Приложение В (справочное). Методология оценки риска в области безопасности и разработка контрмер. Национальный стандарт РФ ГОСТ Р ИСО 28001-2019 "Системы менеджмента безопасности цепи поставок. Наилучшие практики осуществления безопасности цепи поставок, оценки и планов безопасности. Требования и руководство по применению" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 23.12.2019 N 1433-ст)

Приложение В
(справочное)

Методология оценки риска в области безопасности и разработка контрмер

В.1 Общие положения

В данном приложении приводится методология, которая может быть использована организациями в международных цепях поставок для проведения оценки риска их деятельности, которая может пострадать от инцидентов, связанных с нарушением безопасности, а также для определения соответствующих контрмер, эффективных для данного типа и размера деятельности в цепи поставок. В методологии необходимо использовать такую последовательность действий:

a) перечислить все виды деятельности, приведенные в области применения;

b) определить элементы управления безопасностью на местах, существующие на данный момент;

c) идентифицировать сценарии угрозы безопасности;

d) определить последствия, если сценарий угрозы безопасности был закончен;

e) определить, какова вероятность данного происшествия с учетом существующего уровня безопасности;

f) определить, адекватны ли существующие меры контроля безопасности;

g) если нет, то разработать дополнительные меры безопасности.

Рисунок В.1 является графическим представлением данного процесса.

Рисунок В.1 - Графическое представление методологии оценки рисков в области безопасности

В.2 Шаг первый - рассмотрение сценариев угроз безопасности

При выполнении оценки безопасности следует, как минимум, рассмотреть сценарии угрозы безопасности, перечисленные в таблице В.1, а также другие сценарии, выявленные государственными органами, руководством цепи поставок или профессионалами в области безопасности, выполняющими такие оценки.

Таблица В.1 - Сценарии угроз безопасности цепи поставок

Примеры сценариев угроз безопасности	Примеры использования (возможные последствия)
1 Вмешательство и/или взятие под контроль собственности (включая транспорт) в рамках цепи поставок	Порча/уничтожение собственности Порча/уничтожение вне целевого использования собственности или товаров Причина - акции протеста населения или беспорядки экономического характера Захват заложников/убийство людей
2 Использование цепи поставок как средства организации контрабанды	Незаконный ввоз оружия в страну или вывоз из страны Терроризм в стране или за пределами страны
3 Фальсификация информации	Получение локального или удаленного доступа к системам информации/документации цепи поставок с целью нарушения деятельности или содействия незаконной деятельности
4 Целостность груза	Подкуп, саботаж и/или хищение в террористических целях
5 Несанкционированное использование	Проведение операций в международной цепи поставок для содействия террористическим актам (например, использование транспортных средств в качестве оружия)
6 Прочее

При проведении оценки необходимо рассмотреть следующее:

1) контроль доступа:

- в помещения организации в цепи поставок, включая прилегающую территорию;

- на транспортные средства (автомобильный, железнодорожный, воздушный, баржи, суда и т.п.);

- к информации;

- другое;

2) транспортные средства (грузовые автомобили, железнодорожный транспорт, баржи, самолеты, корабли и т.д.), с учетом:

- нормальной эксплуатации;

- помещения - мастерские для технического обслуживания (например, площадка для проведения работ);

- вынужденные изменения, к примеру в связи с неисправностью;

- смена назначения;

- транспортные средства, находящиеся в неподвижном состоянии;

- использование транспортного средства в качестве оружия;

- другое;

3) погрузочно-разгрузочные работы:

- погрузка;

- хранение (в том числе промежуточное хранение);

- передача;

- выгрузка;

- деконсолидация/консолидация;

- другое;

4) перевозка грузов:

- воздушным транспортом;

- автомобильным транспортом;

- железнодорожным транспортом;

- внутренними судоходными путями;

- морскими судами;

- другое;

5) обнаружение (несанкционированного) доступа/предотвращение применительно к партии товара;

6) в ходе инспекций, например осмотр транспортных средств;

7) работники:

- уровень компетентности, профессиональной подготовки и информированности;

- добросовестность;

- другое;

8) использование бизнес-партнеров;

9) связь внутренняя/внешняя:

- обмен информацией;

- чрезвычайные ситуации;

- другое;

10) обработка или переработка информации о грузах или транспортных маршрутов:

- защита данных;

- обеспечение данных;

- другое;

11) внешняя информация:

- правовая;

- заказы со стороны властей;

- отраслевая практика;

- происшествия и инциденты;

- возможность первой реакции и время реагирования;

- другое.

В.3 Второй шаг - классификация последствий

При проведении оценки последствий следует учитывать возможность людских и экономических потерь. Последствия каждого инцидента в сфере безопасности, оцениваемые в цепи поставок, должны классифицироваться как высокие, средние или низкие (см. таблицу В.2). До тех пор, пока результаты не будут преобразованы в качественную систему, в процессе оценки можно пользоваться числовой системой.

Обоснование при классификации последствий каждого инцидента в области безопасности должно быть документировано.

При классификации последствий и указании их числовых значений ("высокое", "среднее" и "низкое") следует проявлять осторожность. Использование чрезмерно низких пороговых значений может привести к необходимости рассмотрения контрмер по большему количеству сценариев угрозы безопасности, чем это на самом деле необходимо. Однако при использовании слишком высоких пороговых значений можно пропустить контрмеры по целостности сценариев угрозы безопасности; последствия для этой организации или правительства, под чьим руководством она действует, будут недопустимыми.

"Высокая" классификационная категория последствия может рассматриваться как последствие, которое было бы неприемлемым во всех ситуациях, но с низкой вероятностью.

"Средняя" классификационная категория последствия может рассматриваться как последствие, которое было бы неприемлемым с высокой вероятностью ситуации.

"Низкая" классификационная категория последствия может, как правило, рассматриваться как приемлемое последствие.

Не следует путать приемлемость с желательностью или одобрением. Приемлемость скорее может быть расценена как согласие с размером возможного ущерба, на который организация или правительство, в рамках которого она работает, готова согласиться при определенных условиях, связанных с вероятностью. Организация или правительство может определить, что вероятность определенного уровня ущерба может быть хоть и нежелательной, но приемлемой.

Таблица В.2 - Классификация последствий

Определение категории	Последствие
Высокая	"Смерть и увечье" - гибель людей в определенных масштабах и/или "Экономическое воздействие" - серьезный ущерб активам и/или инфраструктуре, препятствующий дальнейшим операциям, и/или "Воздействие на окружающую среду" - полное уничтожение нескольких аспектов экосистемы на большой площади
Средняя	"Смерть и увечье" - например, гибель людей и/или "Экономическое воздействие" - например, повреждение имущества и/или инфраструктуры, требующие ремонта, и/или "Воздействие на окружающую среду" - например, нанесение вреда части экосистемы на длительный срок
Низкая	"Смерть и увечье" - травмы, но без гибели людей и/или "Экономическое воздействие" - минимальное повреждение имущества и/или инфраструктуры и систем, и/или "Воздействие на окружающую среду" - например, нанесение незначительного экологического ущерба

В.4 Шаг третий - классификация по степени вероятности инцидентов в области безопасности

При классификации потенциальных инцидентов в области безопасности должны быть приняты во внимание статус физических и оперативных мер по обеспечению безопасности цепи поставок, документированный в перечне для проведения анализа эффективности безопасности, а также представленный в других документах. Физические меры по безопасности включают в себя объекты, которые препятствуют или обнаруживают несанкционированный доступ к объектам атаки. Оперативные меры по обеспечению безопасности включают людей и процедуры, которые препятствуют или обнаруживают несанкционированный доступ к объекту атаки. Вероятность каждого инцидента в области безопасности, происходящего на отдельном объекте, должны быть классифицированы как высокая, средняя и низкая.

Категория высокой степени вероятности должна присваиваться тогда, когда меры безопасности на местах предполагают незначительную устойчивость к инциденту по безопасности. Если в процессе оценки используется числовая система, то числовые результаты должны быть преобразованы в эту качественную систему.

Категория средней степени вероятности должна присваиваться тогда, когда меры безопасности на местах предполагают умеренную устойчивость к возникновению инцидента в области безопасности.

Категория низкой степени вероятности должна присваиваться тогда, когда меры безопасности на местах предполагают достаточную устойчивость к возникновению инцидента в области безопасности.

Основание для классификации по степени вероятности, присваиваемой каждому инциденту в области безопасности, должно быть документировано.

В.5 Шаг четвертый - шкала для инцидента в области безопасности

В таблице В.3 приведена шкала балльности для инцидента в области безопасности, представляющая собой пример, который может быть использован для определения необходимости контрмер для конкретных инцидентов в области безопасности.

Таблица В.3 - Шкала балльности инцидента в области безопасности

Классификация/последствия	Классификация по (степени) вероятности
	Высокая	Средняя	Низкая
Высокая	Контрмеры	Контрмеры	Рассмотреть
Средняя	Контрмеры	Контрмеры или рассматривать как соответствующую	Документировать
Низкая	Рассмотреть	Задокументировать	Документировать

Идентификация контрмер необходима для инцидентов в области безопасности, которые имеют высокий балл в обеих графах - вероятность и последствия, а также средний балл - в графе вероятность и высокий балл - в графе последствия. Для других инцидентов по безопасности контрмеры не требуются, если только они не считаются целесообразными с точки зрения оценщика. Лицу, выполняющему оценку безопасности, следует включать в список каждый из инцидентов безопасности для рассмотрения контрмер.

Примечание - Соответствующие правоохранительные и другие государственные должностные лица могут устанавливать контрмеры для некоторых сценариев, имеющих чрезвычайно высокий балл, которые должны быть приняты вне зависимости от вероятности, как вопрос национальной политики. Контрмеры, разработанные в результате этого исключения, должны быть рассмотрены правительством с точки зрения их эффективности.

В.6 Шаг пятый - разработка контрмер

Если разработка контрмер необходима или, по мнению лица, производящего оценку, считается желательной, то следует рассмотреть сценарии последствий и/или вероятности угрозы безопасности для смягчения их последствий. Целью этих мер является снижение вероятности сценария угрозы безопасности в будущем или уменьшение ущерба, который может быть вызван этими сценариями до уровня, при котором дополнительные контрмеры больше не потребуются.

Контрмеры могут быть представлены следующими видами деятельности:

- Исправление: организационные и/или физические меры.

- Передача: передача рисков может осуществляться путем заключения контрактов с субподрядчиками, физической передачи на другие площадки, переноса на другое время и т.д.

- Завершение: вполне возможно, что из-за уровня риска организация примет решение не продолжать деятельность.

При определенных обстоятельствах организация может согласиться с риском (см. примечание) из-за нереальности выполнения необходимых контрмер, отсутствия полномочий для их введения или других непреодолимых факторов.

Примечание - Допущение ситуации означает, что организацией не могут быть предприняты никакие действия. Такие виды деятельности и оценки должны быть документированы и подвергаться периодическому анализу.

В.7 Шаг шестой - осуществление контрмер

Новые контрмеры представляют собой изменение оперативной практики и могут быть приняты в соответствии с системой менеджмента организации для обеспечения того, что имеются достаточные ресурсы; влияние на другие операции контролируется, а данное изменение пользуется поддержкой руководства.

В.8 Шаг седьмой - оценка контрмер

При использовании способов, указанных в настоящем стандарте, следует оценивать результативность каждой из контрмер по снижению вероятности или последствиям (или их комбинацию) до тех пор, пока угроза безопасности больше не будет требовать рассмотрения вопроса о применении дополнительных контрмер. Достижение результативности контрмеры расценивается как достижение поставленной цели, что и следует отражать в отчете по оценке безопасности.

В.9 Шаг восьмой - повторение этого процесса

После того, как контрмеры были разработаны и оценены как результативные, следует продолжить процесс по следующему сценарию угрозы безопасности до тех пор, пока список сценариев не будет исчерпан.

В.10 Продолжение процесса

Процесс оценки носит непрерывный характер. Как видно из рисунка В.1, контроль безопасности должен выполняться непрерывно для обеспечения планомерного выполнения мер по обеспечению безопасности, процесс же оценки следует выполнять по мере необходимости.