(Действующий) ГОСТ Р 58771-2019 Менеджмент риска. Технологии оценки риска...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
Он также может использоваться как часть анализа последствий при рассмотрении последствий разрушительных событий.
BIA предоставляет информацию, которая помогает организации определить и выбрать соответствующие стратегии непрерывности бизнеса, чтобы обеспечить эффективную стратегию и восстановление после разрушительного инцидента.
Б.5.4.3 Входы
Входы включают:
- информацию о целях, стратегическом направлении, окружающей среде, активах и взаимозависимостях, связанных с организацией;
- оценку приоритетов из предыдущего обзора руководства;
- сведения о деятельности и операциях организации, включая процессы, ресурсы, взаимоотношения с другими организациями, цепочки поставок, внешние соглашения и причастные стороны;
- информацию, позволяющую оценивать финансовые, юридические и операционные последствия потери критических процессов;
- подготовленный вопросник или другие средства сбора информации;
- результаты других оценок рисков и анализ критических инцидентов, связанных с последствиями разрушительных инцидентов;
- список людей из соответствующих областей организации и/или причастных сторон, с которыми будет осуществляться контакт.
Б.5.4.4 Выходы
Выходы включают:
Документы, детализирующие информацию, собранную в качестве исходных данных:
- приоритетный список критических процессов и связанных с ними взаимозависимостей;
- документированные финансовые и операционные последствия от потерь в критических процессах;
- информация о вспомогательных ресурсах и мероприятиях, необходимых для восстановления критических процессов;
- приоритетный список продуктов и услуг организаций;
- оценка воздействия с течением времени в случае отсутствия доставки требуемых продуктов и услуг;
- приемлемые временные рамки для возобновления оказания услуг/сервиса для клиентов;
- временные рамки отключения для критического процесса и связанные с ним временные рамки восстановления информационных технологий.
Б.5.4.5 Сильные стороны и ограничения
Сильные стороны BIA включают в себя:
- глубокое понимание критических процессов, которые позволяют организации достичь своих целей и которые могут указывать области для улучшения бизнеса;
- информацию, необходимую для планирования реакции организации на разрушительное событие;
- понимание ключевых ресурсов, необходимых на случай разрушительных событий;
- возможность заранее определить операционный процесс организации, что позволит повысить ее устойчивость.
Ограничения включают:
- BIA опирается на знания и восприятие участников, принимающих участие в заполнении вопросников или проведении собеседований или семинаров;
- динамика группы может отрицательно повлиять на полный анализ критического процесса;
- могут быть упрощенные или чрезмерно оптимистичные ожидания требований к восстановлению;
- может быть трудно получить адекватный уровень понимания деятельности организации и ее активностей.
Б.5.5 Анализ дерева событий (ETA)
Б.5.5.1 Обзор
ETA (анализ дерева событий) - это графический метод, который представляет взаимоисключающие последовательности событий, следующих за исходным событием, в соответствии с функционированием или нефункционированием различных систем, разработанных для уменьшения их последствий. Может применяться как качественно, так и количественно (см. рисунок Б.4).
1919 × 924 пикс.     Открыть в новом окне
Рисунок Б.4 - Пример анализа дерева событий
Построение "дерева событий" начинается с выбора исходного события, которым может быть инцидент, например - нарушение электроснабжения. Затем последовательно перечисляют имеющиеся функции или системы, направленные на уменьшение результатов. Для каждой функции или системы чертят линию, чтобы отобразить их исправное состояние или отказ. Конкретная вероятность отказа может быть указана для каждой линии при наличии количественной оценки данной условной вероятности, полученной, например, экспертным методом или при анализе "дерева неисправностей". Таким образом моделируются различные способы развития событий, начиная с исходного случая.
Следует учесть, что вероятности на "дереве событий" являются условными, например, вероятность функционирования системы пожаротушения не является вероятностью, полученной из испытаний при нормальных условиях, а является вероятностью функционирования в условиях пожара, вызванного взрывом. Каждый путь событий, проходящий по древовидной схеме, отображает вероятность того, что все входящие в него события произойдут. Поэтому частота результата представлена произведением отдельных условных вероятностей и частоты исходного события, при условии что различные события являются независимыми.
Б.5.5.2 Использование
ETA можно использовать при качественном анализе, чтобы помочь проанализировать потенциальные сценарии и последовательности развития событий после инициирующего события и оценить, как результаты анализа влияют на различные элементы системы управления объекта. Он может применяться на любом уровне организации систем управления и для любого инициирующего события.
Количественный анализ наиболее целесообразен для рассмотрения пригодности мер управления. Чаще всего применяется для моделирования отказов в тех случаях, когда применяется множество мер и средств обеспечения безопасности.
ETA может применяться для моделирования исходных событий, которые могут принести ущерб или выгоду. Однако обстоятельства, при которых проводится поиск путей, оптимальных с точки зрения выгоды, чаще моделируются при помощи "дерева" решений (см. Б.7.3).
Б.5.5.3 Входы
Входы включают:
- перечень возможных исходных событий;
- информацию о мерах по обработке, барьерах и мерах управления, а также вероятности их отказа (для количественного анализа);
- понимание процессов, при которых развивается исходный отказ.
Б.5.5.4 Выходы
Выходы из ETA включают следующее: