(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
В случае построения диаграммы влияния также требуются оценки (например, финансовые потери, травмы и т.д.).
Б.5.3.4 Выход
BN предоставляют апостериорные распределения в графическом виде, которые обычно считаются легко интерпретируемыми, по крайней мере, по сравнению с другими моделями, которые часто оказываются "черными ящиками". Модель BN и данные могут быть без труда модифицированы, чтобы легко визуализировать отношения и исследовать чувствительность параметров к различным входам.
Б.5.3.5 Сильные стороны и ограничения
Сильные стороны BN включают:
- имеется легкодоступное программное обеспечение, которое относительно легко использовать и понимать;
- они имеют прозрачную структуру и способны быстро запускать сценарии и анализировать чувствительность вывода к различным допущениям;
- они могут включать субъективные убеждения о проблеме вместе с данными.
Ограничения включают:
- определение всех взаимодействий для сложных систем затруднено и может стать вычислительно неразрешимым, когда таблицы условной вероятности становятся слишком большими;
- BN часто статичны и обычно не включают петли обратной связи. Однако количество применения динамических BN увеличивается;
- параметры настройки требуют знания многих условных вероятностей, которые, как правило, предоставляются экспертным заключением. BN могут предоставлять ответы только на основе этих допущений (ограничение, которое является общим для других методов моделирования);
- пользователь может вводить ошибки, но результат все равно может выглядеть правдоподобно; проверка экстремумов может помочь найти ошибки.
Б.5.4 Анализ влияния на бизнес (BIA)
Б.5.4.1 Обзор
Метод анализа влияния на бизнес рассматривает все возможные сценарии угроз и риски, которые могут повлиять на деятельность организации, с целью анализа критичных процессов организации, определение последствий прекращения, прерывания или нарушения нормального хода выполнения этих процессов, а также определение минимального уровня ресурсов, необходимого организации для успешного восстановления процессов за приемлемый промежуток времени. В частности, BIA обеспечивает согласованное понимание:
- критичности ключевых бизнес-процессов, функций и связанных с ними ресурсов и ключевых взаимозависимостей, существующих в организации;
- как разрушительные события будут влиять на потенциал и возможности достижения важнейших бизнес-целей;
- ресурсов, необходимых для управления в условиях кризисной ситуации, а также восстановления критичных процессов после инцидента для управления последствиями разрушения и восстановления операций до согласованных уровней работы.
В процессе BIA анализируются потенциальные сценарии угроз, которые могут привести к прерыванию нормального функционирования процессов в организации.
BIA может проводиться с использованием вопросников, интервью, структурированных семинаров или комбинации всех трех методов.
Б.5.4.2 Использование
BIA используется для определения перечня критичных к прерыванию процессов и оптимального времени восстановления для поддержания нормального функционирования организации, а также определение минимального уровня ресурсов (например, людей, оборудования и информационных технологий), чтобы обеспечить надлежащее планирование на случай возникновения разрушительных событий. BIA также помогает в определении взаимозависимостей и взаимосвязей между процессами, внутренних и внешних сторон и иных связей в цепочке поставок.
Он также может использоваться как часть анализа последствий при рассмотрении последствий разрушительных событий.
BIA предоставляет информацию, которая помогает организации определить и выбрать соответствующие стратегии непрерывности бизнеса, чтобы обеспечить эффективную стратегию и восстановление после разрушительного инцидента.
Б.5.4.3 Входы
Входы включают:
- информацию о целях, стратегическом направлении, окружающей среде, активах и взаимозависимостях, связанных с организацией;
- оценку приоритетов из предыдущего обзора руководства;
- сведения о деятельности и операциях организации, включая процессы, ресурсы, взаимоотношения с другими организациями, цепочки поставок, внешние соглашения и причастные стороны;
- информацию, позволяющую оценивать финансовые, юридические и операционные последствия потери критических процессов;
- подготовленный вопросник или другие средства сбора информации;
- результаты других оценок рисков и анализ критических инцидентов, связанных с последствиями разрушительных инцидентов;
- список людей из соответствующих областей организации и/или причастных сторон, с которыми будет осуществляться контакт.
Б.5.4.4 Выходы
Выходы включают:
Документы, детализирующие информацию, собранную в качестве исходных данных:
- приоритетный список критических процессов и связанных с ними взаимозависимостей;
- документированные финансовые и операционные последствия от потерь в критических процессах;
- информация о вспомогательных ресурсах и мероприятиях, необходимых для восстановления критических процессов;
- приоритетный список продуктов и услуг организаций;
- оценка воздействия с течением времени в случае отсутствия доставки требуемых продуктов и услуг;
- приемлемые временные рамки для возобновления оказания услуг/сервиса для клиентов;
- временные рамки отключения для критического процесса и связанные с ним временные рамки восстановления информационных технологий.
Б.5.4.5 Сильные стороны и ограничения
Сильные стороны BIA включают в себя:
- глубокое понимание критических процессов, которые позволяют организации достичь своих целей и которые могут указывать области для улучшения бизнеса;
- информацию, необходимую для планирования реакции организации на разрушительное событие;
- понимание ключевых ресурсов, необходимых на случай разрушительных событий;
- возможность заранее определить операционный процесс организации, что позволит повысить ее устойчивость.