Посоветуйте нашим читателям, как проводить оценку рисков: силами своей организации или отдать предпочтение внешним экспертам?
Работодатель не обязан выстраивать процедуру оценки профессиональных рисков так, как он проводил специальную оценку условий труда. Чтобы провести спецоценку условий труда, необходимо обратиться в аккредитованную организацию, которая соответствует определенным требованиям закона.
С оценкой профессиональных рисков такого нет — работодатель может провести ее своими силами, привлечь организацию или экспертов, которые ему в этом помогут.
Как показывает практика, провести полноценную оценку профессиональных рисков силами штатного специалиста по охране труда сложно. Работодателю необходимо сформировать комиссию или оценочную команду из специалистов по охране труда, пожарной безопасности, промышленной безопасности, специалистов по отдельным технологическим процессам, а также специалистов, которые знакомы с методологией оценки рисков.
Я бы рекомендовал привлекать внешних экспертов или направлять членов внутренней комиссии на специальное обучение.
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Динамическая оценка риска
Оценка рисков включает анализ рисков и опасностей на вашем рабочем месте и внедрение мер контроля для их устранения или снижения. Однако, если ваша рабочая среда внезапно меняется, как вы должны реагировать?
Динамическая оценка рисков позволяет быстро оценить изменение рабочей среды, чтобы вы могли продолжать выполнять свои обязанности безопасно. Эта статья объяснит, что такое динамическая оценка риска и когда вы можете ее использовать.
Что такое динамическая оценка риска?
Динамическая оценка рисков — это процесс постоянного наблюдения и анализа рисков и опасностей в изменяющейся среде или среде высокого риска. Это позволяет работникам быстро выявлять новые риски и устранять их.
Оценка профессиональных рисков производится заранее и повторяется далее на регулярной основе. И наоборот, динамические оценки риска являются «динамическими» или постоянно меняющимися и проводятся на месте отдельным лицом, когда он входит в новую среду или ее текущая среда изменяется.
Однако проведение динамической оценки риска не означает, что вам не нужно проводить формальную оценку риска. Динамические оценки риска должны дополнять и заполнять любые пробелы, которые вы не могли предсказать при завершении стандартной оценки риска. Вы должны провести динамическую оценку риска, прежде чем входить в новую ситуацию, и продолжать постоянно оценивать риски и опасности в случае изменения обстоятельств.
Когда можно использовать динамическую оценку риска?
Некоторые работы характеризуются одинокой работой, рискованными действиями и регулярно меняющимися условиями. Например, сотрудники аварийно-спасательных служб могут регулярно сталкиваться с ситуациями, когда важно быстро оценить риски и опасности. В этих случаях была бы целесообразна динамическая оценка рисков, чтобы гарантировать, что работники наблюдают и анализируют опасности и риски, характерные для обстоятельств этой ситуации.
Пример. Рассмотрим работника, который регулярно проводит посещения на дому. При проведении оценки риска они выявляют опасности, с которыми они могут столкнуться, и разрабатывают средства контроля для снижения или устранения рисков. Тем не менее, каждый визит будет отличаться, и могут быть риски, которые они не могли предсказать.
Однажды утром рабочий проводит визит на дом, и когда они входят в помещение, они сразу начинают чувствовать неуверенность в ситуации. Работник мгновенно осознает свое окружение и начинает оценивать риски. Он замечает предупреждающие знаки о том, что человек, которого он посетил, находится под воздействием наркотиков и алкоголя.
Работник должен осознать то, что знает о личности и ситуации, и задать себе следующие вопросы:
Задание таких вопросов поможет работнику оценить ситуацию. Затем они смогут решить, следует ли им продолжить посещение, как они могут сделать это безопасно и как они могут выйти из ситуации, если возникнет такая необходимость. Делая это, они проводят динамическую оценку риска, которая помогает им принять решение о устранении или снижении рисков.
Преимущества динамической оценки риска
Понимание того, как проводить динамическую оценку риска, имеет много преимуществ. Особенно важно, чтобы вы знали, как это сделать, если вы работаете в постоянно меняющихся условиях. Если вы можете провести динамическую оценку риска, вы:
Понимая, как проводить динамическую оценку риска, вы получите инструменты, необходимые для уверенной оценки любой ситуации, с которой вы столкнулись, и обеспечения безопасной работы.
Динамическая оценка риска – определение, как применять и что делать
Следует сразу определиться, что же такое эта самая оценка рисков. Обобщая различные определения западной системы ОТ, динамическая оценка рисков – это оценка рисков для данного производственного задания, проводимая непосредственно в процессе работы и после перерыва.
Один из методов такой оценки – оценка по принципу 4 Р (рус. 4 П).
4 Р – это plant, process, people, procedures. В переводе на русский: производственная площадка, производственный процесс, персонал, процедуры. Эти направления оцениваются с точки зрения изменений, происшедших с начала работы. Иными словами – происходит сравнение условий труда по этим направлениям с первоначальными, прописанными (либо подразумеваемыми, в нежелательном случае) в наряде-допуске, рабочем задании, анализе безопасности работ.
Следует понимать, что динамическая оценка риска – это процесс постоянный, требующий внимания в течение всего выполнения задания и особенно после перерыва либо в предусматриваемые для такой оценки краткосрочные перерывы.
Примеры по направлениям : появились параллельные работы, другая группа работников выполняет задание «по соседству» (направление – производственная площадка), изменение в составе техники / оборудования / инструментов для данного задания (направление – производственный процесс), изменение количества членов рабочей бригады (направление – персонал), изменение объема работ в силу любых причин (направление – процедуры, т.е. технологические инструкции, руководства, и т.п.).
Результаты оценки не являются «немедленными», а порой даже и «очевидными».
Но на самом деле «переоценка» рисков рабочего задания, пересмотр опасных и вредных производственных факторов (которые могут измениться в процессе выполнения работ), и применение корректирующих мер безусловно ведут к снижению рисков и травмоопасности. Наиболее элементарный и доступный пример – остановка работ при резком повышении скорости ветра (грузоподъемные операции). Пример посложнее – начало складирования материалов (для укладки труб) вблизи траншей при производстве работ внутри траншеи (выемка грунта вручную).
При кажущейся элементарности и обязательности выполнения таких требований – увы, выполняются они нередко «на авось» («нам это не мешает») и исходя из требований «завершить задание побыстрее». Недаром, одна из причин (подавляющая) всех зарегистрированных на территории РФ несчастных случаев – это «неудовлетворительная организация работ».
Финалом оценки становится решение – остановить работы для принятия корректирующих мер (возможно даже, полный пересмотр анализа безопасности работ; отмена работ в связи со значительным пересмотром объема работ) либо продолжить работы, т.к. условия фактически не изменились.
Как можно применить такую оценку на практике?
Приведем некоторый алгоритм:
1. Решение о внедрении динамической оценки
2. Разработка документа-путеводителя: памятка, перечень вопросов, инструкция и т.п. Документ-путеводитель будет использоваться в качестве «подсказки» – «куда и на что смотреть»
3. Выделить «пятиминутки» в течение работы – именно для выполнения динамической оценки риска
4. Для регистрации оценки – разработать документ, либо доработать существующие документы (наряд, форма анализа безопасности работ и т.п.)
5. На совещаниях регулярно доводить до работников всех уровней цели и выгоды динамической оценки рисков
6. Разработать меры поощрения при правильно проведенной динамической оценке рисков
Помните, ваша задача – не просто научить мастеров (ИТР, руководителей среднего и низшего звена), но и дать им «инструмент» для применения того, чему учили, на практике.
Примеры вопросов по динамической оценке риска (возможные вопросы):
1) Достаточны ли принятые меры по защите работников от травматизма при данном процессе?
2) Добавилось ли новое оборудование?
3) Учтено ли выполнение этой операции в технологической инструкции (ином руководящем документе)?
4) Имеются ли вопросы – как именно следует выполнять ту или иную операцию?
5) Не появились ли рядом с участком работники, выполняющие другие задания (появление смежных работ, параллельных работ, перекрестных работ)?
© Область на островах
Понравилась статья? Тогда, переведи, пожалуйста, шестнадцать российских рублей на наш кошелек. Все сборы идут на развитие сайта, оплату хостинга, рекламы (в т.ч. в соцсетях).
Ключевые слова статьи: оценка рисков, динамическая оценка, принцип 4 Р, как проводить динамическую оценку риска, как внедрить, вопросы для динамической оценки
Какое действие не входит в алгоритм проведения динамической оценки рисков дор
ГОСТ Р ИСО/МЭК 31010-2011
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ ОЦЕНКИ РИСКА
Risk management. Risk assessment methods
* По данным официального сайта Стандартинформ
Дата введения 2012-12-01
Сведения о стандарте
1 ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно-исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2004 (подраздел 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительных приложениях ДА и ДБ
Введение
Практически все организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей.
Цели организации могут затрагивать различные аспекты ее деятельности: от стратегии до выпуска конкретной продукции, разработки процессов и проектов. Цели могут быть определены в социальной, экологической, технологической, коммерческой, финансовой и экономической областях, а также в области репутации организации, ее безопасности и социального, культурного, политического воздействия на население.
Всей деятельности организации соответствует риск. Менеджмент риска помогает в принятии решений в условиях неопределенности и возможности возникновения событий или обстоятельств (плановых и непредвиденных), воздействующих на достижение целей организации.
Менеджмент риска включает применение логических и системных методов для:
— обмена информацией и консультаций в области риска;
— установления области применения при идентификации, анализе, оценке и обработке риска, соответствующего любой деятельности, процессу, функции или продукции;
— мониторинга и анализа риска;
— регистрации полученных результатов и составления отчетности.
Оценка риска является частью процесса менеджмента риска и представляет собой структурированный процесс, в рамках которого идентифицируют способы достижения поставленных целей, проводят анализ последствий и вероятности возникновения опасных событий для принятия решения о необходимости обработки риска.
Оценка риска позволяет ответить на следующие основные вопросы:
— какие события могут произойти и их причина (идентификация опасных событий);
— каковы последствия этих событий;
— какова вероятность их возникновения;
— какие факторы могут сократить неблагоприятные последствия или уменьшить вероятность возникновения опасных ситуаций.
Кроме того, оценка риска помогает ответить на вопрос: является уровень риска приемлемым, или требуется его дальнейшая обработка? Настоящий стандарт основан на успешно применяемых методах оценки риска и не содержит новых, неапробированных понятий и методов.
Настоящий стандарт является основополагающим стандартом в области менеджмента риска и предназначен для предприятий различных отраслей промышленности. Нормативные документы, содержащие методы и критерии оценки риска для конкретных отраслей, должны соответствовать требованиям настоящего стандарта.
1 Область применения
Настоящий стандарт разработан в дополнение к ИСО 31000 и содержит рекомендации по выбору и применению методов оценки риска.
Оценка риска, выполненная в соответствии с настоящим стандартом, применима при выполнении других элементов процесса менеджмента риска.
В настоящем стандарте представлены методы оценки риска и даны ссылки на другие международные стандарты, в которых более подробно описано применение конкретных методов оценки риска.
Настоящий стандарт не предназначен для целей оценки соответствия и использования в качестве обязательных или договорных требований.
Стандарт не содержит конкретных критериев для принятия решения по анализу риска и указаний по применению методов анализа риска в конкретной ситуации.
Настоящий стандарт допускает использование других методов оценки риска с учетом их применимости в конкретной ситуации.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:
3 Термины и определения
В настоящем стандарте применены термины и определения по Руководству ИСО/МЭК 73.
4 Понятие оценки риска
4.1 Цели и преимущества
Основной целью оценки риска является представление на основе объективных свидетельств информации, необходимой для принятия обоснованного решения относительно способов обработки риска.
Оценка риска обеспечивает:
— понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации;
— получение информации, необходимой для принятия решений;
— понимание опасности и ее источников;
— идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем;
— возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов;
— обмен информацией о риске и неопределенностях;
— информацию, необходимую для ранжирования риска;
— предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов;
— выбор способов обработки риска;
— соответствие правовым и обязательным требованиям;
— получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями;
— оценку риска на всех стадиях жизненного цикла продукции.
4.2 Оценка риска и структура менеджмента риска
Оценка риска, установленная в настоящем стандарте, соответствует структуре и процессу менеджмента риска, установленным ИСО 31000.
Структура менеджмента риска предусматривает установление политики, процедуры и организационных мероприятий, направленных на внедрение менеджмента риска во всех подразделениях организации.
Организация должна официально сформулировать политику и стратегию в области менеджмента риска, а также применять соответствующие методы оценки риска.
Ответственные за оценку риска должны знать:
— область деятельности и цели организации;
— уровень приемлемого риска и способы обработки неприемлемого риска;
— способы интеграции процессов оценки риска в процессы менеджмента организации;
— методы оценки риска и способы их применения в процессе менеджмента риска;
— систему подотчетности, распределения ответственности и полномочий в области оценки риска;
— требуемые и доступные ресурсы для выполнения оценки риска;
— способы регистрации и анализа оценки риска.
4.3 Оценка риска и процесс менеджмента риска
4.3.1 Общие положения
Оценка риска является основным элементом процесса менеджмента риска, включающего в соответствии с ИСО 31000 следующие элементы:
— обмен информацией и консультации;
— установление области применения менеджмента риска;
— оценку риска (включая идентификацию риска, анализ риска и сравнительную оценку риска);
— мониторинг и анализ риска.
Являясь основным элементом процесса менеджмента риска, деятельность по оценке риска должна быть интегрирована в другие элементы этого процесса.
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.