Upload
luka
View
440
Download
21
Embed Size (px)
Citation preview
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
1/26
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
2/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
S a d r ž a j :
+ Uvod.
' #/T0"0$01%23 43 P506/NU 5%4%738
'+ Uspostavljanje konteksta za procenu rizika8
'++ "einisanje parametara za upravljanje rizikom,
'+' "einisanje obima i 9ranica procesa upravljanja rizikom,
'+. Uspostavljanje i or9anizacija tima za upravljanje rizikom(
'+8 Uspostavljanje strukture procesa analize i procene rizika(. Proces procene rizika
8 3naliza rizika
8+ %dentiikacija aktora rizika;
8' %dentiikacija i estimacija inormacione imovine:<
8. %dentiikacija i estimacija ranjivosti+.
88 %dentiikacija i estimacija pretnji+,
8, /stimacija uticaja pretnji na ranjivost sistema+<
, /valuacija aktora rizika'+
,++ /stimacija aktora preostalo9 rizika''
( Procena bezbednosno9 rizika'.
4aklju=ak',
; $iteratura'(
- 2 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
3/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
1 Uvod
"a bi se podrobnije objasnio proces procene rizika& najpre je neophodno deinisati šta podrazumeva sam pojam rizika Uobi=ejeno& pod rizikom se podrazumeva svaka mo9ućnost ukonkretnom sistemu& koja sa odre>enom verovatnoćom može izazvati neku neo=ekivanu promenu kvaliteta ?5izik podrazumeva pro9nozu mo9uće štete& odnosno 9ubitka@+ Procenarizika je subjektivan proces #e>utim& praćenjem odre>enih principa& subjektivnost se možesmanjiti na najmanji mo9ući nivo Prema 4akonu o bezbednosti i zdravlja na radu& procena rizika jeste sistematsko evidentiranje i procenjivanje svih aktora u procesu rada koji mo9u uzrokovatinastanak povreda na radu& oboljenja ili oštećenja zdravlja i utvr>ivanje mo9ućnosti& odnosnona=ina spre=avanja& otklanjanja ili smanjenja rizika %na=e& procena rizika je sastavni deo procesa
upravljanja rizikom i obuhvata proces identiikovanja potencijalnih opasnosti& analize i ocenerizika Pored deinisanja samo9 procesa procene rizika od relevantno9 zna=aja je i kako serealizuje taj proces u praksi"a bi se od9ovorilo na pitanje kako sprovesti procenu rizika& potrebno je deinisati:
+ #etodolo9iju za sprovo>enje postupka procene rizika
' Proceduru sprovo>enja postupka procene rizika
#etodolo9ija sprovo>enja postupka procene rizika deiniše al9oritam& alate i na=in sprovo>enja
postupka procene& a procedura sprovo>enja postupka procene rizika deiniše standardizovani nizkoraka koje obezbe>uje sprovo>enje postupka u skladu sa preporukama od9ovarajućih zakona& propisa& kao i preporuka dobre prakseProcena rizika je prevashodno empirijski proces donošenja inženjerskih odluka& na osnovu znanjai iskustva& sa ciljem povećanja stepena bezbednosti i zdravlja na radu& uz korišćenje poznatih i priznatih metoda U svetu postoji veliki broj priznatih metoda za procenu rizika ormiranih odstrane razli=itih udruženja i asocijacija& ali nijedna od njih ne propisuje izbor preventivnih merakojim bi se smanjio ili otklonio rizik 0 zna=aju procesa procene rizika 9ovori nam i poznatikineski pisac i ilozo !un 6u& koji je živeo pre oko ,** 9odina pre naše ere i koji je još tada
napisao delo ?Veština ratovanja@ %z to9 dela se može izvući izreka koja ukazuje na zna=ajnost procene rizika i ona 9lasi: ?Procenom rizika svaka bitka je dobijena& i pre ne9o što je zapo=eta@
+ 7eković 4& !avić !& #ilošević # A 2ovanović "B'*++C Procena rizika u zaštiti lica& imovinei poslovanja Deo9rad: 6entar za analizu rizika i upravljanje krizama
- 3 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
4/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
2 METODOLOGIJA ZA PROCENU RIZIKA
Be!ed"o#"$ r$$% se može deinisati kao unkcija:
vred"o#&$ inormacione imovine Basset valueC E 3F %o'!$"ova"$( )re&"j$ BthreatsC - T ili verovatnoće ostvarivanja pretnje E napada& koji
može naneti štetu imovini B3C& ra"j$vo#&$ BvulnerabilitiesC - V& objekata inormacione imovine i uticaja E U ili
verovatnoće da će jedna ili kombinacija pretnji iskoristiti ranjivosti i naneti štetu i )o#&oje*$( $+$ )+a"$ra"$( %o"&ro+a a,&$&e B security controlsC E Mz, koje mo9u ublažiti
ranjivosti& pretnje i uticaj
2-1 U#)o#&av+ja"je %o"&e%#&a a )ro.e"/ r$$%a
7ontekst procene rizika varira u odnosu na potrebe or9anizacije& u zavisnosti od to9a da li se pruža ili zahteva uslu9a zaštite lica& imovine ili poslovanja B7ekovic& '*++C
Proces uspostavljanja konteksta za analizu rizika odvija se kroz 8 osnovne aze:
+ "einisanje osnovnih parametara za upravljanje rizikomF' "einisanje obima i 9ranica analize i procene rizikaF. Uspostavljanje i or9anizacija tima za upravljanje rizikomF8 Uspostavljanje strukture i procesa za analizu i procenu rizika
2-1-1 De0$"$#a"je )ara'e&ara a /)rav+ja"je r$$%o'
- 4 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
5/26
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
6/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
U azi uspostavljanja i or9anizacije tima za upravljanje rizikom vrše se sledeće aktivnosti:identiikacija i analiza relevantnih u=esnika& izbor lidera tima& izbor =lanova tima Bizvršnimenadžer& prakti=ar - poznavalac poslovnih procesa& pravnik& administrator sistemaGmreže&specijalista zaštiteC& deinisanje ulo9a i od9ovornosti svih u=esnika i uspostavljanje zahtevanihodnosa i otune komunikacije izme>u tima i or9anizacije kao i dru9ih projekata i aktivnosti
2-1-3 U#)o#&av+ja"je #&r/%&/re )ro.e#a a"a+$e $ )ro.e"e r$$%a
Tok procesa analize i procene rizika uspostavlja se u odnosu na strateške poslovne ciljeveor9anizacije& a obuhvata sledeće BpotCprocese: usostavljanje konteksta za uravljanje rizikom(okvira za IM+, identi$ikovanje, analiza, evaluacija i rocena rizika, tretman rizika i
rihvatanje reostalog rizika, B!l ..C
l .
truktura rocesa uravljanja rizicima
U procesu procene rizika zahteva se potpuna komunikacija koja podrazumeva kvalitetnouspostavljanje veza i potpuno razumevanje zna=enja prenesenih inormacija izme>u svih u=esnikau procesu upravljanja rizikom u svakoj azi procesa 6iljevi komunikacije uklju=uju& izme>u
ostalo9& sakupljanje inormacija za identiikaciju aktora rizika& analizu toka inormacija zaizbe9avanje ili redukciju uticaja bezbednosno9 incidenata& konsultacije za poboljšavanjeme>usobno9 razumevanja procesa upravljanja rizika kod relevantnih u=esnika itd U ranoj azi procesa procene rizika treba razviti plan komunikacije i sva pitanja koja se odnose na sam proces iupravljanje procesom
- 6 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
7/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
Procedura za upravljanje rizikom treba da obezbedi si9urnost upravljanja rizikom& skupljanjeinormacija o riziku i otpornost sistema zaštite na proboje zbo9 eventualno9 nerazumevanjarelevantnih u=esnika i donosioca odluka 1lavni cilj izrade procedure za upravljanje rizikom je da prenese 9eneralan stav or9anizacije prema zaštiti i smanji uticaj proboj sistema zaštite na poslovne procese
#onitorin9 i revizija procesa upravljanja rizikom identiikuje promene aktora rizika u ranoj azi&obezbe>uje re9ularnu reviziju svih BpodCprocesa upravljanja rizikom i kad se do9ode 9lavne promene 1lavni cilj revizije procesa je da se odredi relevantnost tekuće procene rizika i po potrebi preduzmu korektivne akcije& uklju=ujući redeinisanje: konteksta& kriterijuma za evaluacijurizika& pristupa i metodolo9ije za procenu rizika& opcija tretmana rizika& metoda komunikacije itdPredmet revizije u procesu upravljanja rizikom su: le9alni okvir i kontekst okruženja&konkurencija& kriterijumi za evaluaciju rizika& kate9orizacija i vrednovanje inormacione imovine& pra9 za odlu=ivanje o tretmanu rizika i vrednovanje troškova implementacije kontrola zaštite
Pro.e# )ro.e"e r$$%a
Proces za procenu rizika Brisk assessmentC obuhvata sledeće aze:
− analizu rizika Bidenti$ikaciju i estimacijuC i− evaluaciju rizika
3 A"a+$a r$$%a
A"a+$a r$$%a )odra/'eva a"a+$/ #va%o 0a%&ora r$$%a4 / od"o#/ "a &o a,&o $ %a%o 'oženastati U tom smislu aktore rizika treba identiikovati& a zatim izvršiti estimaciju svako9identiikovano9 aktora rizika
7ešetović istiće da:?3naliza rizika obuhvata razmatranje uzroka i izvora potencijalnih opasnosti& njihovih pozitivnih i ne9ativnih posledica& kao i verovatnoću pojavljivanja potencijalnih opasnosti&uzimajući u obzir prisustvo& ili odsustvo& i eikasnost postojećih mera kontrole@ '
Identi$ikacija otencijalnih oasnosti podrazumeva identiikaciju hazarda& aktora rizika iopasnosti i zloženosti rizicima koju su zna=ajni za bilo koje ciljeve politike poslovanjaor9anizacije B7ešetović& '*++C 0r9anizacija je dužna da identiikuje izvore rizika& do9a>aje ili nizokolnosti& kao i njihove potencijalne posledice& i sve to kako bi se sastavila sveobuhvatna lista
' 7eković 4& !avić !& #ilošević # A 2ovanović "B'*++C Procena rizika u zaštiti lica& imovinei poslovanja Deo9rad: 6entar za analizu rizika i upravljanje krizama
- 7 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
8/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
mo9ućih opasnosti koje su zasnovane na dešavanjima koja mo9u biti od pomoći tako što ćeusporiti ili spre=iti ostvarenje ciljeva Prilikom identiikovanja potencijalnih opasnosti pažnju jeneophodno usmeriti ka relevantnim i ažuriranim inormacijama U tom procesu je potrebnoan9ažovati eksperte sa od9ovarajućim znanjem
3-1 Ide"&$0$%a.$ja 0a%&ora r$$%a
%dentiikacija aktora rizika mora biti sveobuhvatna& struktuirana i ar9umentovana 7orisno jeidentiikovati aktore rizike koje treba tretirati pod kontrolom or9anizacije& ali i izvan te kontroleIaktori rizika se mo9u nalaziti u oblasti in$ormacione imovine-A , kombinovanih retnji-5T iranjivosti sistema-6 , a identiikuju se u odnosu na parametre verovatnoće Brekvencije pojave iintenzitetaC i uticaja-U Bposledica& šteteC na poslovne procese& ili verovatnoće uticaja da će pretnjaGe iskoristiti ranjivostGi U ovoj azi se deinišu i neprihvatljive posledice uticaja aktora
rizika& kao i primenljivi metodi za identiikaciju aktora rizika: )ek liste, intervjui, sistemskaanaliza i sistem inženjerske tehnike 0=ekivani izlazi iz ove aze procesa analize rizika su:
− I+a +: Inventar in$ormacione imovine (vrednosti+− I+a ': /aksonomija relevantnih retnji
− I+a .: /aksonomija relevantnih ranjivosti
0stimacije arametara rizika može biti kvantitativna& statisti=ko-numeri=ka aproksimacija ilikvalitativna& na bazi parametra kvaliteta Bnpr& nizak, srednji, visok C- 0va aza analize rizika
uklju=uje sve aktore neodre>enosti u proceni rizika& BN%!T !P ;**-.*C Iaktori neodre>enosti u proceni rizika mo9u se smanjiti primenom ormalnih modela i složeno9 matemati=ko9 aparata& što je nerentabilno i prakti=no se retko koristi !asvim prihvatljiv metod redukcije aktoraneodre>enosti u proceni rizika je izbor najnepovoljnije estimacije& koja dovodi do veće9 rizika&=ime se proaktivno deluje na izbor robustnijih kontrola zaštite za eektivniji tretman rizika .
Naime& parametri rizika BA4 T4 6C& relativno nezavisnih objekata mo9u se u estimaciji relativno9 preostalo9 rizika E Rr množiti ili sabirati:
Rr7 A8685T4 $+$ Rr7A9695T -1;
7ako se množenjem istih veli=ina dobija veći iznos& množenjem parametara rizika umanjuju se posledice uticaja aktora neodre>enosti parametara rizika na ta=nosti procene rizika& pa je boljaaproksimacija od sabiranja parametara rizika
. &&/stimacija je proces procene vrijednosti& veli=ina od interesa na osnovi dostupnih merenja&koja su u9lavnom posredna& neta=na i Gili nesi9urna@ @Teorija estimacije@& Iakultet elektrotehnikei ra=unarstva& !V/UJ%$%KT/ U 4315/DU
- 8 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
9/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
3-2 Ide"&$0$%a.$ja $ e#&$'a.$ja $"0or'a.$o"e $'ov$"e:
"einicija in$ormacione imovine or9anizacije u standardu %!0G%/6 '**+ obuhvata dve klju=nekate9orije: listu invent ara i bezbednosnu kategorizaciju i klasi$ikaciju inormacione imovine Podinventarom in$ormacione imovine u standardu se podrazumevaju svi materijalni i nematerijalniobjekti koji imaju neposredan i posredan zna=aj za bezbednost inormacija 1lasi$ikacijain$ormacione imovine& prema standardu %!0G%/6 '**'& prepoznaje ( kate9orija 9rupisanih u)istu in$ormacionu imovinu& $izi)ku imovinu i humanu imovinu& ali ostavlja i mo9ućnost daor9anizacija uvede i nove kate9orije ukoliko postoji potreba U skladu sa obimom i nivoom procenjeno9 rizika& inventar imovine or9anizacije& treba srazmerno ali ne previše detaljno&9rupisati u bezbednosne kate9orije da bi se smanjila kompleksnost analize i procene rizika 0vo jeveoma zna=ajna aza& jer predstavlja ulaz u proces analize rizika Propusti u izradi ove liste mo9u
imati velike posledice& jer se neće tretirati kroz proces analize& procene i ublažavanja rizika!vi objekti inormacione imovine treba da imaju svoje vlasnike BstaraoceC& odnosno da za njih budu zaduženi neki entiteti or9anizacije Vlasništvo nad inormacijama mo9u imati poslovni procesi& deinisani skup aktivnosti& aplikacije& deinisane 9rupe podataka i zaposleni 5utinski poslovi sa vlasni=kim inormacijama ili objektima imovine mo9u biti dele9irani& ali od9ovornostostaje na vlasniku Vlasnici koji su zaduženi za objekte inormacione imovine& od9ovorni su zaklasi$ikaciju in$ormacija i bezbednosnu kategorizaciju imovine& odre>ivanje prava pristupaBovlašćenja i privile9ijaC i periodi=nu proveru restrikcija pristupa i ovlašćenja
%normacije mo9u imati razli=ite stepene osetljivosti i kriti=nosti za poslovanje 6ilj klasiikovanja
inormacija je održavanje od9ovarajuće9 nivoa zaštite %normacije treba klasiikovati po potrebi& prioritetima i o=ekivanoj poverljivosti prilikom upotrebe Neke od njih zahtevaju posebnetretmane i stepene specijalne zaštite Kema za klasiikovanje inormacija treba da sadrži stepeneosetljivosti i uputstva za upotrebu u zavisnosti od stepena osetljivosti inormacija 0d9ovornost zaklasiikaciju inormacija snosi vlasnik& staraoc& odnosno zaduženo lice& ili proces U praksi senaj=ešće uspostavlja nekoliko stepena klasiikacije osetljivosti inormacija& na primer:
Javne informacije" naj=ešće ne zahtevaju dodatni stepeni zaštiteF dostupne su svim
zainteresovanim licima Bnpr& marketinški materijal& javni izveštaji itdCF Interne informacije" inormacije koje se mo9u koristiti samo u or9anizacijiF Poverljive informacije" ukazuju na stepen osetljivosti i po pravilu dozvoljavaju pristup
samo unapred deinisanoj 9rupi korisnikaF Strogo poverljive informacije" za razliku od prethodne 9rupe zahtevaju i niz dodatnih
mera zaštita koje su odre>ene u klasiikacionoj šemi
7lasiikacionu šemu i mere u odnosu na klasiikaciju svaka or9anizacija kreira prema svojim potrebama i mo9ućnostima Ditno je napomenuti da je u praksi 9otovo nemo9uće naći
- 9 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
10/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
or9anizaciju koja ima savršen sistem klasiikacije inormacija& iz nekoliko razlo9a: inormacije se=esto ne klasiikuju& zaposleni se ne pridržavaju instrukcija i mera iz klasiikacione šeme ili sezahteva višekratna primena klasiikacije nad istom inormacijom Bšto je najteže izvodljivoC4atim& %normacije tokom korišćenja u=estvuju u procesima& mo9u biti podložne promeniklasiikacije u odnosu na vremenski period Bneke stro9o poverljive& to više nisu posle odre>eno9
vremenaC& a =esto se ukazuje i potreba za promenom vlasnika inormacije u procesu Tajkomplikovani proces nije uvek jednostavno ispratiti& pa sistem klasiikacije inormacija uvek treba poboljšavati Na ovaj proces se tako>e može primeniti P"63 model kao na=in poboljšanjasistema klasiikacije& što je sa aspekta %!#! "emin9ov ?to)ak u to)ku2 Pravilna upotreba inormacija i dru9ih objekata inormacione imovine treba da budu deinisana&dokumentovana kroz olitike komonenti sistema zaštite3 i implementirana !va razvijena pravilaobuhvaćena obimom i kontekstom %!#! politike& treba da budu odobrena od strane 9lavno9menadžmenta& a od9ovornost za poštovanje i sprovo>enje pravila snose zaposleni na koje seodnose
4a estimaciju vrednosti imovine BAC mo9u se izabrati kvantitativne ili kvalitativne skale 9radacije 1vantitativna skala gradacije imovine izražava se u nov=anim jedinicama& što uvek nije dovoljnoza sve objekte imovine 1valitativna skala gradacije imovine može se kretati u razli=itimopsezima kvalitativne procene& na primer& zanemarljiv, vrlo nizak, nizak (N+, srednji (+, visok (V+,vrlo visok, kriti)an 7ako se za bezbednosnu kate9orizaciju imovine uzima najnepovoljniji slu=aj&dovoljna je skala 9radacije: N& !& V 4a pripisivanje vrednosti objektima inormacione imovine&mo9u se koristiti brojni& nedvosmisleni i dokumentovani kriterijumi Bnajteža aza ovo9 korakaC&kao što su: originalna nabavna cena, troškovi zamene i!ili re-kreiranja u slu)ajukvara!destrukcije, astraktne vrednosti, kao gubitak ugleda, klijenata, konkurentske rednosti na
tržištu i sl, troškovi nastali gubitkom overljivosti, rasoloživosti i integriteta , uklju)ujući
neorecivost, autenti$ikaciju i ouzdanost
Tako>e& mo9u se koristiti i 9eneri=ki kriterijumi za estimaciju& kao što su: ovreda zakona i!ilinormativa, neuskla4enost er$ormansi oslovnih rocesa, gubitak dobre volje!negativan uticaj na
reutaciju, ugrožavanje rivatnosti li)nih in$ormacija, ugrožavanje li)ne sigurnosti, negativan
uticaj na rimenu zakona, narušavanje javnog reda, $inansijski gubici, rekidanje oslovnih
aktivnosti i ugrožavanje životne sredine
Neki objekti inormacione imovine mo9u imati više kriterijuma za pripisvanje vrednosti& na primer& 5lan oslovanja Bbiznis planC& može se vrednovati na bazi vrednosti razvoja i izrade lanaB3pC& vrednosti unosa odataka u lan B3dC i vrednosti lana za konkurenciju B3kC
1vantitativna rocena vrednosti imovine uklju=uje cenu nabavke& implementacije i održavanja!ve vrednosti višestruke i kombinovane procene se maksimiziraju Bprema kriterijumu bezbednosne kate9orizacije-DkC ili sabiraju Bšto je manje ta=noC 7ona=na vrednost koja se
8 N%!T politiku zaštite deiniše na nivou %7T! or9anizacije& sistema zaštite B%!#!C i komponentisistema zaštite E pravila
- 10 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
11/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
dokumentuje mora biti pažljivo odre>ena Na kraju& sve estimacije vrednosti objekata 3 trebaredukovati na zajedni=koj osnovi
Vrednost A 9eneralno se procenjuje na bazi zna=aja objekta inormacione imovine za poslovanjeor9anizacije& tako da najzna=ajniji Bnajkriti=nijiC objekti imaju najveću vrednost A U objektnom
pristupu& vrednost 3 se može odrediti sabiranjem relativno nezavisnih atributa kvaliteta objekatainormacione imovine& koji aditivno doprinose njihovoj vrednosti za or9anizaciju:
A = Pv 9 R9 I" -2;9de je: Pv-overljivost, 5 -rasoloživost, %n-integritet objekta inormacione imovinePrimera izbora kriterijuma za estimaciju težinskih aktora i prora=una vrednosti A4 koji se primenjuju na sve tri 9rane objekata za zaštitu BPv& 5& %nC& a sabiraju za procenu kona=ne vrednosti3& dati su u tabelama .' i ..Tabela T ' 7riterijumi za odre>ivanje težinskih aktora vrednosti 3
N$vovred"o#&$
Tež$"#%$0a%&or
De0$"$.$ja < %r$&er$j/'$
"ajve*$ +
0vi objekti imaju najvišu vrednost zaor9anizaciju i mo9u se vrednovati i više od
mrežne i tekuće tržišne o=ekivanevrednosti Njihov 9ubitak ili uništenjemože imati ozbiljan uticaj na ukuno
oslovanje organizacije
#red"jev$#o% '
0vi objekti imaju vrlo visoku vrednost za procese rada i njihov 9ubitak ili uništenjemože imati ozbiljan uticaj na neke oslove
organizacije
#red"j$ .
0vo su zna=ajni objekti or9anizacije kojimo9u biti zamenjeni& a njihov 9ubitak iliuništenje može imati trenutne i ozbiljne
osledice za ro$itabilnost oslova
#red"je"$a%
8
0vo su zamenljivi objekti& a pošto je cenazamene relativno visoka& mo9u imati samo
umeren uticaj na ukunu ro$itabilnost
oslova#red"je"$a%
,0vo su objekti koji nemaju stvarnu
ekonomsku vrednost unutar procesa rada imogu se lako i je$tino zameniti
- 11 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
12/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
Tabela T . Prora=un vrednosti 3
N$voA;
E#&$'a.$ja
De0$"$.$ja
Najviši
+
0va inormaciona imovina B3C ima najveću vrednost zaor9anizaciju& a može se vrednovati više od nabavnevrednosti& ili o=ekivane& ili marketinške vrednosti
1ubici ili destrukcija ove imovine može imati veomaozbiljan uticaj na poslovanje
"ru9i '0va inormaciona imovina je veoma vredna za
poslovne procese& a 9ubitak ili destrukcija ove imovinemože imati ozbiljan uticaj na poslovanje
Treći .
0vo je važna inormaciona imovina koja se možezameniti tamo 9de njeni 9ubici ili destrukcija mo9u
imati ozbiljan i neposredan uticaj na proitabilno poslovanje
Jetvrti 80vo je zamenljiva inormaciona imovina& a pošto sutroškovi zamene relativno visoki biće samo srednji
uticaj na ukupno poslovanje
Najniži
,0vo je inormaciona imovina koja nema stvarnu
ekonomsku cenu u poslovnim procesima i može se lakozameniti uz minimalne troškove
- 12 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
13/26
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
14/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
Tabela T 8 Primer procene relevantnih aktora ranjivosti
A&r$!/&$ra"j$vo#&$#$#&e'a
Pro.e"a ra"j$vo#&$> V
1; 6$d+j$vo#&D;
Verovatnoća da kompetentan a9ent pretnje postanesvestan vrednosti inormacije i da može pristupiti oviminormacijama
2; Kor$#"o#&Ko;
Verovatnoća da a9ent pretnje uvidi korisnost inormacije&da će inormacija zadovoljiti neku zainteresovanuBkonkurencijuC
; Traj"o#&Tr;
"atum iza ko9a inormacija više neće biti korisnanapada=u i mo9ućnost korišćenja inormacije pre to9a
datuma
3;I#%or$#&$vo#&I#;
#o9ućnost upotrebe inormacije na vreme i na na=inkoji su kriti=ni za vlasnika inormacije Potreba zadodatne inormacije da bi napada= iskoristio postojeće&stekao prednost ili u9rozio vlasnika
=; Za,&$*e"o#&Za;
Postojanje dokumentovane politike zaštite poslovnihtajni ili intelektualne svojine Pristup korisnikainormacijama o9rani=en u skladu sa politikom zaštite7orisnici su potpisali sporazum o neotkrivanjuinormacija N"3 B Non #isclosure 7greement C
!vakom od9ovoru u T ., pripisuje se jedan od ponu>enih težinskih aktora primenjene metrikeB+E,F +E+*F nizak, srednji, visok itdC onako kako ih procenjuju vlasnici objekata BmenadžeriC5anjivost objekata %7T sistema =esto je teško procenjivati pre incidenta& jer u suštini naj=ešćenapad potvr>uje da li postoji ranjivost u hardveru& sotveru& poslovnim procesima i ljudima Uovom procesu pored liste pitanja za 9lavne atribute parametra ranjivosti u T .,& obavezno trebaispitati sledeće ta=ake ranjivosti: nedostatak ili neadekvatnost olitike, standarda i rocedura8nedostatak ili neadekvatnost obuke8 loše de$inisane uloge i odgovornosti, dodeljeni nalozi i
ovlašćenja8 oznate greške sistemskog! alikativnog so$tvera8 nestabilnost & i veliki broj
ristunih ta)aka ra)unarskoj mreži8 mogućnost $izi)kog ristua rostorijama sara)unarima!serverima i drUkupna vrednost V može se odrediti estimacijom pojedina=nih aktora na sli=an na=in kao i parametra 3 4a razliku od aditivnih komponenti vrednosti 3& ukupne vrednosti ranjivosti V semultiliciraju& na primer& ako ima '* ra=unarskih sistema sa po +, ranjivih ta=aka& onda je ukupnaranjivost %7T sistema: V'*O+,.**
- 14 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
15/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
U procesu estimacije ranjivosti& treba procenjivati ranjivosti po svim 9lavnim atributima za svakuta=ku ranjivosti& a zavisno od zahtevane dubine analize rizika& mo9uće je primeniti metod analizerizika procesa rada& unkcionalnih celina& kriti=nih objekata ili strukturni metod brze analizerizika BD35C& L',M 0snovni proaktivni metod za procenu ranjivosti %7T! podrazumeva testiranjei uklju=uje automatizovani alat za skeniranje ranjivosti B5!G5#C& bezbednosno testiranje i
evaluacijaE!T/ B!ecurit Testin9 and /valuationC i testiranje na proboj #etod skeniranja je pouzdan za kontrolu ranjivosti& ali može proizvesti lažne pozitive Proces !T/ eektivnostikontrola zaštite u operativnom okruženju vrši se u procesu sertiikacije i akreditacije sistemaB6A3C Testiranje na proboj proverava mo9ućnost zaobilaženja kontrola zaštite sa aspekta izvora pretnji Beti=ki hakin9C
3-3 Ide"&$0$%a.$ja $ e#&$'a.$ja )re&"j$
Ide"&$0$%a.$ja $ e#&$'a.$ja )re&"j$: 5retnja BTC je potencijalna šteta za in$ormacionu imovinu or9anizacije- Postoji više taksonomija pretnji !tandard %!0G%/6 '**, deli pretnje na rirodne( E + ili humane( H + i namerne ( D + ili slu)ajne( A +
5ealna pretnja je naj=ešće kombinacija ovih izvora i dinami)ki se menja u vremenu U kontekstu iobimu analize i procene rizika treba identiikovati sve relevantne pretnje 4atim& za svakuindividualnu pretnju treba identi$ikovati izvor retnje i roceniti verovatnoću realizacije-rekvenciju pojave i intenzitet 4a ovu procenu dovoljno je koristiti skalu 9radacije: N& !& V
7ako za neki poslovni sistem& menadžeri i zaposleni najbolje poznaju pretnje& ulazne veli=ine za procenu pretnji treba obezbediti od: vlasnika ili korisnika objekta imovine, odeljenja zauravljanje ljudskim resursima, izvršnih menadžera, I1/ secijalista, secijalista zaštite i dr
(ravnik, nr+, statisti)ki odaci i taksonomije retnji iz baza znanja Upotreba taksonomije pretnji je korisna& ali treba uzimati u obzir dinamiku promena kombinovanih pretnji zbo9 promena poslovanja& tehnolo9ija& okruženja& malicioznih kodova itd Primeri taksonomija pretnji i skala9radacije za procenu pretnji& prema standardima %!0G%/6 '**, i N%!T !P ;**-.* dati su uPr$+o/ A
0stimacija vrednosti arametra T u azi analize rizika& daje najbolju aproksimaciju za procenu
rizika kao kombinacija dinami=ki promenljivih pretnji - T:T7T19T29---9T?7 T -3;
4a analizu rizika prihvatljiva je taksonomija kombinovanih retnji ( ∑ / + u odnosu na osledice
uticaja Bštetne
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
16/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
Tabela T , Primeri tipova kombinovanih pretnji
Pre&"ja
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
17/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
N$vo Tež$"#%$0a%&or
De0$"$.$ja
Vrlo visok +Pretnja ima vrlo visoku verovatnoću do9a>anja& sve dok se ne primene korektivne aktivnosti
Visok 'Pretnja ima visoku verovatnoću do9a>anja& ako nisu primenjene korektivne akcije
!rednji . Pretnja ima umerenu verovatnoću do9a>anja
Nizak 8 !matra se da je rizik od do9a>anja ove pretnje vrlo nizak
Vrlo nizak , Postoji vrlo niska verovatnoća da će se ovaj incident do9oditi
5rora)un težinske $aktore intenziteta otencijalnih retnji potrebno je izvršiti za svakiinormacioni objekat sistema %ako svaka or9anizacija bira sama svoj sistem ponderisanja& korisnisu sledeći kriterijumi za izbor težinskih aktora za ponderisanje intenziteta potencijalnih pretnjiBTabela .,C:
Tabela T+, 7riterijumi za ponderisanje intenziteta potencijalnih pretnji
N$vo/&$.aja
Tež$"#%$0a%&or
De0$"$.$ja
/liminiše +Posledica je potpuno uništenje objekata i or9anizacija se teško
može oporaviti %ncidenti su teški za kontrolu i zaštitu
5azoran '%ncidenti mo9u biti razorni i bez neposredno9 i adekvatno9od9ovora potpuno uništiti objekte "ovode do zna=ajnihinansijskih 9ubitaka i 9ubitka javno9 u9leda
7riti=an .%ncidenti od kojih se or9anizacija može oporaviti dobrimupravljanjem incidentom i implementacijom od9ovarajućih merazaštite "ovode do srednjih 9ubitaka i neprijatnosti
- 17 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
18/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
7ontrolisan 8Uticaj incidenta je verovatno kratkoro=an i može se kontrolisati!a pravom zaštitom i od9ovorom& uticaj može bit smanjen naminorne neprijatnosti i minimalne troškove
%ritirajući ,%ncidenti su obi=no bezna=ajni i izazivaju samo lokalnu iritaciju#erama zaštite treba ih izbeći ili kontrolisati
1eneralno& težinske aktore izvora pretnji treba kate9oristi od najvećih do najmanjih& npr& pretnjeod ljudi imaju veće težinske vrednosti od prirodnih do9a>aja 5rora)un težinskih $aktora $rekvencije ojave retnje Brealizacije pretnje-napada& incidntaC potrebno je izvršiti za svaki inormacioni objekat %ako svaka or9anizacija bira sama svoj sistem ponderisanja& korisni su sledeći kriterijumi BTabela T .(C:
Tabela T Prora=un težinskih aktora rekvencije pojave incidenta
N$vo Tež"#%$ 0a%&or De0$"$.$ja
Vrlo visok +Irekvencija incidenta je vrlo visoka& a incident može bitirazoran za proizvodnju ili servise
Visok ' Irekvencija incidenta je visoka i može se ponoviti
!rednji .%ncident se potencijalno može prili=no =esto do9oditi& alinormalno nije predvidiv
Nizak 8%ncident ima nisku rekvenciju pojavljivanja i smatra se da nije ponovljivF ne bi trebalo biti više od + incidenta u + radnomciklusu
Vrlo nizak , 0vaj incident se smatra vrlo retkim i periodi=nim
4a prora=un se mo9u koristiti i statisti=ki elementi za alternativnu procenu verovatnoće pretnjeE incidenta za najveći broj tipova poznatih potencijalnih pretnji& mereni statisti=kom verovatnoćomod >1 ili numeri=kim& kvalitativnim težinskim aktorima od >= i primeri kvalitativno9 merenja&
- 18 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
19/26
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
20/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
merenja za procenu nivoa uticaja 1lavna prednost kvalitativne analize uticaja je u odre>ivanju prioritetnih aktora rizika i identiikacija zona ranjivosti koje neposredno treba otklanjati Nedostatak kvalitativne analize uticaja rizika je u tome što ne obezbe>uje specii=ne kvantitativnemere i procenu odnosa troškoviEkorist Bcost9bene$it+ preporu=enih kontrola zaštite 1lavna prednost kvantitativnih metoda analize uticaja rizika je što obezbe>uje merenje uticaja i cost9 bene$it analizu preporu=enih kontrola zaštite Nedostatak ovih metoda je& zavisno od izboranumeri=kih opse9a aktora ponderacije& nejasnost i =esta potreba kvalitativne interpretacijerezultataPrimer kvalitativne procene i odre>ivanja težinskih aktora uticaja rizika& koji obuhvatakomponente vrednosti objekataE A4 intenzitet retnje – T$4 $rekvenciju retnje – T0 $ verovatnoću retnje – Tv prikazan je u Tabeli .
Tabela T ; 7omponente za odre>ivanje težinskih aktora uticaja rizika
Ko')o"e"&e /&$.aja r$$%aTež$"#%$0a%&or$
Vrednost objekta E A+ E , B+ jenajvećiC
%ntenzitet potencijalne pretnje E T$+ E , B+ jenajvećiC
Irekvencija potencijalne pretnje E T0 + E , B+ jenajvećiC
Verovatnoća pretnje E Tv+ E , B+ jenajvećiC
4a prora=un ukupno9 težinsko9 aktora uticaja rizika potrebno je množiti komponentu uticaja
rizika jednu sa dru9om& da bi se smanjio eekat neodre>enosti na ta=nost rezultata 3ko se uzme uobzir da su rekvencija i intenzitet pretnji nerelevantni& ako se pretnja ne do9odi& uticaj se približno odre>uje kao aktor množenja vrednosti imovine i verovatnoće pojave pretnji:
U& 7 A 8 T$ 8 T0 8 TvA8Tv -=; Na isti na=in se preostali relativni rizik može odrediti pojdnostavljenom relacijom:
Rr7A8P/ -;9de je A E vrednost imovine& a P/
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
21/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
U ovoj kvalitativnoj estimaciji što je manji rezultat& to je veći uticaj aktora rizika Najveći uticaj aktora rizika u ovoj estimaciji je 1& a najmanji E 2=- 1lavni menadžer odre>uje kriterijume prihvatljivosti rizika i prioritete ublažavanja Na primer:
+ 6 > v$#o%;4 svaki aktor rizika 5: 1 F R F 2F svaki aktor rizika RF = je vrlo kriti=an i
zahteva trenutno ispitivanje i rea9ovanjeF2- S > #red"j$;4 svaki aktor rizika 5: 2 F R F 3- N < "$a%;4 svaki aktor rizika E5 : 3 F R F 2=
= Eva+/a.$ja 0a%&ora r$$%a
aa eva+/a.$je 0a%&ora r$$%a je procena rizika na bazi stro9o utvr>enih kriterijuma predeinisanih u azi de$inisanja arametara za uravljanje rizikom B0dre>ivanje konteksta za procenu rizikaC& a obuhvata aktivnosti kao što su:
− priprema za izradu 5lana tretmana rizika&− razmatranjeGselekcija predeinisanih kriterijuma za evaluaciju rizika& uklju=ujući
bezbednosne kriterijume&− zna=aj poslovno9 procesa koje9 podržava inormaciona imovina&− zahtevi menadžmenta za tretman rizika&− zahtevi za preduzimanje hitnih akcija&− pore>enje nivoa estimacije aktora rizika sa predeinisanim kriterijumima za evaluaciju
Bnpr& rezultatima prethodne procene rizikaC i− ran9iranje aktora rizika po prioritetu za tretman Bublažavanje
U ovoj azi aktore rizika procenjene kao niske - N& treba smatrati rihvatljivim i mo9uće je damenadžmentGvlasnik sistema ne zahteva tretman ovih aktora rizika Iaktore rizika procenjene kaosrednjeuje se na bazi evaluacijeaktora rizika& kojih za neku prose=nu or9anizaciju može biti na hiljade Bzavisno od dubine procene rizikaC& na prihvatljive BPC i neprihvatljive BNC aktore rizika Predeinisane kriterijume P i
- 21 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
22/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
N aktora rizika Bu azi deinisanja konteksta za procenu rizikaC odre>uje menadžment& adeinitivno ih potvr>uje potpisivanjem dokumenta Izjava o rimenljivosti-!03 Btatement o$ 7licabilityC& kojim menadžment prihvata predložene kontrole zaštite za tretman rizika& kao i preostali relativni rizik E R)r
%zlazne veli=ine u azi evaluacije aktora rizika su prioriteti za tretman rizika i to:I+a +: :ista rioriteta $aktora nerihvatljivog rizika iI+a +: :ista rihvatljivih $aktora rizika Bprihvaćenih i sa N uticajemC
=-1-1 E#&$'a.$ja 0a%&ora )reo#&a+o r$$%a
E#&$'a.$ja 0a%&ora )reo#&a+o r$$%a: 5izik koji ostaje posle implementacije novih ili poboljšanih kontrola zaštite naziva se preostali relativni rizik E Rr) . To zna=i da ni jedan %7T!nije oslobo>en rizika i da sve implementirane kontrole ne eliminišu u potpunosti odnosne aktore
rizika Nivo Rr) može se analizirati kao iznos redukovano9 rizika uvo>enjem novih& poboljšanihkontrola zaštite u odnosu na procenu uticaja pretnji %mplementacija novih i poboljšanih kontrolazaštite može smanjiti rizik eliminisanjem nekih ranjivosti& dodavanjem kontrola zaštite ismanjenjem veli=ine ne9ativno9 uticaja 7ako je rizik identiikovan prema tipu specii=nihobjekata i ranjivosti sistem će imati jednu vrednost rizika po jednoj ta=ki ranjivosti koju pretnjaiskoristi& a svaka ranjivost će imati jednu vrednost rizika po objektu na koji uti=e Ne postojie9zaktna matemati=ka relacija za kvantitativan prora=un relativno9 preostalo9 rizikaE5rp koji
nameće u datoj situaciji kombinovana pretnjaE ∑T na ranjivost objektaEV sa implementiranim
merama BkontrolamaC zaštiteE#z za ublažavanje rizika Proces procene rizika daje dva rezultata:
preostali relativni rizik bez u=ešća mera zaštiteE5rp i prihvaćeni preostali rizik sa merama zaštite >
R)) Približno se nivo preostalo9 relativno9 rizika sa merama zaštiteE R)) može prora=unati iz jedna=ine& & B!l;C:
- 22 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
23/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
l ;3 Imlementirane kontrole zaštite i reostali rizik96r
R))7 A868 T;M; 8 U& -;
Uticaj pretnjeE U& na sistem posle uspešno9 napada zavisi od vrednosti objekta napada 7ako rasteA& raste i U&& odnosno& raste i nivo R))& a na porast nivoa aktora rizika direktno uti=u
kombinovane pretnje > T i ranjivosti sistemaE 6- #ere zaštiteE M smanjuju nivo R))
Posle implementacije kontrola zaštite za tretman BublažavanjeC rizika& eektivnost uvo>enja merazaštite E /mz može se prora=unati ormulom:
E'7 R)r>R));R)r -?;Temeljita procena aktora rizika je kamen temeljac razvoja pro9rama i plana rentabilno9 sistemazaštite U plan zaštite korisno je ubaciti kvantitativne arametre - ukupne troškove zaštite& koji na preostalom nivou rizika – R)r treba da budu optimalni& odnosno& jednaki ili manji od ukupno
o=ekivanih odišnjih ubitaka E OGG& koji mo9u nastati ako se ne primene predvi>ene merezaštite-M OGG treba da budu manji od ukupno9 preostalo9 relativno9 rizikaE Rpr izraženo9 unov=anoj vrednosti 0vakva vrednost R)r naj=ešće se predlaže menadžmentu& kao vrednost rihvatljivog nivoa ukunog reostalog rizika9 R)) 7ako je vrednost OGG jednaka vrednostiuticajaE Ut izraženoj u nov=anim jedinicama& OGG se mo9u proceniti sli=nom iskustvenomrelacijom& L''M:
OGG 7 Tv 8 Ar -H;9de je:
Tv E verovatnoća da će se neka pretnja materijalizovati u datoj 9odini& aAr E relativna vrednost odre>ene imovine na koju se pretnja odnosi
Pr$'er: $okalna mreža %7T! ima '* P6 po ceni od ,8* /u po komadu 0=ekuju se po + potpuni prekid rada& upad u sistem i kra>a podataka 9odišnje BT+C Primenom ormule B.
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
24/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
U praksi zaštite retko se koristi kompletna ormalna metodolo9ija za analizu i procenu rizika5azvijeni su brojni skraćeni metodi za analizi rizika B06T3V/& D35C koji su prakti=niji i bržedovode do prihvatljivih rezultata& L+;M
Pro.e"a !e!ed"o#"o r$$%a
5ezultati procene rizika koriste se za identiikaciju opcija za tretman rizika i dokumentuju se u 5olitici zaštite i 5lanu tretmana rizika 1eneralno za identiikaciju rizika u azi procene mo9u sekoristiti razli=ite tehnike: &5 (hazard ? oerativnost+ itd-
4a 9eneri=ku procenu opšte9 operativno9 rizika razvijene se tri klju=ne metodolo9ije: procenerizika odozdo na 9ore& sveobuhvatne analize i procene rizika i procene rizika odoz9o na doleProcena rizika odozdo na 9ore uklju=uje: istraživanje tržišta& predvi>anje trenda& testiranje tržišta&istraživanje i razvoj i analizu uticaja na poslovanje !veobuhvatna analiza rizika obuhvata brojneaze i aktivnosti kao što su: modelovanje zavisnosti& !0T analiza Bsna9e& slabosti& prilike& pretnjeC& analiza drveta pretnji& planiranje kontinuiteta poslovanja BD6PC& DP/!T Bbiznis& politi=ka& ekonomska& socijalna& tehnološkaC analiza& modelovanje realnih opcija& odlu=ivanje na bazi stanja rizika i aktora neodre>enosti& statisti=ke implikacije& merenja 9lavno9 trenda i aktoraneodre>enosti& P/!T$/ BPoliti=ko ekonomsko socijalno& tehni=ko i le9alnoC okruženje i drProcena rizika odoz9o na dole uklju=uje tri 9lavne tehnike: analizu pretnji& analizu drveta 9rešakai I#/3 BIailure #ode A /ect 3nalsisC analizu
U praksi zaštite %7T!& standard %!0G%/6 '**, dierencira =etiri osnovna metoda za estimacijurizika& koja se u osnovi zasnivaju na 9eneri=koj metodolo9iji& ali imaju razli=ite okuse na parametre rizika i primenjuju razli=ite estimacije& L%!0 '***,M:
+ #etod matrice rizika sa predeinisanim vrednostima B%!0G%/6 +...,-.CF' #etod merenja rizika ran9iranjem pretnji prema rezultatima procene rizikaF. #etod procene verovatnoće uticaja i mo9ućih posledica i8 #etod distinkcije izme>u prihvatljivo9 i neprihvatljivo9 rizika
Primeri prora=una rizika primenom ovih metoda dati su u Pr$+o/ D-
5ezultat procene rizika je izjava o primenljivostri kontrola za ublažavanje rizika na prihvatljivinivo !03 Btatement o$ alicabilityC za poslovne ciljeve uz primenjene mere zaštite
I+a: !03 - Izjava o rimenljivosti kontrola zaštite 7omercijalno su dostupne brojneinteraktivne metodolo9ije za procenu bezbednosno9 rizika za inormacionu imovinu or9anizacije
- 24 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
25/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
653## metod je razvila en9leska vladina a9encija i koristi 9a više od 8* država na najvišemnivou #etod je skup& kompleksan za primenu& ali detaljan i pouzdan& L653##M 06T3V/metod procenjuje kriti=ne aktore rizika za objekte inormacione imovine kriti=ne za poslovanjeor9anizacije& L0catveM #etod je samonavodeći i ne zahteva specijalistilka znanja& sveobuhvatan je& sistemati=an i adaptivan na promene realne situacije 4a inicijalnu procenu rizika& kada
or9anizacija nema kompletiran inventar inormacione imovine& koristan je metod brze analizerizika BD35C koji zahteva aktivno an9ažovanje menadžmenta i prakti=ara poslovnih procesa&LOM
Za%+j/a%
Upravljanje rizikom je proaktivno upravljanje sistemom zaštite Procena rizika je metod za planiranje zaštite Problemi koji otežavaju korišćenje analiti=kih metoda u procesu analize i procene rizika jesu stohasti=ka priroda pretnji& ranjivosti i evaluacija vrednosti imovine Procena
pretnji o9rani=ena je aktorom neodre>enosti& jer se ne zna kada i kako će se neki štetan do9a>ajdesiti i kakvo9 će biti intenziteta Procena rizika nije stro9o nau=ni metod sa Ukoliko se posmatrasa pozitivisti=ko9 aspekta& procena rizika ne podrazumeva stro9o nau=ni metod& već arteakt kojise koristi za kreiranje proesionalnih znanja "ru9i problem su kvalitativna i kvantitativnaidentiikacija i vrednovanje objekata inormacione imovine& 9de su podaci i inormacijenajzna=ajnije vrednosti ?Vrednost@ podataka može se dobiti samo indirektnim putem i tokorišćenjem aktora ?uticaja@ pretnji na ranjive ta=ke sistema Botkrivanje& modiikacija&neraspoloživost& destrukcijaC Dez specii=no9 scenarija nije mo9uće proceniti ove eekte Jesto jenemo9uće napraviti evaluaciju materijalnih troškova 9ubitaka "inami=ka ?dimenzija@ analizerizika je veoma važna& jer se pretnje i iskoristive ranjivosti stalno menjaju 0vo zna=i da se i nivoi
zaštite moraju menjati tako da kompenzuju ove promene U ovakvom procesu kontrole& procenarizika je model donošenja odluke koji pomaže upravnoj strukturi da planira sistem zaštite Iaktor promenljivosti unosi i unutrašnje i spoljašnje okruženje& pa je za upravljanje promenama potrebnoneprekidno skeniranje specii=nih do9o>aja u okruženju Promene u sistemu mo9u izazvati internido9a>aji Bnovi sistem aplikacija& novi zaposleni& nova odelenja i slC ili promene u životnomciklusu sistema Brevizija zahteva i dizajna& implementacija sistema& monitorin9 i periodi=narevizija itdC Drojni metodi kvantitativne analize rizika imaju prednosti& jer svode svaku analizu
- 25 -
8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd
26/26
Visoka škola strukovnih studija za menadžment u saobraćaju-Niš
rizika na nov=anu vrednost 7ada je u pitanju 9ubitak života& nacionalno9 interesa ilikonkurentnosti na tržištu& treba primeniti kvalitativni metod procene zna=aja 9ubitaka umestonov=anih vrednosti !a procedurom koja odre>uje prioritete& kvantitativna analiza rizika ima problem memorisanja i akvizicije podataka 1eneri=ka metodolo9ija procene rizika uklju=uje parametre vrednosti imovine B3C& ranjivosti BVC& pretnji BTC& uticaja BUTGV ili da će pretnje
iskoristiti ranjivosti i naneti štetu imovini i poslovnim procesimaC Iaktori neodre>enosti koje u procenu rizika unosi stohasti=ka priroda pretnji i ranjivosti& kompenzuju se množenjem parametara rizika Bumesto sabiranjaC =ime se dobije veći procenjeni rizik i zahteva bolji sistemzaštite 4a procenu rizika razvijene su brojne tasonomije pretnji i ranjivosti koje mo9u pomoći uzobavezno prila9o>avanje kontekstu i okruženju procene rizika Na principima 9eneri=kemetodolo9ije procene rizika& razvijena su =etiri metoda sa razli=itim težištima u proceni rizikaB%!0G%/6 '**,C: metod matrice rizika sa rede$inisanim vrednostima (I&!I0@ .;;;A-;+, metodmerenja rizika rangiranjem retnji rema rezultatima rocene rizika, metod rocene verovatnoće
uticaja i mogućih osledica i metod distinkcije izme4u rihvatljivog i nerihvatljivog rizika
? L$&era&/ra
- 7eković 4& !avić !& #ilošević # A 2ovanović "B'*++C Procena rizika u zaštiti lica&imovine i poslovanja Deo9rad: 6entar za analizu rizika i upravljanje krizama
- dr #ilutinovć #iroslav& Upravljanje rizicima B'*+'C& Niš : Visoka škola strukovnih studijaza menadžment u saobraćaju
- ikkipedia- http:GGcarukrsGprirucnik-procena-rizika-u-zastiti-lica-imovine-i-poslovanjaG- 3leksandar Vasliljević& Upravljanje rizicimaB'**