Metodologija Za Procenu Rizika Seminarski RAd

8/16/2019 Metodologija Za Procenu Rizika Seminarski RAd

1/26


2/26

Visoka škola strukovnih studija za menadžment u saobraćaju-Niš

S a d r ž a j :

+ Uvod.

' #/T0"0$01%23 43 P506/NU 5%4%738

'+ Uspostavljanje konteksta za procenu rizika8

'++ "einisanje parametara za upravljanje rizikom,

'+' "einisanje obima i 9ranica procesa upravljanja rizikom,

'+. Uspostavljanje i or9anizacija tima za upravljanje rizikom(

'+8 Uspostavljanje strukture procesa analize i procene rizika(. Proces procene rizika

8 3naliza rizika

8+ %dentiikacija aktora rizika;

8' %dentiikacija i estimacija inormacione imovine:<

8. %dentiikacija i estimacija ranjivosti+.

88 %dentiikacija i estimacija pretnji+,

8, /stimacija uticaja pretnji na ranjivost sistema+<

, /valuacija aktora rizika'+

,++ /stimacija aktora preostalo9 rizika''

( Procena bezbednosno9 rizika'.

4aklju=ak',

; $iteratura'(

- 2 -


3/26


1 Uvod

"a bi se podrobnije objasnio proces procene rizika& najpre je neophodno deinisati šta podrazumeva sam pojam rizika Uobi=ejeno& pod rizikom se podrazumeva svaka mo9ućnost ukonkretnom sistemu& koja sa odre>enom verovatnoćom može izazvati neku neo=ekivanu promenu kvaliteta ?5izik podrazumeva pro9nozu mo9uće štete& odnosno 9ubitka@+ Procenarizika je subjektivan proces #e>utim& praćenjem odre>enih principa& subjektivnost se možesmanjiti na najmanji mo9ući nivo Prema 4akonu o bezbednosti i zdravlja na radu& procena rizika jeste sistematsko evidentiranje i procenjivanje svih aktora u procesu rada koji mo9u uzrokovatinastanak povreda na radu& oboljenja ili oštećenja zdravlja i utvr>ivanje mo9ućnosti& odnosnona=ina spre=avanja& otklanjanja ili smanjenja rizika %na=e& procena rizika je sastavni deo procesa

upravljanja rizikom i obuhvata proces identiikovanja potencijalnih opasnosti& analize i ocenerizika Pored deinisanja samo9 procesa procene rizika od relevantno9 zna=aja je i kako serealizuje taj proces u praksi"a bi se od9ovorilo na pitanje kako sprovesti procenu rizika& potrebno je deinisati:

+ #etodolo9iju za sprovo>enje postupka procene rizika

' Proceduru sprovo>enja postupka procene rizika

#etodolo9ija sprovo>enja postupka procene rizika deiniše al9oritam& alate i na=in sprovo>enja

postupka procene& a procedura sprovo>enja postupka procene rizika deiniše standardizovani nizkoraka koje obezbe>uje sprovo>enje postupka u skladu sa preporukama od9ovarajućih zakona& propisa& kao i preporuka dobre prakseProcena rizika je prevashodno empirijski proces donošenja inženjerskih odluka& na osnovu znanjai iskustva& sa ciljem povećanja stepena bezbednosti i zdravlja na radu& uz korišćenje poznatih i priznatih metoda U svetu postoji veliki broj priznatih metoda za procenu rizika ormiranih odstrane razli=itih udruženja i asocijacija& ali nijedna od njih ne propisuje izbor preventivnih merakojim bi se smanjio ili otklonio rizik 0 zna=aju procesa procene rizika 9ovori nam i poznatikineski pisac i ilozo !un 6u& koji je živeo pre oko ,** 9odina pre naše ere i koji je još tada

napisao delo ?Veština ratovanja@ %z to9 dela se može izvući izreka koja ukazuje na zna=ajnost procene rizika i ona 9lasi: ?Procenom rizika svaka bitka je dobijena& i pre ne9o što je zapo=eta@

+ 7eković 4& !avić !& #ilošević # A 2ovanović "B'*++C Procena rizika u zaštiti lica& imovinei poslovanja Deo9rad: 6entar za analizu rizika i upravljanje krizama

- 3 -


4/26


2 METODOLOGIJA ZA PROCENU RIZIKA

Be!ed"o#"$ r$$% se može deinisati kao unkcija:

vred"o#&$ inormacione imovine Basset valueC E 3F %o'!$"ova"$( )re&"j$ BthreatsC - T ili verovatnoće ostvarivanja pretnje E napada& koji

može naneti štetu imovini B3C& ra"j$vo#&$ BvulnerabilitiesC - V& objekata inormacione imovine i uticaja E U ili

verovatnoće da će jedna ili kombinacija pretnji iskoristiti ranjivosti i naneti štetu i )o#&oje*$( $+$ )+a"$ra"$( %o"&ro+a a,&$&e B security controlsC E Mz, koje mo9u ublažiti

ranjivosti& pretnje i uticaj

2-1 U#)o#&av+ja"je %o"&e%#&a a )ro.e"/ r$$%a

7ontekst procene rizika varira u odnosu na potrebe or9anizacije& u zavisnosti od to9a da li se pruža ili zahteva uslu9a zaštite lica& imovine ili poslovanja B7ekovic& '*++C

Proces uspostavljanja konteksta za analizu rizika odvija se kroz 8 osnovne aze:

+ "einisanje osnovnih parametara za upravljanje rizikomF' "einisanje obima i 9ranica analize i procene rizikaF. Uspostavljanje i or9anizacija tima za upravljanje rizikomF8 Uspostavljanje strukture i procesa za analizu i procenu rizika

2-1-1 De0$"$#a"je )ara'e&ara a /)rav+ja"je r$$%o'

- 4 -


5/26


6/26


U azi uspostavljanja i or9anizacije tima za upravljanje rizikom vrše se sledeće aktivnosti:identiikacija i analiza relevantnih u=esnika& izbor lidera tima& izbor =lanova tima Bizvršnimenadžer& prakti=ar - poznavalac poslovnih procesa& pravnik& administrator sistemaGmreže&specijalista zaštiteC& deinisanje ulo9a i od9ovornosti svih u=esnika i uspostavljanje zahtevanihodnosa i otune komunikacije izme>u tima i or9anizacije kao i dru9ih projekata i aktivnosti

2-1-3 U#)o#&av+ja"je #&r/%&/re )ro.e#a a"a+$e $ )ro.e"e r$$%a

Tok procesa analize i procene rizika uspostavlja se u odnosu na strateške poslovne ciljeveor9anizacije& a obuhvata sledeće BpotCprocese: usostavljanje konteksta za uravljanje rizikom(okvira za IM+, identi$ikovanje, analiza, evaluacija i rocena rizika, tretman rizika i

rihvatanje reostalog rizika, B!l ..C

l .

truktura rocesa uravljanja rizicima

U procesu procene rizika zahteva se potpuna komunikacija koja podrazumeva kvalitetnouspostavljanje veza i potpuno razumevanje zna=enja prenesenih inormacija izme>u svih u=esnikau procesu upravljanja rizikom u svakoj azi procesa 6iljevi komunikacije uklju=uju& izme>u

ostalo9& sakupljanje inormacija za identiikaciju aktora rizika& analizu toka inormacija zaizbe9avanje ili redukciju uticaja bezbednosno9 incidenata& konsultacije za poboljšavanjeme>usobno9 razumevanja procesa upravljanja rizika kod relevantnih u=esnika itd U ranoj azi procesa procene rizika treba razviti plan komunikacije i sva pitanja koja se odnose na sam proces iupravljanje procesom

- 6 -


7/26


Procedura za upravljanje rizikom treba da obezbedi si9urnost upravljanja rizikom& skupljanjeinormacija o riziku i otpornost sistema zaštite na proboje zbo9 eventualno9 nerazumevanjarelevantnih u=esnika i donosioca odluka 1lavni cilj izrade procedure za upravljanje rizikom je da prenese 9eneralan stav or9anizacije prema zaštiti i smanji uticaj proboj sistema zaštite na poslovne procese

#onitorin9 i revizija procesa upravljanja rizikom identiikuje promene aktora rizika u ranoj azi&obezbe>uje re9ularnu reviziju svih BpodCprocesa upravljanja rizikom i kad se do9ode 9lavne promene 1lavni cilj revizije procesa je da se odredi relevantnost tekuće procene rizika i po potrebi preduzmu korektivne akcije& uklju=ujući redeinisanje: konteksta& kriterijuma za evaluacijurizika& pristupa i metodolo9ije za procenu rizika& opcija tretmana rizika& metoda komunikacije itdPredmet revizije u procesu upravljanja rizikom su: le9alni okvir i kontekst okruženja&konkurencija& kriterijumi za evaluaciju rizika& kate9orizacija i vrednovanje inormacione imovine& pra9 za odlu=ivanje o tretmanu rizika i vrednovanje troškova implementacije kontrola zaštite

Pro.e# )ro.e"e r$$%a

Proces za procenu rizika Brisk assessmentC obuhvata sledeće aze:

− analizu rizika Bidenti$ikaciju i estimacijuC i− evaluaciju rizika

3 A"a+$a r$$%a

A"a+$a r$$%a )odra/'eva a"a+$/ #va%o 0a%&ora r$$%a4 / od"o#/ "a &o a,&o $ %a%o 'oženastati U tom smislu aktore rizika treba identiikovati& a zatim izvršiti estimaciju svako9identiikovano9 aktora rizika

7ešetović istiće da:?3naliza rizika obuhvata razmatranje uzroka i izvora potencijalnih opasnosti& njihovih pozitivnih i ne9ativnih posledica& kao i verovatnoću pojavljivanja potencijalnih opasnosti&uzimajući u obzir prisustvo& ili odsustvo& i eikasnost postojećih mera kontrole@ '

Identi$ikacija otencijalnih oasnosti podrazumeva identiikaciju hazarda& aktora rizika iopasnosti i zloženosti rizicima koju su zna=ajni za bilo koje ciljeve politike poslovanjaor9anizacije B7ešetović& '*++C 0r9anizacija je dužna da identiikuje izvore rizika& do9a>aje ili nizokolnosti& kao i njihove potencijalne posledice& i sve to kako bi se sastavila sveobuhvatna lista

' 7eković 4& !avić !& #ilošević # A 2ovanović "B'*++C Procena rizika u zaštiti lica& imovinei poslovanja Deo9rad: 6entar za analizu rizika i upravljanje krizama

- 7 -


8/26


mo9ućih opasnosti koje su zasnovane na dešavanjima koja mo9u biti od pomoći tako što ćeusporiti ili spre=iti ostvarenje ciljeva Prilikom identiikovanja potencijalnih opasnosti pažnju jeneophodno usmeriti ka relevantnim i ažuriranim inormacijama U tom procesu je potrebnoan9ažovati eksperte sa od9ovarajućim znanjem

3-1 Ide"&$0$%a.$ja 0a%&ora r$$%a

%dentiikacija aktora rizika mora biti sveobuhvatna& struktuirana i ar9umentovana 7orisno jeidentiikovati aktore rizike koje treba tretirati pod kontrolom or9anizacije& ali i izvan te kontroleIaktori rizika se mo9u nalaziti u oblasti in$ormacione imovine-A , kombinovanih retnji-5T iranjivosti sistema-6 , a identiikuju se u odnosu na parametre verovatnoće Brekvencije pojave iintenzitetaC i uticaja-U Bposledica& šteteC na poslovne procese& ili verovatnoće uticaja da će pretnjaGe iskoristiti ranjivostGi U ovoj azi se deinišu i neprihvatljive posledice uticaja aktora

rizika& kao i primenljivi metodi za identiikaciju aktora rizika: )ek liste, intervjui, sistemskaanaliza i sistem inženjerske tehnike 0=ekivani izlazi iz ove aze procesa analize rizika su:

− I+a +: Inventar in$ormacione imovine (vrednosti+− I+a ': /aksonomija relevantnih retnji

− I+a .: /aksonomija relevantnih ranjivosti

0stimacije arametara rizika može biti kvantitativna& statisti=ko-numeri=ka aproksimacija ilikvalitativna& na bazi parametra kvaliteta Bnpr& nizak, srednji, visok C- 0va aza analize rizika

uklju=uje sve aktore neodre>enosti u proceni rizika& BN%!T !P ;**-.*C Iaktori neodre>enosti u proceni rizika mo9u se smanjiti primenom ormalnih modela i složeno9 matemati=ko9 aparata& što je nerentabilno i prakti=no se retko koristi !asvim prihvatljiv metod redukcije aktoraneodre>enosti u proceni rizika je izbor najnepovoljnije estimacije& koja dovodi do veće9 rizika&=ime se proaktivno deluje na izbor robustnijih kontrola zaštite za eektivniji tretman rizika .

Naime& parametri rizika BA4 T4 6C& relativno nezavisnih objekata mo9u se u estimaciji relativno9 preostalo9 rizika E Rr množiti ili sabirati:

Rr7 A8685T4 $+$ Rr7A9695T -1;

7ako se množenjem istih veli=ina dobija veći iznos& množenjem parametara rizika umanjuju se posledice uticaja aktora neodre>enosti parametara rizika na ta=nosti procene rizika& pa je boljaaproksimacija od sabiranja parametara rizika

. &&/stimacija je proces procene vrijednosti& veli=ina od interesa na osnovi dostupnih merenja&koja su u9lavnom posredna& neta=na i Gili nesi9urna@ @Teorija estimacije@& Iakultet elektrotehnikei ra=unarstva& !V/UJ%$%KT/ U 4315/DU

- 8 -


9/26


3-2 Ide"&$0$%a.$ja $ e#&$'a.$ja $"0or'a.$o"e $'ov$"e:

"einicija in$ormacione imovine or9anizacije u standardu %!0G%/6 '**+ obuhvata dve klju=nekate9orije: listu invent ara i bezbednosnu kategorizaciju i klasi$ikaciju inormacione imovine Podinventarom in$ormacione imovine u standardu se podrazumevaju svi materijalni i nematerijalniobjekti koji imaju neposredan i posredan zna=aj za bezbednost inormacija 1lasi$ikacijain$ormacione imovine& prema standardu %!0G%/6 '**'& prepoznaje ( kate9orija 9rupisanih u)istu in$ormacionu imovinu& $izi)ku imovinu i humanu imovinu& ali ostavlja i mo9ućnost daor9anizacija uvede i nove kate9orije ukoliko postoji potreba U skladu sa obimom i nivoom procenjeno9 rizika& inventar imovine or9anizacije& treba srazmerno ali ne previše detaljno&9rupisati u bezbednosne kate9orije da bi se smanjila kompleksnost analize i procene rizika 0vo jeveoma zna=ajna aza& jer predstavlja ulaz u proces analize rizika Propusti u izradi ove liste mo9u

imati velike posledice& jer se neće tretirati kroz proces analize& procene i ublažavanja rizika!vi objekti inormacione imovine treba da imaju svoje vlasnike BstaraoceC& odnosno da za njih budu zaduženi neki entiteti or9anizacije Vlasništvo nad inormacijama mo9u imati poslovni procesi& deinisani skup aktivnosti& aplikacije& deinisane 9rupe podataka i zaposleni 5utinski poslovi sa vlasni=kim inormacijama ili objektima imovine mo9u biti dele9irani& ali od9ovornostostaje na vlasniku Vlasnici koji su zaduženi za objekte inormacione imovine& od9ovorni su zaklasi$ikaciju in$ormacija i bezbednosnu kategorizaciju imovine& odre>ivanje prava pristupaBovlašćenja i privile9ijaC i periodi=nu proveru restrikcija pristupa i ovlašćenja

%normacije mo9u imati razli=ite stepene osetljivosti i kriti=nosti za poslovanje 6ilj klasiikovanja

inormacija je održavanje od9ovarajuće9 nivoa zaštite %normacije treba klasiikovati po potrebi& prioritetima i o=ekivanoj poverljivosti prilikom upotrebe Neke od njih zahtevaju posebnetretmane i stepene specijalne zaštite Kema za klasiikovanje inormacija treba da sadrži stepeneosetljivosti i uputstva za upotrebu u zavisnosti od stepena osetljivosti inormacija 0d9ovornost zaklasiikaciju inormacija snosi vlasnik& staraoc& odnosno zaduženo lice& ili proces U praksi senaj=ešće uspostavlja nekoliko stepena klasiikacije osetljivosti inormacija& na primer:

Javne informacije" naj=ešće ne zahtevaju dodatni stepeni zaštiteF dostupne su svim

zainteresovanim licima Bnpr& marketinški materijal& javni izveštaji itdCF Interne informacije" inormacije koje se mo9u koristiti samo u or9anizacijiF Poverljive informacije" ukazuju na stepen osetljivosti i po pravilu dozvoljavaju pristup

samo unapred deinisanoj 9rupi korisnikaF Strogo poverljive informacije" za razliku od prethodne 9rupe zahtevaju i niz dodatnih

mera zaštita koje su odre>ene u klasiikacionoj šemi

7lasiikacionu šemu i mere u odnosu na klasiikaciju svaka or9anizacija kreira prema svojim potrebama i mo9ućnostima Ditno je napomenuti da je u praksi 9otovo nemo9uće naći

- 9 -


10/26


or9anizaciju koja ima savršen sistem klasiikacije inormacija& iz nekoliko razlo9a: inormacije se=esto ne klasiikuju& zaposleni se ne pridržavaju instrukcija i mera iz klasiikacione šeme ili sezahteva višekratna primena klasiikacije nad istom inormacijom Bšto je najteže izvodljivoC4atim& %normacije tokom korišćenja u=estvuju u procesima& mo9u biti podložne promeniklasiikacije u odnosu na vremenski period Bneke stro9o poverljive& to više nisu posle odre>eno9

vremenaC& a =esto se ukazuje i potreba za promenom vlasnika inormacije u procesu Tajkomplikovani proces nije uvek jednostavno ispratiti& pa sistem klasiikacije inormacija uvek treba poboljšavati Na ovaj proces se tako>e može primeniti P"63 model kao na=in poboljšanjasistema klasiikacije& što je sa aspekta %!#! "emin9ov ?to)ak u to)ku2 Pravilna upotreba inormacija i dru9ih objekata inormacione imovine treba da budu deinisana&dokumentovana kroz olitike komonenti sistema zaštite3 i implementirana !va razvijena pravilaobuhvaćena obimom i kontekstom %!#! politike& treba da budu odobrena od strane 9lavno9menadžmenta& a od9ovornost za poštovanje i sprovo>enje pravila snose zaposleni na koje seodnose

4a estimaciju vrednosti imovine BAC mo9u se izabrati kvantitativne ili kvalitativne skale 9radacije 1vantitativna skala gradacije imovine izražava se u nov=anim jedinicama& što uvek nije dovoljnoza sve objekte imovine 1valitativna skala gradacije imovine može se kretati u razli=itimopsezima kvalitativne procene& na primer& zanemarljiv, vrlo nizak, nizak (N+, srednji (+, visok (V+,vrlo visok, kriti)an 7ako se za bezbednosnu kate9orizaciju imovine uzima najnepovoljniji slu=aj&dovoljna je skala 9radacije: N& !& V 4a pripisivanje vrednosti objektima inormacione imovine&mo9u se koristiti brojni& nedvosmisleni i dokumentovani kriterijumi Bnajteža aza ovo9 korakaC&kao što su: originalna nabavna cena, troškovi zamene i!ili re-kreiranja u slu)ajukvara!destrukcije, astraktne vrednosti, kao gubitak ugleda, klijenata, konkurentske rednosti na

tržištu i sl, troškovi nastali gubitkom overljivosti, rasoloživosti i integriteta , uklju)ujući

neorecivost, autenti$ikaciju i ouzdanost

Tako>e& mo9u se koristiti i 9eneri=ki kriterijumi za estimaciju& kao što su: ovreda zakona i!ilinormativa, neuskla4enost er$ormansi oslovnih rocesa, gubitak dobre volje!negativan uticaj na

reutaciju, ugrožavanje rivatnosti li)nih in$ormacija, ugrožavanje li)ne sigurnosti, negativan

uticaj na rimenu zakona, narušavanje javnog reda, $inansijski gubici, rekidanje oslovnih

aktivnosti i ugrožavanje životne sredine

Neki objekti inormacione imovine mo9u imati više kriterijuma za pripisvanje vrednosti& na primer& 5lan oslovanja Bbiznis planC& može se vrednovati na bazi vrednosti razvoja i izrade lanaB3pC& vrednosti unosa odataka u lan B3dC i vrednosti lana za konkurenciju B3kC

1vantitativna rocena vrednosti imovine uklju=uje cenu nabavke& implementacije i održavanja!ve vrednosti višestruke i kombinovane procene se maksimiziraju Bprema kriterijumu bezbednosne kate9orizacije-DkC ili sabiraju Bšto je manje ta=noC 7ona=na vrednost koja se

8 N%!T politiku zaštite deiniše na nivou %7T! or9anizacije& sistema zaštite B%!#!C i komponentisistema zaštite E pravila

- 10 -


11/26


dokumentuje mora biti pažljivo odre>ena Na kraju& sve estimacije vrednosti objekata 3 trebaredukovati na zajedni=koj osnovi

Vrednost A 9eneralno se procenjuje na bazi zna=aja objekta inormacione imovine za poslovanjeor9anizacije& tako da najzna=ajniji Bnajkriti=nijiC objekti imaju najveću vrednost A U objektnom

pristupu& vrednost 3 se može odrediti sabiranjem relativno nezavisnih atributa kvaliteta objekatainormacione imovine& koji aditivno doprinose njihovoj vrednosti za or9anizaciju:

A = Pv 9 R9 I" -2;9de je: Pv-overljivost, 5 -rasoloživost, %n-integritet objekta inormacione imovinePrimera izbora kriterijuma za estimaciju težinskih aktora i prora=una vrednosti A4 koji se primenjuju na sve tri 9rane objekata za zaštitu BPv& 5& %nC& a sabiraju za procenu kona=ne vrednosti3& dati su u tabelama .' i ..Tabela T ' 7riterijumi za odre>ivanje težinskih aktora vrednosti 3

N$vovred"o#&$

Tež$"#%$0a%&or

De0$"$.$ja < %r$&er$j/'$

"ajve*$ +

0vi objekti imaju najvišu vrednost zaor9anizaciju i mo9u se vrednovati i više od

mrežne i tekuće tržišne o=ekivanevrednosti Njihov 9ubitak ili uništenjemože imati ozbiljan uticaj na ukuno

oslovanje organizacije

#red"jev$#o% '

0vi objekti imaju vrlo visoku vrednost za procese rada i njihov 9ubitak ili uništenjemože imati ozbiljan uticaj na neke oslove

organizacije

#red"j$ .

0vo su zna=ajni objekti or9anizacije kojimo9u biti zamenjeni& a njihov 9ubitak iliuništenje može imati trenutne i ozbiljne

osledice za ro$itabilnost oslova

#red"je"$a%

8

0vo su zamenljivi objekti& a pošto je cenazamene relativno visoka& mo9u imati samo

umeren uticaj na ukunu ro$itabilnost

oslova#red"je"$a%

,0vo su objekti koji nemaju stvarnu

ekonomsku vrednost unutar procesa rada imogu se lako i je$tino zameniti

- 11 -


12/26


Tabela T . Prora=un vrednosti 3

N$voA;

E#&$'a.$ja

De0$"$.$ja

Najviši

+

0va inormaciona imovina B3C ima najveću vrednost zaor9anizaciju& a može se vrednovati više od nabavnevrednosti& ili o=ekivane& ili marketinške vrednosti

1ubici ili destrukcija ove imovine može imati veomaozbiljan uticaj na poslovanje

"ru9i '0va inormaciona imovina je veoma vredna za

poslovne procese& a 9ubitak ili destrukcija ove imovinemože imati ozbiljan uticaj na poslovanje

Treći .

0vo je važna inormaciona imovina koja se možezameniti tamo 9de njeni 9ubici ili destrukcija mo9u

imati ozbiljan i neposredan uticaj na proitabilno poslovanje

Jetvrti 80vo je zamenljiva inormaciona imovina& a pošto sutroškovi zamene relativno visoki biće samo srednji

uticaj na ukupno poslovanje

Najniži

,0vo je inormaciona imovina koja nema stvarnu

ekonomsku cenu u poslovnim procesima i može se lakozameniti uz minimalne troškove

- 12 -


13/26


14/26


Tabela T 8 Primer procene relevantnih aktora ranjivosti

A&r$!/&$ra"j$vo#&$#$#&e'a

Pro.e"a ra"j$vo#&$> V

1; 6$d+j$vo#&D;

Verovatnoća da kompetentan a9ent pretnje postanesvestan vrednosti inormacije i da može pristupiti oviminormacijama

2; Kor$#"o#&Ko;

Verovatnoća da a9ent pretnje uvidi korisnost inormacije&da će inormacija zadovoljiti neku zainteresovanuBkonkurencijuC

; Traj"o#&Tr;

"atum iza ko9a inormacija više neće biti korisnanapada=u i mo9ućnost korišćenja inormacije pre to9a

datuma

3;I#%or$#&$vo#&I#;

#o9ućnost upotrebe inormacije na vreme i na na=inkoji su kriti=ni za vlasnika inormacije Potreba zadodatne inormacije da bi napada= iskoristio postojeće&stekao prednost ili u9rozio vlasnika

=; Za,&$*e"o#&Za;

Postojanje dokumentovane politike zaštite poslovnihtajni ili intelektualne svojine Pristup korisnikainormacijama o9rani=en u skladu sa politikom zaštite7orisnici su potpisali sporazum o neotkrivanjuinormacija N"3 B Non #isclosure 7greement C

!vakom od9ovoru u T ., pripisuje se jedan od ponu>enih težinskih aktora primenjene metrikeB+E,F +E+*F nizak, srednji, visok itdC onako kako ih procenjuju vlasnici objekata BmenadžeriC5anjivost objekata %7T sistema =esto je teško procenjivati pre incidenta& jer u suštini naj=ešćenapad potvr>uje da li postoji ranjivost u hardveru& sotveru& poslovnim procesima i ljudima Uovom procesu pored liste pitanja za 9lavne atribute parametra ranjivosti u T .,& obavezno trebaispitati sledeće ta=ake ranjivosti: nedostatak ili neadekvatnost olitike, standarda i rocedura8nedostatak ili neadekvatnost obuke8 loše de$inisane uloge i odgovornosti, dodeljeni nalozi i

ovlašćenja8 oznate greške sistemskog! alikativnog so$tvera8 nestabilnost & i veliki broj

ristunih ta)aka ra)unarskoj mreži8 mogućnost $izi)kog ristua rostorijama sara)unarima!serverima i drUkupna vrednost V može se odrediti estimacijom pojedina=nih aktora na sli=an na=in kao i parametra 3 4a razliku od aditivnih komponenti vrednosti 3& ukupne vrednosti ranjivosti V semultiliciraju& na primer& ako ima '* ra=unarskih sistema sa po +, ranjivih ta=aka& onda je ukupnaranjivost %7T sistema: V'*O+,.**

- 14 -


15/26


U procesu estimacije ranjivosti& treba procenjivati ranjivosti po svim 9lavnim atributima za svakuta=ku ranjivosti& a zavisno od zahtevane dubine analize rizika& mo9uće je primeniti metod analizerizika procesa rada& unkcionalnih celina& kriti=nih objekata ili strukturni metod brze analizerizika BD35C& L',M 0snovni proaktivni metod za procenu ranjivosti %7T! podrazumeva testiranjei uklju=uje automatizovani alat za skeniranje ranjivosti B5!G5#C& bezbednosno testiranje i

evaluacijaE!T/ B!ecurit Testin9 and /valuationC i testiranje na proboj #etod skeniranja je pouzdan za kontrolu ranjivosti& ali može proizvesti lažne pozitive Proces !T/ eektivnostikontrola zaštite u operativnom okruženju vrši se u procesu sertiikacije i akreditacije sistemaB6A3C Testiranje na proboj proverava mo9ućnost zaobilaženja kontrola zaštite sa aspekta izvora pretnji Beti=ki hakin9C

3-3 Ide"&$0$%a.$ja $ e#&$'a.$ja )re&"j$

Ide"&$0$%a.$ja $ e#&$'a.$ja )re&"j$: 5retnja BTC je potencijalna šteta za in$ormacionu imovinu or9anizacije- Postoji više taksonomija pretnji !tandard %!0G%/6 '**, deli pretnje na rirodne( E + ili humane( H + i namerne ( D + ili slu)ajne( A +

5ealna pretnja je naj=ešće kombinacija ovih izvora i dinami)ki se menja u vremenu U kontekstu iobimu analize i procene rizika treba identiikovati sve relevantne pretnje 4atim& za svakuindividualnu pretnju treba identi$ikovati izvor retnje i roceniti verovatnoću realizacije-rekvenciju pojave i intenzitet 4a ovu procenu dovoljno je koristiti skalu 9radacije: N& !& V

7ako za neki poslovni sistem& menadžeri i zaposleni najbolje poznaju pretnje& ulazne veli=ine za procenu pretnji treba obezbediti od: vlasnika ili korisnika objekta imovine, odeljenja zauravljanje ljudskim resursima, izvršnih menadžera, I1/ secijalista, secijalista zaštite i dr

(ravnik, nr+, statisti)ki odaci i taksonomije retnji iz baza znanja Upotreba taksonomije pretnji je korisna& ali treba uzimati u obzir dinamiku promena kombinovanih pretnji zbo9 promena poslovanja& tehnolo9ija& okruženja& malicioznih kodova itd Primeri taksonomija pretnji i skala9radacije za procenu pretnji& prema standardima %!0G%/6 '**, i N%!T !P ;**-.* dati su uPr$+o/ A

0stimacija vrednosti arametra T u azi analize rizika& daje najbolju aproksimaciju za procenu

rizika kao kombinacija dinami=ki promenljivih pretnji - T:T7T19T29---9T?7 T -3;

4a analizu rizika prihvatljiva je taksonomija kombinovanih retnji ( ∑ / + u odnosu na osledice

uticaja Bštetne


16/26


Tabela T , Primeri tipova kombinovanih pretnji

Pre&"ja


17/26


N$vo Tež$"#%$0a%&or

De0$"$.$ja

Vrlo visok +Pretnja ima vrlo visoku verovatnoću do9a>anja& sve dok se ne primene korektivne aktivnosti

Visok 'Pretnja ima visoku verovatnoću do9a>anja& ako nisu primenjene korektivne akcije

!rednji . Pretnja ima umerenu verovatnoću do9a>anja

Nizak 8 !matra se da je rizik od do9a>anja ove pretnje vrlo nizak

Vrlo nizak , Postoji vrlo niska verovatnoća da će se ovaj incident do9oditi

5rora)un težinske $aktore intenziteta otencijalnih retnji potrebno je izvršiti za svakiinormacioni objekat sistema %ako svaka or9anizacija bira sama svoj sistem ponderisanja& korisnisu sledeći kriterijumi za izbor težinskih aktora za ponderisanje intenziteta potencijalnih pretnjiBTabela .,C:

Tabela T+, 7riterijumi za ponderisanje intenziteta potencijalnih pretnji

N$vo/&$.aja

Tež$"#%$0a%&or

De0$"$.$ja

/liminiše +Posledica je potpuno uništenje objekata i or9anizacija se teško

može oporaviti %ncidenti su teški za kontrolu i zaštitu

5azoran '%ncidenti mo9u biti razorni i bez neposredno9 i adekvatno9od9ovora potpuno uništiti objekte "ovode do zna=ajnihinansijskih 9ubitaka i 9ubitka javno9 u9leda

7riti=an .%ncidenti od kojih se or9anizacija može oporaviti dobrimupravljanjem incidentom i implementacijom od9ovarajućih merazaštite "ovode do srednjih 9ubitaka i neprijatnosti

- 17 -


18/26


7ontrolisan 8Uticaj incidenta je verovatno kratkoro=an i može se kontrolisati!a pravom zaštitom i od9ovorom& uticaj može bit smanjen naminorne neprijatnosti i minimalne troškove

%ritirajući ,%ncidenti su obi=no bezna=ajni i izazivaju samo lokalnu iritaciju#erama zaštite treba ih izbeći ili kontrolisati

1eneralno& težinske aktore izvora pretnji treba kate9oristi od najvećih do najmanjih& npr& pretnjeod ljudi imaju veće težinske vrednosti od prirodnih do9a>aja 5rora)un težinskih $aktora $rekvencije ojave retnje Brealizacije pretnje-napada& incidntaC potrebno je izvršiti za svaki inormacioni objekat %ako svaka or9anizacija bira sama svoj sistem ponderisanja& korisni su sledeći kriterijumi BTabela T .(C:

Tabela T Prora=un težinskih aktora rekvencije pojave incidenta

N$vo Tež"#%$ 0a%&or De0$"$.$ja

Vrlo visok +Irekvencija incidenta je vrlo visoka& a incident može bitirazoran za proizvodnju ili servise

Visok ' Irekvencija incidenta je visoka i može se ponoviti

!rednji .%ncident se potencijalno može prili=no =esto do9oditi& alinormalno nije predvidiv

Nizak 8%ncident ima nisku rekvenciju pojavljivanja i smatra se da nije ponovljivF ne bi trebalo biti više od + incidenta u + radnomciklusu

Vrlo nizak , 0vaj incident se smatra vrlo retkim i periodi=nim

4a prora=un se mo9u koristiti i statisti=ki elementi za alternativnu procenu verovatnoće pretnjeE incidenta za najveći broj tipova poznatih potencijalnih pretnji& mereni statisti=kom verovatnoćomod >1 ili numeri=kim& kvalitativnim težinskim aktorima od >= i primeri kvalitativno9 merenja&

- 18 -


19/26


20/26


merenja za procenu nivoa uticaja 1lavna prednost kvalitativne analize uticaja je u odre>ivanju prioritetnih aktora rizika i identiikacija zona ranjivosti koje neposredno treba otklanjati Nedostatak kvalitativne analize uticaja rizika je u tome što ne obezbe>uje specii=ne kvantitativnemere i procenu odnosa troškoviEkorist Bcost9bene$it+ preporu=enih kontrola zaštite 1lavna prednost kvantitativnih metoda analize uticaja rizika je što obezbe>uje merenje uticaja i cost9 bene$it analizu preporu=enih kontrola zaštite Nedostatak ovih metoda je& zavisno od izboranumeri=kih opse9a aktora ponderacije& nejasnost i =esta potreba kvalitativne interpretacijerezultataPrimer kvalitativne procene i odre>ivanja težinskih aktora uticaja rizika& koji obuhvatakomponente vrednosti objekataE A4 intenzitet retnje – T$4 $rekvenciju retnje – T0 $ verovatnoću retnje – Tv prikazan je u Tabeli .

Tabela T ; 7omponente za odre>ivanje težinskih aktora uticaja rizika

Ko')o"e"&e /&$.aja r$$%aTež$"#%$0a%&or$

Vrednost objekta E A+ E , B+ jenajvećiC

%ntenzitet potencijalne pretnje E T$+ E , B+ jenajvećiC

Irekvencija potencijalne pretnje E T0 + E , B+ jenajvećiC

Verovatnoća pretnje E Tv+ E , B+ jenajvećiC

4a prora=un ukupno9 težinsko9 aktora uticaja rizika potrebno je množiti komponentu uticaja

rizika jednu sa dru9om& da bi se smanjio eekat neodre>enosti na ta=nost rezultata 3ko se uzme uobzir da su rekvencija i intenzitet pretnji nerelevantni& ako se pretnja ne do9odi& uticaj se približno odre>uje kao aktor množenja vrednosti imovine i verovatnoće pojave pretnji:

U& 7 A 8 T$ 8 T0 8 TvA8Tv -=; Na isti na=in se preostali relativni rizik može odrediti pojdnostavljenom relacijom:

Rr7A8P/ -;9de je A E vrednost imovine& a P/


21/26


U ovoj kvalitativnoj estimaciji što je manji rezultat& to je veći uticaj aktora rizika Najveći uticaj aktora rizika u ovoj estimaciji je 1& a najmanji E 2=- 1lavni menadžer odre>uje kriterijume prihvatljivosti rizika i prioritete ublažavanja Na primer:

+ 6 > v$#o%;4 svaki aktor rizika 5: 1 F R F 2F svaki aktor rizika RF = je vrlo kriti=an i

zahteva trenutno ispitivanje i rea9ovanjeF2- S > #red"j$;4 svaki aktor rizika 5: 2 F R F 3- N < "$a%;4 svaki aktor rizika E5 : 3 F R F 2=

= Eva+/a.$ja 0a%&ora r$$%a

aa eva+/a.$je 0a%&ora r$$%a je procena rizika na bazi stro9o utvr>enih kriterijuma predeinisanih u azi de$inisanja arametara za uravljanje rizikom B0dre>ivanje konteksta za procenu rizikaC& a obuhvata aktivnosti kao što su:

− priprema za izradu 5lana tretmana rizika&− razmatranjeGselekcija predeinisanih kriterijuma za evaluaciju rizika& uklju=ujući

bezbednosne kriterijume&− zna=aj poslovno9 procesa koje9 podržava inormaciona imovina&− zahtevi menadžmenta za tretman rizika&− zahtevi za preduzimanje hitnih akcija&− pore>enje nivoa estimacije aktora rizika sa predeinisanim kriterijumima za evaluaciju

Bnpr& rezultatima prethodne procene rizikaC i− ran9iranje aktora rizika po prioritetu za tretman Bublažavanje

U ovoj azi aktore rizika procenjene kao niske - N& treba smatrati rihvatljivim i mo9uće je damenadžmentGvlasnik sistema ne zahteva tretman ovih aktora rizika Iaktore rizika procenjene kaosrednjeuje se na bazi evaluacijeaktora rizika& kojih za neku prose=nu or9anizaciju može biti na hiljade Bzavisno od dubine procene rizikaC& na prihvatljive BPC i neprihvatljive BNC aktore rizika Predeinisane kriterijume P i

- 21 -


22/26


N aktora rizika Bu azi deinisanja konteksta za procenu rizikaC odre>uje menadžment& adeinitivno ih potvr>uje potpisivanjem dokumenta Izjava o rimenljivosti-!03 Btatement o$ 7licabilityC& kojim menadžment prihvata predložene kontrole zaštite za tretman rizika& kao i preostali relativni rizik E R)r

%zlazne veli=ine u azi evaluacije aktora rizika su prioriteti za tretman rizika i to:I+a +: :ista rioriteta $aktora nerihvatljivog rizika iI+a +: :ista rihvatljivih $aktora rizika Bprihvaćenih i sa N uticajemC

=-1-1 E#&$'a.$ja 0a%&ora )reo#&a+o r$$%a

E#&$'a.$ja 0a%&ora )reo#&a+o r$$%a: 5izik koji ostaje posle implementacije novih ili poboljšanih kontrola zaštite naziva se preostali relativni rizik E Rr) . To zna=i da ni jedan %7T!nije oslobo>en rizika i da sve implementirane kontrole ne eliminišu u potpunosti odnosne aktore

rizika Nivo Rr) može se analizirati kao iznos redukovano9 rizika uvo>enjem novih& poboljšanihkontrola zaštite u odnosu na procenu uticaja pretnji %mplementacija novih i poboljšanih kontrolazaštite može smanjiti rizik eliminisanjem nekih ranjivosti& dodavanjem kontrola zaštite ismanjenjem veli=ine ne9ativno9 uticaja 7ako je rizik identiikovan prema tipu specii=nihobjekata i ranjivosti sistem će imati jednu vrednost rizika po jednoj ta=ki ranjivosti koju pretnjaiskoristi& a svaka ranjivost će imati jednu vrednost rizika po objektu na koji uti=e Ne postojie9zaktna matemati=ka relacija za kvantitativan prora=un relativno9 preostalo9 rizikaE5rp koji

nameće u datoj situaciji kombinovana pretnjaE ∑T na ranjivost objektaEV sa implementiranim

merama BkontrolamaC zaštiteE#z za ublažavanje rizika Proces procene rizika daje dva rezultata:

preostali relativni rizik bez u=ešća mera zaštiteE5rp i prihvaćeni preostali rizik sa merama zaštite >

R)) Približno se nivo preostalo9 relativno9 rizika sa merama zaštiteE R)) može prora=unati iz jedna=ine& & B!l;C:

- 22 -


23/26


l ;3 Imlementirane kontrole zaštite i reostali rizik96r

R))7 A868 T;M; 8 U& -;

Uticaj pretnjeE U& na sistem posle uspešno9 napada zavisi od vrednosti objekta napada 7ako rasteA& raste i U&& odnosno& raste i nivo R))& a na porast nivoa aktora rizika direktno uti=u

kombinovane pretnje > T i ranjivosti sistemaE 6- #ere zaštiteE M smanjuju nivo R))

Posle implementacije kontrola zaštite za tretman BublažavanjeC rizika& eektivnost uvo>enja merazaštite E /mz može se prora=unati ormulom:

E'7 R)r>R));R)r -?;Temeljita procena aktora rizika je kamen temeljac razvoja pro9rama i plana rentabilno9 sistemazaštite U plan zaštite korisno je ubaciti kvantitativne arametre - ukupne troškove zaštite& koji na preostalom nivou rizika – R)r treba da budu optimalni& odnosno& jednaki ili manji od ukupno

o=ekivanih odišnjih ubitaka E OGG& koji mo9u nastati ako se ne primene predvi>ene merezaštite-M OGG treba da budu manji od ukupno9 preostalo9 relativno9 rizikaE Rpr izraženo9 unov=anoj vrednosti 0vakva vrednost R)r naj=ešće se predlaže menadžmentu& kao vrednost rihvatljivog nivoa ukunog reostalog rizika9 R)) 7ako je vrednost OGG jednaka vrednostiuticajaE Ut izraženoj u nov=anim jedinicama& OGG se mo9u proceniti sli=nom iskustvenomrelacijom& L''M:

OGG 7 Tv 8 Ar -H;9de je:

Tv E verovatnoća da će se neka pretnja materijalizovati u datoj 9odini& aAr E relativna vrednost odre>ene imovine na koju se pretnja odnosi

Pr$'er: $okalna mreža %7T! ima '* P6 po ceni od ,8* /u po komadu 0=ekuju se po + potpuni prekid rada& upad u sistem i kra>a podataka 9odišnje BT+C Primenom ormule B.


24/26


U praksi zaštite retko se koristi kompletna ormalna metodolo9ija za analizu i procenu rizika5azvijeni su brojni skraćeni metodi za analizi rizika B06T3V/& D35C koji su prakti=niji i bržedovode do prihvatljivih rezultata& L+;M

Pro.e"a !e!ed"o#"o r$$%a

5ezultati procene rizika koriste se za identiikaciju opcija za tretman rizika i dokumentuju se u 5olitici zaštite i 5lanu tretmana rizika 1eneralno za identiikaciju rizika u azi procene mo9u sekoristiti razli=ite tehnike: &5 (hazard ? oerativnost+ itd-

4a 9eneri=ku procenu opšte9 operativno9 rizika razvijene se tri klju=ne metodolo9ije: procenerizika odozdo na 9ore& sveobuhvatne analize i procene rizika i procene rizika odoz9o na doleProcena rizika odozdo na 9ore uklju=uje: istraživanje tržišta& predvi>anje trenda& testiranje tržišta&istraživanje i razvoj i analizu uticaja na poslovanje !veobuhvatna analiza rizika obuhvata brojneaze i aktivnosti kao što su: modelovanje zavisnosti& !0T analiza Bsna9e& slabosti& prilike& pretnjeC& analiza drveta pretnji& planiranje kontinuiteta poslovanja BD6PC& DP/!T Bbiznis& politi=ka& ekonomska& socijalna& tehnološkaC analiza& modelovanje realnih opcija& odlu=ivanje na bazi stanja rizika i aktora neodre>enosti& statisti=ke implikacije& merenja 9lavno9 trenda i aktoraneodre>enosti& P/!T$/ BPoliti=ko ekonomsko socijalno& tehni=ko i le9alnoC okruženje i drProcena rizika odoz9o na dole uklju=uje tri 9lavne tehnike: analizu pretnji& analizu drveta 9rešakai I#/3 BIailure #ode A /ect 3nalsisC analizu

U praksi zaštite %7T!& standard %!0G%/6 '**, dierencira =etiri osnovna metoda za estimacijurizika& koja se u osnovi zasnivaju na 9eneri=koj metodolo9iji& ali imaju razli=ite okuse na parametre rizika i primenjuju razli=ite estimacije& L%!0 '***,M:

+ #etod matrice rizika sa predeinisanim vrednostima B%!0G%/6 +...,-.CF' #etod merenja rizika ran9iranjem pretnji prema rezultatima procene rizikaF. #etod procene verovatnoće uticaja i mo9ućih posledica i8 #etod distinkcije izme>u prihvatljivo9 i neprihvatljivo9 rizika

Primeri prora=una rizika primenom ovih metoda dati su u Pr$+o/ D-

5ezultat procene rizika je izjava o primenljivostri kontrola za ublažavanje rizika na prihvatljivinivo !03 Btatement o$ alicabilityC za poslovne ciljeve uz primenjene mere zaštite

I+a: !03 - Izjava o rimenljivosti kontrola zaštite 7omercijalno su dostupne brojneinteraktivne metodolo9ije za procenu bezbednosno9 rizika za inormacionu imovinu or9anizacije

- 24 -


25/26


653## metod je razvila en9leska vladina a9encija i koristi 9a više od 8* država na najvišemnivou #etod je skup& kompleksan za primenu& ali detaljan i pouzdan& L653##M 06T3V/metod procenjuje kriti=ne aktore rizika za objekte inormacione imovine kriti=ne za poslovanjeor9anizacije& L0catveM #etod je samonavodeći i ne zahteva specijalistilka znanja& sveobuhvatan je& sistemati=an i adaptivan na promene realne situacije 4a inicijalnu procenu rizika& kada

or9anizacija nema kompletiran inventar inormacione imovine& koristan je metod brze analizerizika BD35C koji zahteva aktivno an9ažovanje menadžmenta i prakti=ara poslovnih procesa&LOM

Za%+j/a%

Upravljanje rizikom je proaktivno upravljanje sistemom zaštite Procena rizika je metod za planiranje zaštite Problemi koji otežavaju korišćenje analiti=kih metoda u procesu analize i procene rizika jesu stohasti=ka priroda pretnji& ranjivosti i evaluacija vrednosti imovine Procena

pretnji o9rani=ena je aktorom neodre>enosti& jer se ne zna kada i kako će se neki štetan do9a>ajdesiti i kakvo9 će biti intenziteta Procena rizika nije stro9o nau=ni metod sa Ukoliko se posmatrasa pozitivisti=ko9 aspekta& procena rizika ne podrazumeva stro9o nau=ni metod& već arteakt kojise koristi za kreiranje proesionalnih znanja "ru9i problem su kvalitativna i kvantitativnaidentiikacija i vrednovanje objekata inormacione imovine& 9de su podaci i inormacijenajzna=ajnije vrednosti ?Vrednost@ podataka može se dobiti samo indirektnim putem i tokorišćenjem aktora ?uticaja@ pretnji na ranjive ta=ke sistema Botkrivanje& modiikacija&neraspoloživost& destrukcijaC Dez specii=no9 scenarija nije mo9uće proceniti ove eekte Jesto jenemo9uće napraviti evaluaciju materijalnih troškova 9ubitaka "inami=ka ?dimenzija@ analizerizika je veoma važna& jer se pretnje i iskoristive ranjivosti stalno menjaju 0vo zna=i da se i nivoi

zaštite moraju menjati tako da kompenzuju ove promene U ovakvom procesu kontrole& procenarizika je model donošenja odluke koji pomaže upravnoj strukturi da planira sistem zaštite Iaktor promenljivosti unosi i unutrašnje i spoljašnje okruženje& pa je za upravljanje promenama potrebnoneprekidno skeniranje specii=nih do9o>aja u okruženju Promene u sistemu mo9u izazvati internido9a>aji Bnovi sistem aplikacija& novi zaposleni& nova odelenja i slC ili promene u životnomciklusu sistema Brevizija zahteva i dizajna& implementacija sistema& monitorin9 i periodi=narevizija itdC Drojni metodi kvantitativne analize rizika imaju prednosti& jer svode svaku analizu

- 25 -


26/26


rizika na nov=anu vrednost 7ada je u pitanju 9ubitak života& nacionalno9 interesa ilikonkurentnosti na tržištu& treba primeniti kvalitativni metod procene zna=aja 9ubitaka umestonov=anih vrednosti !a procedurom koja odre>uje prioritete& kvantitativna analiza rizika ima problem memorisanja i akvizicije podataka 1eneri=ka metodolo9ija procene rizika uklju=uje parametre vrednosti imovine B3C& ranjivosti BVC& pretnji BTC& uticaja BUTGV ili da će pretnje

iskoristiti ranjivosti i naneti štetu imovini i poslovnim procesimaC Iaktori neodre>enosti koje u procenu rizika unosi stohasti=ka priroda pretnji i ranjivosti& kompenzuju se množenjem parametara rizika Bumesto sabiranjaC =ime se dobije veći procenjeni rizik i zahteva bolji sistemzaštite 4a procenu rizika razvijene su brojne tasonomije pretnji i ranjivosti koje mo9u pomoći uzobavezno prila9o>avanje kontekstu i okruženju procene rizika Na principima 9eneri=kemetodolo9ije procene rizika& razvijena su =etiri metoda sa razli=itim težištima u proceni rizikaB%!0G%/6 '**,C: metod matrice rizika sa rede$inisanim vrednostima (I&!I0@ .;;;A-;+, metodmerenja rizika rangiranjem retnji rema rezultatima rocene rizika, metod rocene verovatnoće

uticaja i mogućih osledica i metod distinkcije izme4u rihvatljivog i nerihvatljivog rizika

? L$&era&/ra

- 7eković 4& !avić !& #ilošević # A 2ovanović "B'*++C Procena rizika u zaštiti lica&imovine i poslovanja Deo9rad: 6entar za analizu rizika i upravljanje krizama

- dr #ilutinovć #iroslav& Upravljanje rizicima B'*+'C& Niš : Visoka škola strukovnih studijaza menadžment u saobraćaju

- ikkipedia- http:GGcarukrsGprirucnik-procena-rizika-u-zastiti-lica-imovine-i-poslovanjaG- 3leksandar Vasliljević& Upravljanje rizicimaB'**

Documents

Metodologija Za Procenu Rizika Seminarski RAd