Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(справочное)
Методология оценки риска в области безопасности и разработка контрмер
В.1 Общие положения
В данном приложении приводится методология, которая может быть использована организациями в международных цепях поставок для проведения оценки риска их деятельности, которая может пострадать от инцидентов, связанных с нарушением безопасности, а также для определения соответствующих контрмер, эффективных для данного типа и размера деятельности в цепи поставок. В методологии необходимо использовать такую последовательность действий:
a) перечислить все виды деятельности, приведенные в области применения;
b) определить элементы управления безопасностью на местах, существующие на данный момент;
c) идентифицировать сценарии угрозы безопасности;
d) определить последствия, если сценарий угрозы безопасности был закончен;
e) определить, какова вероятность данного происшествия с учетом существующего уровня безопасности;
f) определить, адекватны ли существующие меры контроля безопасности;
g) если нет, то разработать дополнительные меры безопасности.
Рисунок В.1 является графическим представлением данного процесса.
Рисунок В.1 - Графическое представление методологии оценки рисков в области безопасности
В.2 Шаг первый - рассмотрение сценариев угроз безопасности
При выполнении оценки безопасности следует, как минимум, рассмотреть сценарии угрозы безопасности, перечисленные в таблице В.1, а также другие сценарии, выявленные государственными органами, руководством цепи поставок или профессионалами в области безопасности, выполняющими такие оценки.
Таблица В.1 - Сценарии угроз безопасности цепи поставок
Примеры сценариев угроз безопасности |
Примеры использования (возможные последствия) |
1 Вмешательство и/или взятие под контроль собственности (включая транспорт) в рамках цепи поставок |
Порча/уничтожение собственности Порча/уничтожение вне целевого использования собственности или товаров Причина - акции протеста населения или беспорядки экономического характера Захват заложников/убийство людей |
2 Использование цепи поставок как средства организации контрабанды |
Незаконный ввоз оружия в страну или вывоз из страны Терроризм в стране или за пределами страны |
3 Фальсификация информации |
Получение локального или удаленного доступа к системам информации/документации цепи поставок с целью нарушения деятельности или содействия незаконной деятельности |
4 Целостность груза |
Подкуп, саботаж и/или хищение в террористических целях |
5 Несанкционированное использование |
Проведение операций в международной цепи поставок для содействия террористическим актам (например, использование транспортных средств в качестве оружия) |
6 Прочее |
|
При проведении оценки необходимо рассмотреть следующее:
1) контроль доступа:
- в помещения организации в цепи поставок, включая прилегающую территорию;
- на транспортные средства (автомобильный, железнодорожный, воздушный, баржи, суда и т.п.);
- к информации;
- другое;
2) транспортные средства (грузовые автомобили, железнодорожный транспорт, баржи, самолеты, корабли и т.д.), с учетом:
- нормальной эксплуатации;
- помещения - мастерские для технического обслуживания (например, площадка для проведения работ);
- вынужденные изменения, к примеру в связи с неисправностью;
- смена назначения;
- транспортные средства, находящиеся в неподвижном состоянии;
- использование транспортного средства в качестве оружия;
- другое;
3) погрузочно-разгрузочные работы:
- погрузка;
- хранение (в том числе промежуточное хранение);
- передача;
- выгрузка;
- деконсолидация/консолидация;
- другое;
4) перевозка грузов:
- воздушным транспортом;
- автомобильным транспортом;
- железнодорожным транспортом;
- внутренними судоходными путями;
- морскими судами;
- другое;
5) обнаружение (несанкционированного) доступа/предотвращение применительно к партии товара;
6) в ходе инспекций, например осмотр транспортных средств;
7) работники:
- уровень компетентности, профессиональной подготовки и информированности;
- добросовестность;
- другое;
8) использование бизнес-партнеров;
9) связь внутренняя/внешняя:
- обмен информацией;
- чрезвычайные ситуации;
- другое;
10) обработка или переработка информации о грузах или транспортных маршрутов:
- защита данных;
- обеспечение данных;
- другое;
11) внешняя информация:
- правовая;
- заказы со стороны властей;
- отраслевая практика;
- происшествия и инциденты;
- возможность первой реакции и время реагирования;
- другое.
В.3 Второй шаг - классификация последствий
При проведении оценки последствий следует учитывать возможность людских и экономических потерь. Последствия каждого инцидента в сфере безопасности, оцениваемые в цепи поставок, должны классифицироваться как высокие, средние или низкие (см. таблицу В.2). До тех пор, пока результаты не будут преобразованы в качественную систему, в процессе оценки можно пользоваться числовой системой.
Обоснование при классификации последствий каждого инцидента в области безопасности должно быть документировано.
При классификации последствий и указании их числовых значений ("высокое", "среднее" и "низкое") следует проявлять осторожность. Использование чрезмерно низких пороговых значений может привести к необходимости рассмотрения контрмер по большему количеству сценариев угрозы безопасности, чем это на самом деле необходимо. Однако при использовании слишком высоких пороговых значений можно пропустить контрмеры по целостности сценариев угрозы безопасности; последствия для этой организации или правительства, под чьим руководством она действует, будут недопустимыми.
"Высокая" классификационная категория последствия может рассматриваться как последствие, которое было бы неприемлемым во всех ситуациях, но с низкой вероятностью.
"Средняя" классификационная категория последствия может рассматриваться как последствие, которое было бы неприемлемым с высокой вероятностью ситуации.
"Низкая" классификационная категория последствия может, как правило, рассматриваться как приемлемое последствие.
Не следует путать приемлемость с желательностью или одобрением. Приемлемость скорее может быть расценена как согласие с размером возможного ущерба, на который организация или правительство, в рамках которого она работает, готова согласиться при определенных условиях, связанных с вероятностью. Организация или правительство может определить, что вероятность определенного уровня ущерба может быть хоть и нежелательной, но приемлемой.
Таблица В.2 - Классификация последствий
Определение категории |
Последствие |
Высокая |
"Смерть и увечье" - гибель людей в определенных масштабах и/или "Экономическое воздействие" - серьезный ущерб активам и/или инфраструктуре, препятствующий дальнейшим операциям, и/или "Воздействие на окружающую среду" - полное уничтожение нескольких аспектов экосистемы на большой площади |
Средняя |
"Смерть и увечье" - например, гибель людей и/или "Экономическое воздействие" - например, повреждение имущества и/или инфраструктуры, требующие ремонта, и/или "Воздействие на окружающую среду" - например, нанесение вреда части экосистемы на длительный срок |
Низкая |
"Смерть и увечье" - травмы, но без гибели людей и/или "Экономическое воздействие" - минимальное повреждение имущества и/или инфраструктуры и систем, и/или "Воздействие на окружающую среду" - например, нанесение незначительного экологического ущерба |
В.4 Шаг третий - классификация по степени вероятности инцидентов в области безопасности
При классификации потенциальных инцидентов в области безопасности должны быть приняты во внимание статус физических и оперативных мер по обеспечению безопасности цепи поставок, документированный в перечне для проведения анализа эффективности безопасности, а также представленный в других документах. Физические меры по безопасности включают в себя объекты, которые препятствуют или обнаруживают несанкционированный доступ к объектам атаки. Оперативные меры по обеспечению безопасности включают людей и процедуры, которые препятствуют или обнаруживают несанкционированный доступ к объекту атаки. Вероятность каждого инцидента в области безопасности, происходящего на отдельном объекте, должны быть классифицированы как высокая, средняя и низкая.
Категория высокой степени вероятности должна присваиваться тогда, когда меры безопасности на местах предполагают незначительную устойчивость к инциденту по безопасности. Если в процессе оценки используется числовая система, то числовые результаты должны быть преобразованы в эту качественную систему.
Категория средней степени вероятности должна присваиваться тогда, когда меры безопасности на местах предполагают умеренную устойчивость к возникновению инцидента в области безопасности.
Категория низкой степени вероятности должна присваиваться тогда, когда меры безопасности на местах предполагают достаточную устойчивость к возникновению инцидента в области безопасности.
Основание для классификации по степени вероятности, присваиваемой каждому инциденту в области безопасности, должно быть документировано.
В.5 Шаг четвертый - шкала для инцидента в области безопасности
В таблице В.3 приведена шкала балльности для инцидента в области безопасности, представляющая собой пример, который может быть использован для опре
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.