(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- определение всех взаимодействий для сложных систем затруднено и может стать вычислительно неразрешимым, когда таблицы условной вероятности становятся слишком большими;
- BN часто статичны и обычно не включают петли обратной связи. Однако количество применения динамических BN увеличивается;
- параметры настройки требуют знания многих условных вероятностей, которые, как правило, предоставляются экспертным заключением. BN могут предоставлять ответы только на основе этих допущений (ограничение, которое является общим для других методов моделирования);
- пользователь может вводить ошибки, но результат все равно может выглядеть правдоподобно; проверка экстремумов может помочь найти ошибки.
Б.5.4 Анализ влияния на бизнес (BIA)
Б.5.4.1 Обзор
Метод анализа влияния на бизнес рассматривает все возможные сценарии угроз и риски, которые могут повлиять на деятельность организации, с целью анализа критичных процессов организации, определение последствий прекращения, прерывания или нарушения нормального хода выполнения этих процессов, а также определение минимального уровня ресурсов, необходимого организации для успешного восстановления процессов за приемлемый промежуток времени. В частности, BIA обеспечивает согласованное понимание:
- критичности ключевых бизнес-процессов, функций и связанных с ними ресурсов и ключевых взаимозависимостей, существующих в организации;
- как разрушительные события будут влиять на потенциал и возможности достижения важнейших бизнес-целей;
- ресурсов, необходимых для управления в условиях кризисной ситуации, а также восстановления критичных процессов после инцидента для управления последствиями разрушения и восстановления операций до согласованных уровней работы.
В процессе BIA анализируются потенциальные сценарии угроз, которые могут привести к прерыванию нормального функционирования процессов в организации.
BIA может проводиться с использованием вопросников, интервью, структурированных семинаров или комбинации всех трех методов.
Б.5.4.2 Использование
BIA используется для определения перечня критичных к прерыванию процессов и оптимального времени восстановления для поддержания нормального функционирования организации, а также определение минимального уровня ресурсов (например, людей, оборудования и информационных технологий), чтобы обеспечить надлежащее планирование на случай возникновения разрушительных событий. BIA также помогает в определении взаимозависимостей и взаимосвязей между процессами, внутренних и внешних сторон и иных связей в цепочке поставок.
Он также может использоваться как часть анализа последствий при рассмотрении последствий разрушительных событий.
BIA предоставляет информацию, которая помогает организации определить и выбрать соответствующие стратегии непрерывности бизнеса, чтобы обеспечить эффективную стратегию и восстановление после разрушительного инцидента.
Б.5.4.3 Входы
Входы включают:
- информацию о целях, стратегическом направлении, окружающей среде, активах и взаимозависимостях, связанных с организацией;
- оценку приоритетов из предыдущего обзора руководства;
- сведения о деятельности и операциях организации, включая процессы, ресурсы, взаимоотношения с другими организациями, цепочки поставок, внешние соглашения и причастные стороны;
- информацию, позволяющую оценивать финансовые, юридические и операционные последствия потери критических процессов;
- подготовленный вопросник или другие средства сбора информации;
- результаты других оценок рисков и анализ критических инцидентов, связанных с последствиями разрушительных инцидентов;
- список людей из соответствующих областей организации и/или причастных сторон, с которыми будет осуществляться контакт.
Б.5.4.4 Выходы
Выходы включают:
Документы, детализирующие информацию, собранную в качестве исходных данных:
- приоритетный список критических процессов и связанных с ними взаимозависимостей;
- документированные финансовые и операционные последствия от потерь в критических процессах;
- информация о вспомогательных ресурсах и мероприятиях, необходимых для восстановления критических процессов;
- приоритетный список продуктов и услуг организаций;
- оценка воздействия с течением времени в случае отсутствия доставки требуемых продуктов и услуг;
- приемлемые временные рамки для возобновления оказания услуг/сервиса для клиентов;
- временные рамки отключения для критического процесса и связанные с ним временные рамки восстановления информационных технологий.
Б.5.4.5 Сильные стороны и ограничения
Сильные стороны BIA включают в себя:
- глубокое понимание критических процессов, которые позволяют организации достичь своих целей и которые могут указывать области для улучшения бизнеса;
- информацию, необходимую для планирования реакции организации на разрушительное событие;
- понимание ключевых ресурсов, необходимых на случай разрушительных событий;
- возможность заранее определить операционный процесс организации, что позволит повысить ее устойчивость.
Ограничения включают:
- BIA опирается на знания и восприятие участников, принимающих участие в заполнении вопросников или проведении собеседований или семинаров;
- динамика группы может отрицательно повлиять на полный анализ критического процесса;
- могут быть упрощенные или чрезмерно оптимистичные ожидания требований к восстановлению;
- может быть трудно получить адекватный уровень понимания деятельности организации и ее активностей.
Б.5.5 Анализ дерева событий (ETA)
Б.5.5.1 Обзор
ETA (анализ дерева событий) - это графический метод, который представляет взаимоисключающие последовательности событий, следующих за исходным событием, в соответствии с функционированием или нефункционированием различных систем, разработанных для уменьшения их последствий. Может применяться как качественно, так и количественно (см. рисунок Б.4).
1919 × 924 пикс.     Открыть в новом окне